Cyber security e cyber resilience: l'importanza della componente umana

Alessandro Manfredini di AIPSA interviene al SecSolutionForum puntando l'attenzione su security by design e formazione.

Autore: Redazione SecurityOpenLab

Disporre dei migliori strumenti di cyber security non è sufficiente per proteggere i processi aziendali dalle minacce esterne. Occorre una forte componente di prodotti secure by design e un'intensa attività di formazione. Sono stati questi gli argomenti centrali dell'intervento di Alessandro Manfredini, Chief Security Officer e Vice Presidente di AIPSA, al SecSolutionForum 2021.

Il presupposto di partenza è ormai noto: stiamo uscendo da un'emergenza globale che ci ha posto di fronte a una serie di sfide, in cui una delle protagoniste è la resilienza, ossia la necessità di saper approcciare ai temi della tecnologia e della trasformazione digitale attraverso la sistematicizzazione dei nostri processi.

Manfredini sottolinea che i security manager hanno compreso che la sicurezza al 100% è materialmente impossibile. Questo tuttavia "non è un alibi per non fare le cose nel modo giusto. Ci sono best practice e standard di riferimento da applicare sul campo in modo professionale".
Quello che dev'essere chiaro a tutti è che la sicurezza non è più il paradigma del castello medievale: non basta ùalzare il ponte levatoio per mettere al sicuro tutti coloro che si trovano all'interno delle mura. Mette al sicuro è oggi una logica che implica capacità di reazione a un evento, che si tratti di un guasto, di un cyber attacco, o altro. Per questo è importante progettare i processi affinché abbiano una capacità reattiva molto forte e veloce. "Dobbiamo imparare a mantenere la nostra produttività anche nel cosiddetto ambiente degradato".

In questo scenario le tecnologie diventano uno strumento, ma l'uomo ci deve mettere tanta testa, a cominciare dalla progettazione di soluzioni che nascono da una security by default o security by design. Manfredini è convinto che sia precisa responsabilità dei produttori immettere sul mercato soluzioni con la sicurezza nativamente integrata. È un tassello fondamentale per vincere la sfida dell'iper connettività, con il crescente numero di oggetti IoT e IIoT, altrimenti rischiamo di aprire vulnerabilità in servizi e processi.

La formazione e il ruolo del CISO


Oltre a questo primo tassello, ne occorre un secondo altrettanto importante: la formazione. Nella gestione dei processi l'uomo è l'anello debole della catena. Si possono avere a disposizione tutti gli strumenti di protezione, ma di fronte al clic compulsivo del collaboratore nulla sui può fare. Per questo occorre tanta formazione al personale, perché è l'unica strada per aumentare la capacità di intercettare le minacce di security.

La resilienza quindi sta anche nel coinvolgere di più le persone. Il concetto fondamentale da apprendere è che la security non è solo un problema del CISO o del CSO, è qualcosa che dev'essere nel DNA di tutti, sia nella vita privata sia in quella professionale. In quest'ottica, il responsabile della security deve stabilire chiare regole comportamentali da dover seguire all'interno dell'azienda e una chiara suddivisione dei compiti, che si apprendono mediante strumenti per aumentare la consapevolezza.

In questo paradigma, il ruolo del professionista della sicurezza è quello di fare la regia e governare in maniera olistica, ossia con la capacità di gestire i rischi a tutto tondo, da quello fisico a quello logico o cyber. Un punto da tenere sempre presente, infatti, è che "le minacce di tipo cibernetico hanno conseguenze sul mondo fisico che possono essere devastanti".

Visualizza la versione completa sul sito

Informativa
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, acconsenti all’uso dei cookie.