Bisogna lavorare sia sulla formazione di competenze specifiche per il personale che opera all'interno dell'azienda, sia sulla parte di consapevolezza che è richiesta alle persone che lavorano all'interno dell'azienda rispetto a quello che fanno, sia rispetto ai temi sia di sicurezza delle informazioni che di data protection.

Salve a tutti, siete all'ascolto di INSiDER - Dentro la Tecnologia, un podcast di Digital People e io sono il vostro host Davide Fasoli.

Oggi parleremo di informazioni, più nello specifico cercheremo di capire come si proteggono i dati che ci permettono di analizzare la realtà che ci circonda.

Prima di passare alle notizie che più ci hanno colpito questa settimana, vi ricordo che potete seguirci su Instagram a @dentrolatecnologia, iscrivervi alla newsletter e ascoltare un nuovo episodio ogni sabato mattina su Spotify, Apple Podcast, Google Podcast oppure direttamente sul nostro sito.

Lo scorso martedì Apple ha presentato tramite un comunicato stampa le nuove AirPods Max, delle cuffie over-ear che quindi coprono l'intero padiglione auricolare.

Questo prodotto eredita tante funzioni di AirPods Pro, come la cancellazione dei rumori ambientali, la modalità trasparenza per invece sentire i suoni provenienti dall'esterno e l'audio spaziale, una modalità audio tridimensionale molto più immersiva.

Ma la cosa che sicuramente farà più parlare ed Apple n'è perfettamente consapevole è il prezzo.

629 euro sono una cifra molto elevata anche per un prodotto di questo tipo.

Certo però è che l'attenzione mediatica che avranno queste cuffie, soprattutto appunto per il prezzo, permetterà ad Apple di essere al centro dell'attenzione in un periodo dell'anno che è notoriamente rilevante per quanto riguarda gli acquisti e di riflesso potrebbe portare pubblicità gratuita anche a tutti gli altri prodotti dell'azienda.

Dopo i diversi lanci abortiti di questa settimana, SpaceX è finalmente riuscita a concludere con successo il test del veicolo spaziale Starship che avrà il compito di portare l'uomo su Marte entro il 2050.

Alle ore 23.40 di giovedì 9 dicembre, dopo svariati countdown, interrotti per problemi tecnici, i tre motori Raptor dell'ottavo prototipo di Starship si sono finalmente accesi e il veicolo spaziale di 50 metri ha spiccato il volo, arrivando all'apice di 12,5 chilometri.

Durante la fase di risalita dell'atmosfera i tre motori si sono gradualmente spenti portando SN8 alla quota prevista, dopo la quale ha iniziato una lenta discesa orizzontale verso la piattaforma di arrivo.

Qualche chilometro prima di toccare terra, il veicolo spaziale di SpaceX, grazie alle ali pieghevoli e ai tre propulsori, ha ridefinito l'assetto portandosi in posizione verticale.

Tuttavia, al momento dell'atterraggio si è schiantata al suolo con una spettacolare esplosione.

Nonostante possa sembrare un fallimento, dal punto di vista di Elon Musk e di SpaceX questo volo di prova è riuscito perfettamente, poiché grazie ai dati raccolti consentirà di effettuare migliorie da portare sul prossimo Starship SN9 che verrà lanciato il prima possibile.

protezione delle informazioni rappresenta oggi un valore imprescindibile sul quale forse non ci si concentra abbastanza.

Un caso eclatante è quello accaduto qualche settimana fa quando il ministro della difesa olandese ha pubblicato un post sui social nel quale mostrava la password di accesso ad una riunione riservata dei ministri della difesa dell'Unione Europea e con tali credenziali un giornalista è riuscito ad ascoltare e anche intervenire in questa conversazione.

E per capire come si proteggono le informazioni oggi è venuto a trovarci Luciano Quartarone che svolge in un'azienda che si occupa proprio di conservare le informazioni il ruolo di CISO, Chief Information Security Officer o direttore della sicurezza dell'informazione.

Benvenuto Luciano.

Buongiorno Davide, grazie per l'invito.

Ci spieghi di che cosa ti occupi nell'azienda in cui lavori?

Certamente, all'interno dell'azienda per cui il lavoro ricopro il duplice ruolo di responsabile per la sicurezza delle informazioni ed anche il ruolo di Privacy Director.

Questa definizione è un po fuorinorme ma è un ruolo del tutto equivalente al più noto ruolo di Privacy Manager.

Il CISO è all'interno di un'organizzazione il più alto livello responsabile per la protezione delle informazioni e dei dati trattati dall'azienda.

Il suo scopo è quello di garantire che le stesse informazioni siano opportunamente protette pur essendo fruibili allo stesso tempo.

Il caso infatti è che se proteggiamo troppo le informazioni e non riusciamo ad utilizzarle non ce ne facciamo effettivamente nulla.

Questa protezione riguarda sia aspetti logici, sia tematiche organizzative, sia adempimenti normative.

Per questo motivo il ruolo del CISO è presentare di convergenza anche con altre figure tipicamente operanti all'interno di un'organizzazione ovvero il CIO, il CSO e il DPO.

Il CISO sintetizza molto la sua mission, definisce le strategie di sicurezza delle informazioni e protezione dei dati coordinando soggetti interni ma anche esterni all'organizzazione verso il raggiungimento e il mantenimento degli obiettivi di sicurezza dell'azienda.

Per questo motivo il CISO si interfaccia sia con l'alta direzione quindi il Consiglio d'amministrazione, l'amministratore delegato, il topo management, sia con tutti i ruoli manageriali, manager di linea, sia con la parte operativa.

Ho capito.

E da un punto di vista normativo ci sono dei riferimenti riguardo questo ruolo?

Sì, allora a livello nazionale il ruolo è definito dalla norma 11621 a cui ho contribuito la sua redazione nella sua prima stesura del 2016 e che recentemente ha visto un aggiornamento per adeguamenti terminologici introdotti da altre norme.

Non esistono tuttavia dei requisiti che impongono alle aziende di prevedere questa figura all'interno dell'organizzazione organigramma aziendale.

Un po come invece succede, o è fortemente indicato nel regolamento per la protezione dei dati, per esempio per il DPO, dove a seconda di alcune condizioni allora è necessario introdurre questa figura in organigramma.

Del resto anche un recente studio dell'Osservatorio del Politecnico di Milano ha evidenziato come il ruolo del CISO sia presente solo nel 27% dei casi delle aziende interpellate.

Questo è un dato di cui secondo me non dobbiamo essere tanto felici perché mi viene da pensare che molte aziende stiano perdendo l'opportunità di salvaguardare il proprio patrimonio informativo e quello dei clienti per i quali lavorano.

Spiegaci praticamente di che cosa ti occupi all'interno dell'azienda.

Ok, ogni giorno il CISO deve garantire che i dati in qualunque modo in transito nell'azienda, e che quindi assumono il rango di informazioni, siano adeguatamente protette.

Ai nostri clienti, faccio un parallelo con quello che facciamo noi tutti i giorni, dobbiamo garantire che i dati che trattiamo per loro conto siano al sicuro tanto quanto in una loro cassaforte, se non addirittura anche di più.

Quindi tutti i giorni devo presidiare sia le attività correnti sottese all'erogazione dei servizi di business dell'azienda, sia assicurare un adeguato supporto alla progettazione o all'aggiornamento dei servizi che eroghiamo, e altro elemento non trascurabile sia alla definizione e al monitoraggio delle misure di sicurezza che l'azienda adotta.

A questo chiaramente si aggiunge anche il riscontro che devo dare alle diverse aree aziendali su una varietà di temi che intersecano gli aspetti di sicurezza con la protezione dei dati.

E quali relazioni hai con le altre entità, gli altri ruoli, le altre persone che lavorano appunto all'interno della tua azienda?

Come accennato in apertura, il mio ruolo deve necessariamente relazionarsi con altre figure presenti in azienda, siano esse interne o esterne.

Fra queste vale sicuramente la pena citare il CO e il CSO, se pur purtroppo nella nostra azienda questo ruolo non sia stata ancora formalizzato a livello di organi GRAMBA, ma CIO, CSO e CSO formano una triede che deve essere a diretto riporto del Consiglio di Amministrazione e che governa un aspetto di quella che comunemente viene chiamata sicurezza.

Poi bisognerà distinguere fra sicurezza e sicurezza.

E queste due figure, queste altre due figure che hai citato, di che cosa si occupano poi praticamente?

Esatto, non è solamente una questione terminologica come dicevo prima, ma dietro queste tre definizioni ci sono delle sostanziali differenze operative e anche di competenze necessarie per ricoprire questi ruoli.

Cerco di non banalizzare ma vorrei semplificare un attimino che cosa fanno queste figure.

Se da un lato possiamo dire che il CSO definisce sulla base di regolamenti cogenti, di standard internazionali, di prassi di riferimento o anche regolamenti interni, delle politiche che devono essere adottate e seguite dall'azienda e ne stabilisce anche il contenuto.

Il CIO ha il governo dei sistemi informativi che recepiscono queste politiche, quindi struttura l'insieme dell'applicazione del sistema informativo che implementa un servizio di business.

Il CSO invece si deve occupare della sicurezza nell'erogazione di questi servizi di business, quindi deve recepire nel concreto le politiche di sicurezza adottando delle misure che possono essere dispositivi hardware o software a tutela della protezione e della corretta erogazione di questi servizi.

Se ci fosse un attacco alle informazioni che devi proteggere come ti devi comportare per proteggere queste informazioni?

In caso di attacco ovviamente bisogna difendersi in qualche modo, però non succede mai come nelle tv o nei wargames, bisogna agire realmente, ma la miglior difesa parte molto tempo prima, non in quell'istante.

Bisogna intervenire da un lato sulla progettazione della sicurezza e delle misure di sicurezza che deve essere introdotta fin dagli stati primordiali della concezione di un servizio o di un prodotto che deve essere erogato a un qualche dono e su questo mi sento di fare un parallelo molto molto stretto con i principi di privacy by design e by default introdotti dal regolamento europeo sulla protezione dei dati.

Dall'altra parte bisogna intervenire sul cosiddetto fattore umano, quindi sulle risorse umane che lavorano all'interno dell'azienda che notoriamente rappresentano l'anello più debole di questa catena azienda.

Quindi praticamente bisogna lavorare sia su la formazione di competenze specifiche per il personale che opera all'interno dell'azienda che sia anche l'operatore di helpdesk, l'operatore di amministrazione, un project manager, uno sviluppatore, anche loro possono rappresentare un punto di debolezza e quindi una minaccia per il mantenimento della sicurezza dell'informazione all'interno dell'azienda, sia sulla parte di awareness, quindi questa consapevolezza che è richiesta alle persone che lavorano all'interno dell'azienda, rispetto al loro ruolo all'interno dell'organigramma o del funzionogramma aziendale rispetto a quello che fanno, sia rispetto ai temi sia di sicurezza delle informazioni che di data protection.

Sì diciamo che quindi l'essere umano è l'anello più debole di questa catena perché spesso magari non conosce i temi della cyber security o non è competente appunto in termini di cyberattacchi.

Io direi che non è abituato, così ci colleghiamo di più alla parte di awareness, perché magari un ottimo programmatore è molto bravo in quello che fa, però poi ha dei comportamenti che possono inficiare quello che effettivamente produce e quello che l'azienda eroga, per questo bisogna esistere sia sulle competenze specifiche, sia su questa consapevolezza dove la parte di training chiaramente interagisce direttamente, influenzia direttamente le competenze, l'awareness modifica le abitudini e quindi comportamenti delle persone.

E perché secondo te non sono abituate le persone a questi aspetti?

Sarà capitato anche a te o comunque capiterà a molte persone nelle sale e ristor o delle aziende o anche in un autogrill di parlare con colleghi di cose in cui non si dovrebbe parlare, poi non pretendo per esempio dei miei colleghi che sappiano fare un'analisi dei rischi e una valutazione di rischi opportuna rispetto a quello che stanno facendo anche di fronte a una macchinetta del caffè, ma la modificazione sulle abitudini dovrebbe proprio portarle a riconoscere che davanti alla macchinetta del caffè, ma potresti essere anche in viaggio sull'autobus metropolitano o su un treno, non devi metterte a parlare di lavoro o di quello che fai sul lavoro perché parlando così anche amichevolmente con conoscenti potresti darla...

si stai mettendo in pericolo...

diffondere informazioni.

Ti dico c'è della documentazione a supporto del nostro framework documentale per le certificazioni che non è nota a tutto il personale dell'azienda perché contiene degli elementi che se erroneamente diffusi potrebbero minare il corretto funzionamento dell'azienda.

Mi è fatto venire in mente una cosa e adesso in questo periodo sappiamo molti dei lavoratori, immagino anche nella tua azienda, si trovano a distanza e non lavorano, non vengono fisicamente in ufficio.

Lo smart working rappresenta un rischio ulteriore che devi affrontare e che devi anzi valutare nel tuo lavoro?

Allora lo smart working, meglio di smart working, se ne è parlato molto in questi ultimi mesi, stranamente ringraziamo la pandemia perché ci siamo riscoperti in un nuovo modo di lavorare dove fino a poco tempo fa forse per retaggi culturali non eravamo così tanto abituati, a differenza di quello che accade all'estero.

Lo smart working come ogni forma di telelavoro ovvero di lavoro erogato in un luogo diverso dalla normale sede operativa, introduce delle minacce in azienda che possono risultare in danno e quindi effettivamente rappresentare un rischio per l'erogazione dei servizi stessi dell'azienda.

Queste minacce possono interessare sia il dipendente che sta lavorando a casa sua o altrove, sia la postazione di lavoro usata dal dipendente che non è detto che sia la postazione di lavoro che abitualmente ha in azienda, sia il sistema informativo aziendale che viene acceduto dal dipendente in questa nuova sua location.

Queste minacce si concretizzano perché l'azienda non riesce ad avere un controllo end to end su tutta la catena di connessione da dove sta il dipendente al lavoro fino all'ingresso dei dati in azienda e questo perché ognuno a casa propria ha un proprio sistema di connessione ad internet sul quale l'azienda riesce a fare ben poco.

Bisognerebbe arrivare con un cavo fino alla casa del dipendente e anche in quel caso magari avresti comunque dei rischi collegati.

Sì, anche in quel caso avremo qualche problema dato da un cavo che si estende molto però concettualmente quasi ci siamo.

Questo aspetto a noi in azienda non ha impattato negativamente in modo significativo perché a differenza di altre aziende tutti i nostri dipendenti o quasi tutti insomma hanno delle prestazioni di lavoro mobile di portatele già configurati per connessione remote in azienda e quindi non c'è costato sostanzialmente nulla di da un momento all'altro da domani si lavora a casa.

Questo però non elimina comunque tutti i rischi che l'azienda va incontro proprio per quello che dicevo prima la connessione ad internet non è controllata dall'azienda.

È vero che possono essere introdotte delle connessioni tipo VPN o connessione remote alla Citrix e così.

Bisogna comunque mitigare, intanto le prime non sono poi così tanto sicure dall'altro richiedono comunque un'infrastruttura tecnologica che sia veramente carrozzata perché se dall'oggi al domani bisogna supportare 200 connessioni concorrenti in più in ingresso all'azienda questo potrebbe rappresentare quasi una minaccia quasi un attacco di denial of service rispetto allo specifico servizio.

Certo perché comunque poi magari c'è anche una grande richiesta di velocità da parte del dipendente che deve fare magari chiamate di lavoro e quindi necessita una rete protetta.

Parlo per me, io passo molto tempo in videoconferenze dove quando anche ci fosse solo l'audio ma se l'audio è interrotto è un problema insomma, non ci si capisce.

Rispetto a colleghi invece che devono lavorare in qualche modo su applicazione anche in modo coordinato se la connessione non è stabile non è efficiente abbiamo delle perdite di tempo e quindi perdite di efficientamento che difficilmente riusciamo a ricoprire.

E tutti i rischi che abbiamo analizzato fino ad ora quindi anche legati allo smart working che legame hanno nel globale nel complesso ai rischi collegati alla tecnologia dell'informazione?

Sono strettamente legati.

L'analisi dei rischi in generale risponde ad una delle domande che tipicamente tutte le aziende tutti gli amministratori delegati delle aziende rivolgono al CISO o a reparti tecnici ovvero quanto siamo sicuri e quanto siamo al riparo da rischi.

Allora intanto mi piace ricordare che nel nostro ambito quando parliamo di rischio intendiamo l'incertezza nel raggiungimento degli obiettivi quindi degli obiettivi di sicurezza, degli obiettivi di qualità, degli obiettivi di continuità operativa.

Questa definizione è esplicitamente richiamata nella ISO-IEC 27000 e quindi in tutta la famiglia delle norme ISO-IEC 27000 che riguardano proprio la sicurezza delle informazioni ma è anche immediatamente recepibile nei contesti di qualità e quindi ISO 9000 e 1 e nei contesti di continuità operativa e quindi la ISO 22301.

Lo stesso vale anche per altre norme e anche per il regolamento europeo sulla protezione dei dati.

Tutte queste standard e questi regolamenti richiedono che tutte le attività vengono valutate in termini di rischi poi con prospettive diverse.

In azienda un rischio legato all'analisi dei rischi è che essendo su ambiti diversi venga risa all'azienda una rappresentazione frammentaria o frammentata meglio dei singoli rischi e quindi non si riesce a capire esattamente qual è il rischio che deve affrontare l'azienda quindi non si risponde alla domanda dell'amministratore delegato che dice dimmi qual è la mia esposizione al rischio perché a lui potrebbe anche interessare poco se c'è un rischio alto su un aspetto di qualità e un rischio basso un pochino più alto su un aspetto di continuità operativa.

Ha bisogno di un'indicazione per decidere per avere gli elementi per prendere una decisione per andare verso una direzione piuttosto che un'altra investendo risorse e quindi anche denaro.

Molto interessante questo aspetto visto che di fatto quindi devi cercare di dare una visione che allo stesso tempo sia chiara e complessiva di tutti i rischi in cui potreste imbattervi.

Va bene grazie Luciano per questo intervento alla prossima.

Grazie a te per l'opportunità.

E così si conclude questa puntata di INSiDER - Dentro la Tecnologia.

Io ringrazio come sempre la redazione e in special modo Matteo Gallo e Luca Martinelli che ogni sabato mattina ci permettono di pubblicare un nuovo episodio.

Per qualsiasi tipo di domanda o suggerimento scriveteci a redazione@dentrolatecnologia.it.

Seguiteci su Instagram a @dentrolatecnologia dove durante la settimana pubblichiamo notizie e approfondimenti.

In qualsiasi caso nella descrizione della puntata troverete tutti i nostri social.

Se trovate interessante il podcast condividetelo che per noi è un ottimo modo per crescere e non dimenticate di farci pubblicità.

Noi ci sentiamo la settimana prossima.