L’andamento della “cyber-insicurezza” ha toccato nel 2017 livelli non immaginabili, fino a qualche tempo fa. Questo è vero sia a livello quantitativo, sia qualitativo. Oltre un migliaio (1.127 per la precisione) gli attacchi “gravi” - ovvero con impatto significativo per le vittime in termini di perdite economiche, di danni alla reputazione, di diffusione di dati sensibili - registrati ed analizzati lo scorso anno da Clusit a livello mondiale. Il 21% di questi è stato classificato dagli stessi esperti Clusit di impatto “critico”.
Abbiamo rivolto alcune domande ad Alessio Pennasilico, membro del Comitato Direttivo Clusit, sulla situazione attuale e soprattutto sull'importanza che riveste la preparazione, in vista dell'acquisizione da parte dei privacy officer, di competenze tanto rilevanti e specifiche, in vista dell'entrata in vigore del nuovo regolamento privacy, dinanzi al quale, ormai è evidente, le aziende italiane appaiono perlopiù impreparate e abbastanza inconsapevoli dell'impatto che inevitabilmente avrà sulle loro organizzazioni.
Anche dal vostro osservatorio CLUSIT la convergenza tra sicurezza fisica e logica è già il presente oppure è un tema che appartiene al futuro?
Sicuramente la sicurezza fisica da sempre è un tema molto importante per garantire anche la sicurezza delle informazioni. C'è stato un momento in cui esso è stato di minore rilievo perché ancora molti oggetti erano disconnessi da internet e i servizi, basti pensare al cloud, non erano così facilmente attaccabili da un punto di vista fisico. In questo momento stiamo assistendo a un network di oggetti che, un tempo scollegati in rete, oggi sono invece sempre più connessi: basti pensare al fatto, per fare un esempio consumer, che ora è possibile comprare solo lo smart tv: non esiste più la televisione normale. Il problema non è quindi tanto quello di proteggere dall'accesso fisico a questi oggetti quanto il fatto che attaccare questi stessi oggetti determina conseguenze nel “mondo delle cose”.
Quanto il GDPR incide sul business della cybersecurity? E quali attori/aziende coinvolge al di là dei privacy officer? Ad esempio produttori antivirus, softwaristi...
Li coinvolge tutti e a diverso livello. Coinvolge gli avvocati, perché non è pensabile fare notifiche, consensi o altro senza supporto di un legale, ad esempio. Deve coinvolgere le persone che si occupano di organizzazione aziendale perché è fondamentalmente una norma che parla di processo, serve qualcuno quindi che faccia processi corretti; coinvolge i tecnici perché anche gli strumenti devono essere adeguati e funzionare in un determinato modo. Il GDPR sta dando da lavorare un po' a tutti, al punto che la spesa IT è aumentata del 12%, mentre la parte dedicata alla security continua a rimanere intorno al 1%.
In termini di preparazione, quali competenze sono richieste dal GDPR a chi deve occuparsi, nell'ambito di un'organizzazione, di sicurezza delle informazioni?
Oggi non è pensabile un approccio parziale a questi temi. Il tecnico da solo non può fare nulla, sia in riferimento al GDPR ma anche al fine di mettere una qualsiasi organizzazione aziendale in sicurezza. Occorrono figure con una competenza tecnica, essenziale anche per chi si occupa di produzione in ambito industriale. Per far funzionare correttamente un'azienda non basta certo immaginare quali possano essere gli attacchi possibili provenienti dall'esterno, occorre preservare la continuità di servizio, evitando che determinati eventi possano interrompere questa efficienza. Alcuni possono essere attacchi provenienti dall'esterno, ma possono essere attacchi che hanno un'origine interna o, ancora, essere dei guasti. Non è possibile affrontare questi temi se non con il supporto di specialisti che abbiano un approccio multidisciplinare e che si parlino tra loro. Nel caso del Regolamento, è imprescindibile che un'organizzazione conti su uno specialista che possieda un ampio bagaglio di conoscenze e competenze, legali e tecniche.
La tutela dell'operatore in ambito Forze dell'Ordine, sanità, trasporti, tra tecnologie disponibili, digitalizzazione e impatto privacy
Necessità e approcci per l'innovazione nelle infrastrutture critiche della città futura
Corsi in programmazione riconosciuti per il mantenimento e la preparazione alla certificazione TÜV Italia
WebinarLa cybersicurezza dei sistemi di videosorveglianza
Corso riconosciuto da TÜV Italia
Scenari, tecnologia e formazione sulla sicurezza in formato audio
Un'immersione a 360 gradi nella realtà dell'azienda