La cyber security nelle imprese è un tema che cresce di rilevanza anno dopo anno: le minacce continuano a crescere di intensità, qualità e volumi tanto da mettere costantemente a dura prova chi si occupa di gestire privacy e security nelle organizzazioni. Lo dimostrano i tanti casi celebri che solo nel corso dello scorso anno hanno portato alla ribalta mondiale la portata della “cyber war” in corso.
Abbiamo approfondito il tema della cyber sicurezza nelle aziende e del ruolo di chi è chiamato a governarne le regole, i CISO, con Troels Oerting, per lungo tempo a capo dell’European Cybercrime Centre EC3 dell’Europol e oggi Group Chief Information Security Officer della banca Barclays.
Come è cambiato il ruolo del CISO negli ultimi anni?
In passato, un passato non poi così lontano, il CISO era considerato un ruolo tecnico. Il profilo doveva essere tecnico e nelle grandi organizzazioni riferiva al Chief Operations & Technology: il ruolo era scarsamente reattivo e mirava a “spuntare caselle” negli schemi di controllo di chi fa audit, sulla base di varie vulnerabilità riscontrate.
Credo sia evidente, invece, come ci sia oggi una maggiore consapevolezza del fatto che il CIO non è affatto un ruolo tecnico ma un ruolo di business. La sicurezza informatica è un problema di fiducia, e la fiducia è quello che i clienti, i regolatori e i cittadini, vogliono.
La sicurezza informatica non è un problema “tech” che può essere risolto con più firewall o con l’uso di più anti-virus. Contrariamente a un’interruzione tecnica che può essere risolta passando a un nuovo dispositivo in sostituzione di quello non più funzionante, gli incidenti informatici sono creati dall’uomo. Cambiano forma alla velocità della luce e si adattano alle nuove misure di controllo. Con più di 250.000 nuove varianti di malware ogni giorno e nuove tecniche, strumenti e procedure, non possiamo solo entrare in azione ad intrusione avvenuta. C’è bisogno di una organizzazione guidata da una intelligence adattabile e flessibile, che possa prevedere le nuove minacce e non solo indicare ciò che ci ha già colpito.
Quali sono le principali minacce per le moderne organizzazioni?
Quando in Barclays valutiamo una minaccia, prima di tutto identifichiamo i nostri Avversari. Chi sono? Riceviamo tentativi di intrusione da molti attori diversi, Stati Nazionali, reti di attivisti e cybercriminali organizzati.
Proseguiamo poi il nostro assessment mettendo a fuoco l’intento del nostri Avversari. Vogliono soldi? IPR, informazioni sensibili, diritti di proprietà intellettuale, vogliono ricattarci?
Quando arriviamo a definire una buona panoramica, allora ci focalizziamo sugli strumenti che usano per ottenere le loro vittorie. Poi, dopo aver determinato la minaccia, allora guardiamo le nostre difese. Dove siamo vulnerabili? Dove sono i nostri “gioielli della corona” (i nostri beni di maggior valore – ndr)? Quali sono i nostri strumenti?
Basandoci su questi principi ci adattiamo costantemente al cambiamento delle minacce, aumentando i controlli, aumentando la protezione dei nostri “gioielli della corona” e minimizziamo le vulnerabilità. Le minacce sono molteplici: abbiamo attacchi quotidiani di grande portata, campagne malware, tentativi di phishing, attacchi DDOS, APT, Trojans. Il nostro obiettivo è quello di essere in grado di prevedere, prevenire, proteggere, reagire e ripristinare.
Qual è l’impatto economico della cybersecurity nella sua organizzazione? E’ soddisfacente?
Non sono mai soddisfatto se abbiamo perdite. Indipendentemente se si tratti di perdite di dati sensibili, denaro o altri oggetti di valore nel nostro archivio digitale. Perdiamo comunque soldi e dati perciò cerchiamo di ridurre a zero questo rischio. Ovviamente ciò non è possibile in una banca globale che opera in 50 paesi con 50 milioni di clienti e 140.000 dipendenti. Ma noi prendiamo la sicurezza e privacy dei nostri clienti e collaboratori molto, molto seriamente e lavoriamo instancabilmente per prevenirli e proteggerli.
Cosa suggerirebbe all’executive management per migliorare la sicurezza complessiva della loro organizzazione?
Penso che l’executive management abbia già la piena comprensione della centralità della sicurezza digitale. Credo che la fiducia sia la chiave fondamentale, e noi saremo misurati dai nostri clienti, la società e le autorità di regolamentazione, in base a quanto saremo in grado di tenerci la loro fiducia. Le banche sono note per essere in grado di prendersi cura dei beni di valore dei loro clienti, dei loro risparmi e stipendi – e questo stesso concetto potrà essere trasferito al futuro della nostra economia digitale e identità digitale. Continueremo a mantenere i nostri asset digitali al sicuro, e la direzione aziendale lo ha compreso e mi sostiene ogni giorno nel mantenere la banca sicura.
Facebook Comments