1. CYBER SECURITY:
A CHE PUNTO SIAMO?
Ivan Fadini, Business Innovation Director, ManpowerGroup Italia
Jonathan Brera, Partner, KPMG Advisory, Cyber Security
Claudia Angelelli, Partner Technical Lead, Microsoft Italia
Q&A - Webinar 30 Aprile 2020
2. Q&A #1
Experis | Cyber Security: a che punto siamo?
In ambito cybersecurity quanto contano le competenze di Business Analysis?
L'analisi di Cybersecurity richiede competenze di Business Analysis, oltre a quelle tecniche.
Siete d'accordo?
Come per un qualsiasi progetto IT, risulta indispensabile sia la conoscenza del business, sia della
tecnologia che si vuole digitalizzare/ottimizzare; lo stesso vale sicuramente per la Cybersecurity che ha il
compito di proteggere uno specifico business. Basti pensare, a titolo di esempio, alla rilevanza della
conoscenza del business per la valutazione di rischi ed impatti.
3. Q&A #2
Salve, in Italia si ha la sensazione che le aziende vogliano investire poco nella sicurezza informatica.
Cosa si può fare per aumentare la sensibilizzazione su questo tema e convincere le imprese ad
usare le loro risorse economiche per questo fine?
Purtroppo la tendenza è sempre quella di dire «ma a me non succederà».
La cybersecurity è vista un po' come l'assicurazione dell'auto, con la differenza che la prima non è
obbligatoria. Fino a quando l'evento non succede, si tende ad essere "ottimisti". L’indicazione, nella
speranza che non avvenga alcun evento significativo, è proprio quella di sensibilizzare le imprese in merito
al fatto che, esattamente come per l'assicurazione auto, il danno subito da un attacco informatico è
sicuramente molto superiore della cifra investita a priori per mitigare e prevenire i rischi.
Experis | Cyber Security: a che punto siamo?
4. Q&A #3
Salve, io ho una laurea in Business Continuity e Crisis Management effettuata in Regno Unito.
Attualmente sto conseguendo le certificazioni MTA Security e CompTIA Sec+.
Ma attualmente, nonostante i miei investimenti nella formazione, il riscontro che trovo nei colloqui
lavorativi è la mancanza di esperienza. Nell’affrontare i rischi della cyber, non c’è da affrontare anche il
problema culturale di investire sui giovani in questo ambito?
Annosa questione e, purtroppo, di non semplice trattazione. Occorre trovare la realtà aziendale corretta,
ovvero quella che valorizza la formazione e la crescita, rispetto a quella che, di fronte ad un problema
contingente e di necessaria soluzione, ragionevolmente, considera maggiormente l’esperienza, rispetto i
titoli.
In altre parole, è un tema di "domanda" di mercato dove, non ho dubbio, c’è però spazio per entrambi i
profili. Parlando di Experis, organizziamo sia corsi di formazione in ambito Cybersecurity per giovani
laureati, che master per professionisti. Sappiamo indirizzare entrambi i profili nella modalità corretta sul
mercato.
Experis | Cyber Security: a che punto siamo?
5. Q&A #4
Posso chiedere qual è il percorso professionale di uno che vuole occuparsi di cyber security?
Le competenze in generale che individuano i vari livelli di professionalità? Grazie
La risposta non è, ahimè, breve, perché la cyber security ha molte sfaccettature.
Per tentare di fare una sintesi, posso dire che alla base ci sono competenze di networking e system
engineering a cui, nel percorso di crescita, si possono aggiungere competenze anche più "funzionali" in
ambito di Project Management, Risk Assessment, Auditing,ecc. Anche i percorsi possono essere diversi a
seconda di tanti aspetti, in primis quello relativo a ruolo più tecnico/ruolo più manageriale. Un cybersecurity
specialist può, quindi, crescere diventando consultant e poi engineer/architect, così come diventare analyst
e poi passare a cybersecurity manager. In entrambi i casi un ulteriore passaggio potrebbe essere verso il
ruolo di CISO.
Experis | Cyber Security: a che punto siamo?
6. Q&A #5
Ci sono alcuni tipi di business che hanno una gestione del cambiamento molto attenta e regolata dalle
normative dei paesi in cui si fa mercato. In questo tipo di business il cambiamento non segue logiche
veloci come in altri ambiti. Come coniugare l'esigenza di cybersecurity di velocità di reazione con
l'esigenza di questo tipo di business che richiede un'attenzione maggiore alla gestione della change
e quindi una lentezza intrinseca maggiore? Faccio un esempio semplice: è successo in alcuni casi che
alcune patch di sistema per correggere vulnerabilità ha introdotto dei problemi ulteriori a causa
dell'urgenza usata per gestire il problema, questo non è accettabile per alcuni tipi di business come
medicale e farmaceutico.
Indipendentemente dalla velocità con cui un business è abituato al cambiamento, l'applicazione di patch/correzione
di bug dovrebbe essere sempre e comunque tempestiva, in quanto non rappresenta una modifica all'as-is/una
nuova funzionalità, bensì la semplice "sistemazione di un malfunzionamento". Personalmente non mischierei i due
aspetti che vanno tenuti concettualmente ben separati. Esiste, poi, sicuramente un tema relativo al fatto che la fretta
è sempre una cattiva consigliera e gli impatti di un errore possono essere più o meno gravi e più o meno legati
anche a questo o quel business e/o a questa o quella normativa. Qui, la doppia risposta che posso dare è:
1. Nessuna urgenza può rischiare di fare più danni di quanti intenda di risolverne (tema di processo/risk&impact
assessment)
2. Esistono metodologie/tecnologie che possono minimizzare i rischi di qualsiasi modifica prevista su un sistema
(per come applicabile, automated/continuous testing, microservices architectures per minimizzare impatto di una
change sulle diverse aree del business, ecc.)
Experis | Cyber Security: a che punto siamo?
7. Q&A #6
Si è parlato di diversi dispositivi "domestici", IoT, ecc e dei rischi connessi.
Ma quindi discorsi analoghi valgono anche per Amazon Echo, Google Mini ed altri assistenti
vocali immagino?
Senza entrare nel merito di quanto questi o altri dispositivi ci "spiino" (diatriba oramai piuttosto "matura"),
l'idea è sempre la stessa toccata anche durante il webinar: qualsiasi cosa non sia strettamente necessario
all'esercizio dell'attività che dobbiamo completare è un potenziale rischio e quindi sarebbe meglio
spegnerlo!
Experis | Cyber Security: a che punto siamo?
8. Q&A #7
È possibile avere più informazioni in merito all'assessment di cui avete parlato?
L'idea di fondo è che, come detto durante il webinar, awareness e readiness sono due aspetti fondamentali
in tema di cybersecurity. Il nostro assessment si basa su un programma di 5 giorni, con una serie di
incontri ben definiti (guidati da processi e strumenti consolidati nel corso di anni di esperienza sul campo),
con le varie funzioni di business dell'azienda e con dei report che vengono consegnati al termine del
percorso con l'obiettivo di condividere lo stato dell'arte della particolare realtà aziendale in termini di
cybersecurity e delle persone che la compongono.
Per maggiori informazioni potete consultare la pagina http://info.manpower.it/experis-cyber-security e
contattare il collega Francesco Bottaro francesco.bottaro@IT.EXPERIS.COM/ 349.7045265.
Experis | Cyber Security: a che punto siamo?
9. Q&A #8
Experis | Cyber Security: a che punto siamo?
Come pensa che possa essere cambiato il ruolo di un BC manager e/o di un CISO nel nuovo contesto?
Il ruolo del BC Manager acquisterà sempre una maggiore rilevanza in quanto dovrà essere in grado di
analizzare ed indirizzare scenari di rischio molto più complessi (ad esempio l’accadimento contemporaneo
di indisponibilità della sede e delle persone o degli scenari temporalmente e geograficamente più estesi)
rispetto a quanto finora effettuato.
Soprattutto, poi, dovrà essere in grado di governare a 360° non più solo il passaggio da una situazione di
“normalità” ad una di “emergenza”, ma anche il passaggio tra diverse situazioni di normalità.
Entrambi i ruoli dovranno inoltre partecipare in maniera molto più proattiva alla fase di progettazione di
nuovi servizi / prodotti / processi, cercando di capirne profondamente gli aspetti di sicurezza e continuità.
10. Q&A #9
Experis | Cyber Security: a che punto siamo?
Quali elementi di maggiore preoccupazione vede lato Cybersecurity /Privacy per il medio-lungo periodo?
La maggiore preoccupazione è che le situazioni attuali in cui sono stati introdotti nuovi elementi tecnologici
e sono stati potenzialmente limitati i presidi di sicurezza per facilitare la continuità operativa si cristallizzino
determinando pertanto delle aree di rischio molto rilevanti. Sarà pertanto necessario alla ripresa effettuare
delle approfondite analisi rispetto alle reali situazioni di protezione da attacchi cyber
11. Q&A #10
Experis | Cyber Security: a che punto siamo?
Quali dovrebbero essere gli elementi fondamentali caratterizzanti un programma di Cybersecurity a partire
dalla situazione attuale?
Il 2019 è stato l’anno peggiore di sempre in termini di evoluzione delle minacce cyber e dei relativi impatti, sia quantitativamente che
qualitativamente. Si è oltrepassato un punto di non ritorno, tale per cui ci troviamo a vivere ed operare in una dimensione differente, in una
nuova epoca, della quale ancora non conosciamo bene la geografia, gli abitanti, le regole e le minacce. Gli attaccanti non sono più hackers
ma decine di gruppi criminali organizzati che fatturano miliardi, multinazionali fuori controllo dotate di mezzi illimitati, stati nazionali con i
relativi apparati militari e di intelligence, i loro fornitori e contractors, gruppi state-sponsored, civili e/o paramilitari ed unità di mercenari.
La situazione è cambiata drasticamente, siamo in un territorio sconosciuto e questo new normal in termini di rischi cyber, è diverso e va
gestito diversamente rispetto anche solo a 2-3 anni fa.
Nella situazione attuale, la sicurezza informatica non è una sfida, né certamente è la sfida del XXI secolo. La sicurezza informatica costituisce
un tragitto. Quello che per la società 4.0 costituisce, invece, una minaccia concreta e problematica sono gli attacchi cibernetici.
L’esigenza di creare nuovi modelli di business per aumentare la produttività delle industrie ha portato a una generale tendenza verso
l’automazione, l’informatizzazione, la virtualizzazione, il cloud e verso tutte le funzionalità presenti su mobile. L’insieme di queste
caratteristiche definisce l’industria 4.0 a cui le varie componenti sociali sono chiamate a rapportarsi e su cui agisce il rischio dei cyber
attacchi. Alla luce di queste considerazioni, gli elementi fondamentali caratterizzanti un programma di Cybersecurity sono costituiti
dall’implementazione di soluzioni e servizi per la messa in sicurezza dell’identità dei clienti e dei dispositivi nei quali le applicazioni sono
utilizzate. Unendo a questo l’importantissima fase di analisi continua per rilevare gli attacchi degli hacker.
12. Thank you!
Ivan Fadini, Business Innovation Director, ManpowerGroup Italia
Jonathan Brera, Partner, KPMG Advisory, Cyber Security
Claudia Angelelli, Partner Technical Lead, Microsoft Italia