INTERVISTA AD ANDREA PIRAS DI CTM CAGLIARI

In questa intervista Andrea Piras, analista di sicurezza informatica presso CTM SpA di Cagliari, ci parlare di custodia a freddo dei dati, Privacy Impact Analysis e dello sviluppo della Cyber Security di PMI e PA.

Quali sono le mansioni del Cyber Security Analyst? Prevengono, rivelano e gestiscono le minacce alla sicurezza aziendale. Grazie a competenze specifiche, una formazione teorica e sul campo ampia riescono a prevenire attacchi e proteggere dati, reti e programmi delle aziende.

MINACCE SICUREZZA AZIENDALE: SOLUZIONE DI CUSTODIA A FREDDO DEI DATI (MEDIA OFF-SITE STORAGE)

In uno scenario dove gli attacchi diventano sempre più sofisticati e sempre più difficili da combattere, ritengo che una protezione dati off-site sia l’ultima arma di difesa con la quale custodire i propri dati aziendali. Queste copie “a freddo” non servono solo in caso di attacchi ma anche in caso di disastri naturali o accidentali. I dati salvati devono ovviamente essere custoditi opportunamente, criptati e con accessi ristretti sia fisici che logici.

Esistono diverse soluzioni in commercio, ma l’obiettivo è sempre lo stesso e cioè salvaguardare il dato, senza il quale non ci sarebbe nessun business.

La soluzione quindi non solo è vantaggiosa, ma necessaria. Anche per un’azienda con budget ristretto o nullo e senza un sito DR ci deve essere almeno una copia a freddo custodita in una cassaforte antincendio.

PRIVACY IMPACT ANALYSIS: INTEGRATA ALL’INTERNO DI UNA STRATEGIA DI CYBER SECURITY

Una PIA deve essere parte dell’approccio Privacy By Design in modo tale che potenziali problemi siano identificati in una fase iniziale del progetto, e devono entrare nel ciclo di vita del progetto stesso. Questo approccio aiuta a ottimizzare i processi e diminuire i costi. Quando si lavora in aziende non strutturate questo può diventare un lavoro titanico: tra le 3 principali fasi che compongono la PIA, e cioè identificazione flusso dati, identificazione dei rischi e individuazione delle contromisure ritengo che la parte più complessa sia la prima con la raccolta delle informazioni. In questa fase il data owner deve conoscere perfettamente i propri processi e il maggior effort è dato appunto dal cercare di mappare tutti i flussi dati e la loro categorizzazione.

L’impatto di una perdita di dati sensibili ha un effetto notevolmente negativo sia sul business, ma soprattutto può avere dei risvolti a dir poco tragici perché a seconda del danno, in rispetto anche delle normative GDPR, si possono avere sanzioni (fino a 20 milioni o fino al 4% del fatturato) che potrebbero piegare l’azienda e far chiudere i battenti. Per questo motivo quando si fa un risk assessment, anche avendo una probabilità bassa che venga sfruttata una determinata vulnerabilità, si deve tener conto del tipo di dato trattato.

QUAL È LO STATO ATTUALE, E IL SUO POSSIBILE SVILUPPO, DELLA CYBER SECURITY DI PMI E PA?

Il numero di CISO e responsabili della sicurezza all’interno delle aziende sono in aumento, alle volte spinte più dalla paura di sanzioni del GDPR. Ciononostante ritengo che, soprattutto in Italia, siamo ancora molto lontani dall’avere un approccio strutturato e questo vale soprattutto per le PA in quanto non hanno come core business servizi informatici, ma utilizzano servizi informatici per svolgere le loro funzioni. In diverse PA come nelle PMI chi si occupa di tecnologia è un po’ un tuttofare che si occupa anche di sicurezza e questo ovviamente è sbagliato. Le aziende dovrebbero avere un approccio alla sicurezza come se avessero già subito un data breach o un attacco con un impatto alto. Oggi invece diverse PMI e PA prendono consapevolezza di queste minacce solo dopo.

Ritengo che il futuro possa essere più roseo, con maggiori consapevolezze. Questo naturalmente dipenderà, soprattutto nelle PA, anche un po’ dallo svecchiamento del personale. Sono quindi fiducioso che la sicurezza in queste realtà diverrà non solo qualcosa di più consolidato ma una capacità organizzativa resiliente in grado di mutare più velocemente per contrastare minacce sempre più sofisticate nel corso del tempo.