AIPSA al Security Summit di Milano - La security aziendale, le infrastrutture critiche con particolare attenzione al cyber-spazio

Introducendo l’argomento del convegno organizzato da AIPSA (Associazione Italiana Professionisti della Security Aziendale) il Presidente, Damiano Toselli, Security Manager Telecom, ha sottolineato l’importanza delle aziende “infrastrutture critiche” per la vita del paese e lo stretto legame che esiste tra le infrastrutture, il sistema produttivo e lo sviluppo terziario avanzato.

Si tratta di un fatto evidente ma non sempre tenuto nella giusta considerazione ogni volta che si decide o non si decide un investimento in sicurezza.

Citando alcuni casi concreti successi nel nostro passato recente ha esemplificato come il problema di un’azienda che gestisce, ad esempio, l’elettricità possa diventare nel giro di qualche ora il problema di molte altre, ad esempio delle ferrovie, e subito dopo dei cittadini, ad esempio quelli fermi in galleria per ore ed ore in un, a volte drammatico, effetto domino.

Da qui l’importanza che tutte le aziende, o almeno le più grandi, si dotino di regole generali allineate e coordinate.

In questo momento poi in cui le risorse, anche per la sicurezza, sono particolarmente scarse, bisogna rispondere con l’intelligenza e con la collaborazione.

In particolare di fronte alle crescenti minacce cibernetiche le aziende devono attivarsi adeguando i compiti e le funzioni delle persone che si occupano della sicurezza.

Come prima cosa, però, l’impresa deve aver chiaro qual è l’asset aziendale più importante, per esempio il buon nome dell’azienda stessa perché in un mercato competitivo come quello attuale si tratta di un elemento determinante per il business, e poi valutare ogni minaccia attraverso un piano di analisi del rischio. E? inoltre necessario diffondere le informazioni all’interno dell’azienda, la conoscenza delle minacce deve essere conosciuta da tutti.

La domanda da porsi, secondo Claudio Pantaleo, consulente Security, è: quando accadrà saremo pronti? Per esserlo occorre prevenire, aggiornarsi continuamente su minacce e soluzioni. Infatti proprio l’infrastruttura mondiale che, annullando le distanze fa parlare e fare accordi commerciali a persone che non si sono mai incontrate, ha snellito i processi, ci ha fatto diventare molto più fragili..

Un contributo può venire dagli studi che individuano le zone del mondo da cui provengono la maggior parte degli attacchi ed la tipologia delle varie minacce.

Tutto questo naturalmente è particolarmente importante per le infrastrutture critiche e cioè per le aziende che gestiscono elettricità, telecomunicazioni, acqua, gas, ferrovie, porti, aeroporti, servizi di emergenza (ambulanze, vigili del fuoco) e per il sistema bancario e finanziario.

Perché oggi è molto importante parlare del rapporto tra Security aziendale e infrastrutture critiche nello cyber-spazio? Ha chiesto Corradino Corradi, Security Manager Vodafone.

Perché sempre più aziende dipendono totalmente dal sistema informatico quindi la sicurezza informatica, il disaster recovery, la business continuity devono essere “protette” dalla funzione Security, il problema è che le contromisure da attuare sono molto diverse e così pure le probabilità delle varie minacce che bisogna monitorare e questo dilata le responsabilità.

L’ICT Security Manager non è più un “tecnico” ma un gestore anche perché, con il diffondersi del cloud, diventa sempre più importante sapere dove sono i propri dati ed il trend di sviluppo delle applicazioni (transazioni di pagamento su mobile per es.) richiederà sempre di più capacità di coordinamento.

Si tratta di una battaglia complessa che va vinta tutti insieme, come sistema, infatti la raccomandazione fondamentale potrebbe essere quella di cercare di andare verso un centro di sicurezza globale, in grado di mappare e testare le terze parti, per poi verificarne le procedure,.

In ogni caso non si deve cercare di fare tutto da soli.

Infine Andrea Chittaro, Security Manager SNAM, ha illustrato un caso concreto, quello della rete di gasdotti della propria azienda, parlando dei punti critici e dei motivi di incertezza sia dal punto di vista normativo, sia da quello delle minacce (attacco SCADA, attivismo, impatto sui territori…) e sottolineando l’importanza degli aspetti organizzativi, del definire ruoli e responsabilità in modo da avere ben chiaro chi deve far fronte ai problemi e trovare soluzioni.

La Corporate Security deve essere in grado di focalizzarsi su ciò che ritiene più critico ai fini del business, isolare le poche (sono sempre molte meno di quello che si crede) informazioni da tutelare ed in base a questi dati creare il sistema di sicurezza migliore per mitigare i rischi.

L’incontro si è concluso con una dibattito animato da Mauro Masic, Security Manager Magneti Marelli, vice Presidente AIPSA.