“Se ci si concentra su ogni minaccia non si sarà mai effettivamente sicuri. Si rischia di andare dietro a ogni allarme, a ogni emergenza, perdendo però di vista l’obiettivo principale, il focus sugli asset critici, quindi su ciò che è realmente importante per la mission di ogni particolare azienda. Se si prova a proteggere tutto, il risultato è che non si protegge nulla”. Lo dice in un’intervista a CorCom Niloofar Howe, Chief strategy officer di Rsa, multinazionale specializzata in soluzioni di cybersecurity che conta su più di 30mila clienti in tutto il mondo.
Howe, emerge in maniera sempre più decisa la necessità di adottare strategie di cyberscurity forti. In cosa consiste la “business driven security” di Rsa?
Dietro il concetto di “business driven security” c’è l’idea che la sicurezza non è un problema che riguarda la tecnologia, ma un tema fondamentale per il business di ogni azienda. Un problema di cybersecurity può provocare danni molto gravi, può causare il licenziamento di un Ceo, può distruggere la reputazione di una società, con esiti quindi non differenti da quelli causati dai problemi finanziari. Quando un manager commette un errore, oggi la conseguenza è uguale se questo accada nel campo della cybersecurity o nel campo delle scelte finanziarie. La nostra visione è che in questo campo si debba adottare una strategia basata sulla mission dell’azienda, e che questa sia l’unica maniera efficace per proteggersi. Bisogna prima capire a fondo la propria mission, e poi sviluppare la propria strategia di cybersecurity.
Lo scenario italiano è caratterizzato da poche grandi aziende e da una maggioranza di Pmi. Come si può riuscire a sensibilizzarle sull’importanza della cybersecurity?
Con l’avvento delle criptovalute, come bitcoin, ogni attacco può essere monetizzato in maniera molto veloce. Così ogni organizzazione, non importa di che dimensioni sia, si trova ad affrontare minacce simili, anche se possono provenire da nemici diversi. Tutto inizia dal mettere in campo un livello “basic” di difesa: avere sistemi correttamente aggiornati, con le giuste autenticazioni, e che ci sia in campo una adeguata soluzione di data recovery. Negi Usa – ma credo che avvenga lo stesso nel resto del mondo – stiamo verificando che anche i piccoli istituti scolastici possono essere attaccati, anche le scuole materne, perché anche lì sono custoditi dati che possono essere presi di mira dai ransomware: soltanto facendosi trovare pronti, al di là delle dimensioni delle vittime, si può minimizzare l’entità dei danni.
L’Italia non è un “fisrt mover” nel campo della trasformazione digitale e della cybersecurity. Può essere un vantaggio?
Sicuramente, perché c’è l’opportunità di osservare e imparare dagli errori commessi dai Paesi che per primi hanno scommesso sull’innovazione tecnologica. Quando si parla di smart home, ad esempio, e di oggetti intelligenti, si può capire in anticipo quale sia il valore di queste soluzioni e quali siano i rischi, e questo può essere un grande aiuto per chi si troverà a regolare un settore che in questo momento è totalmente senza regole. Si può vedere, ad esempio, come il settore si sta sviluppando negli Statui Uniti, e su questa base mettere in campo le regole per proteggere al meglio le persone. Essere un first mover non è sempre un vantaggio, mentre arrivare come “second mover” consente di trarre un vantaggio dalle lezioni apprese da altri.
Il nuovo regolamento europeo sulla data protection dispone che ogni azienda abbia un data protection officer: quanto è importante che la Cybersecurity entri nei Cda?
E’ importante quanto avere i revisori dei conti: oggi nei board ci devono essere esperti di finanza che confermino che le procedure e le scelte siano corrette, e lo stesso deve succedere nel “cyber”. Rispetto al Gdpr, i vertici dell’azienda devono preoccuparsi di cosa voglia dire adeguarsi alle nuove norme, e per questo è fondamentale che ci sia un esperto di cybersecurity all’interno del board of directors.
Qual è oggi il “punto debole” più diffuso nelle strategie di cybersecurity?
Il punto debole per eccellenza sono le persone: tutto dipende dai nostri errori. Si fanno errori nella programmazione, errori nel modo in cui i prodotti vengono compresi e utilizzati, errori nel modo in cui i prodotti vengono riparati. Senza dimenticare che tutti fanno errori nello scegliere i pulsanti sui quali cliccare o le password da utilizzare: l’essere umano rimane in assoluto il punto più debole nella cybersecurity. Volendo approfondire, gran parte dei rischi per le aziende arrivano da errori commessi da terze parti, dal momento che è difficile avere il controllo sulle loro scelte di cybersecurity. Nella supply chain, ad esempio, dal momento che si è connessi spesso ci si trova nella condizione di correre gli stessi rischi dell’anello più debole della catena.
Quanto è importante avere un approccio “open” alla cybersecurity, che preveda collaborazione e scambio di informazioni tra privati e con il pubblico?
Condividere le informazioni è fondamentale. Non si è ancora trovato il modo per farlo in tempo reale, ma si sta provando. Negli Stati Uniti è nata la “cyber threath alliance”, che consente alle aziende attive nel campo della cybersecurity di lavorare insieme scambiandosi anche le informazioni di intelligence. Dal momento che spesso chi attacca fa lavoro di squadra, è fondamentale che la stessa strategia venga utilizzata anche da chi si difende.
