CPX Italia 2017: quattro esperti di Cybersecurity a confronto

Si è svolto a Roma il Check Point Experience (CPX) Italia l’evento annuale dell’azienda Israeliana. La giornata aperta a tutti, è solitamente centrato sulle tecnologie del Vendor di security, ma contemporaneamente permette di essere aggiornati sulle recenti tendenze di attacco. Quest’anno i temi principali hanno riguardato principalmente il cybercrime verso le aziende grandi e piccole a mezzo ransomware e le campagne di attacco dirette agli ambienti Cloud e Mobile.

Le interviste a quattro esperti

In questa occasione di approfondimento sul panorama della minaccia e sulle tecnologie di analisi e difesa, abbiamo incontrato quattro manager dell’azienda che in base alla loro esperienza e conoscenza del contesto, hanno spiegato e indicato la direzione del prossimo futuro: Roberto Pozzi, Regional Director Southern Europe, David Gubiani, Security Engineering Manager, Marco Urciuoli, Head of Sales e Massimiliano Bossi, Channel Sales Manager.

Come sarà il futuro della Cybersecurity applicato a Robot, AI, Iot? Cosa sarà necessario prevedere fin dalla progettazione?

Roberto Pozzi: “Nel futuro ci siamo già, grazie alla diffusione di dispositivi di nuova concezione e molti altri sono in arrivo. Naturalmente questo comporta dei benefici ma anche criticità da considerare che dovrebbero evolvere di pari passo con il business. Ricordiamo ad esempio che insieme ai device IoT si deve parlare anche delle infrastrutture che li implementano.

Il messaggio della “Cybersecurity come priorità” ai decisori è arrivato, ma si deve capire cosa fare nella pratica: oggi la progettazione deve guardare alla sicurezza del business. In pratica significa che sebbene ci siano tante tante tecnologie potenziali da scegliere, si deve consolidare verso la prevenzione come fosse un mantra aziendale, contenendo la spesa IT e senza aumentare la superficie di attacco. Insomma ci si dovrebbe preoccupare di avere sistemi di sicurezza sufficienti a mantenere un attacco distante dal proprio perimetro aziendale. Naturalmente le aziende più piccole potrebbero non riuscire a fare tutto in casa e per loro il cloud potrebbe essere una risposta”

Abbiamo fatto la stessa domanda a David Gubiani: “I vendor sono visti come fornitori di soluzioni e prodotti, piuttosto che essere considerati come alleati. Chi si occupa di sicurezza è un abilitatore del business. Nella progettazione della security si cerca sempre di mantenere la più alta caratteristica di sicurezza, ma in una ottica di partnership, si può lavorare anche al mantenimento della flessibilità aziendale in favore del business adottando i corretti standard di security. Quindi sarebbe necessario che quest’ultimi fossero adottati estensivamente, ed efficacemente, perché i partenariati per la ricerca e l’innovazione sono auspicabili, se e solo se si raggiunge come priorità iniziale la compliance a livello di rispondenza agli standard di security, a cui far seguire come esigenza operativa una sicurezza implementata, che sia efficace.”

“In effetti il GDPR docet” aggiunge Roberto Pozzi “il regolamento non rappresenterebbe un’urgenza, tanto che in altri paesi si sono già preparati, in Italia invece si aspetta che diventi un obbligo normativo a pena di sanzione. È un fatto culturale. Questo aspetto è confermato anche da Marco Urciuoli che ricorda il caso dell’uso del casco sui motorini e l’obbligo delle cinture di sicurezza in auto che provocarono una adesione estesa solo dopo controlli serrati e multe diffuse.

 Se le estorsioni digitali continueranno a crescere a questo ritmo vertiginoso potrebbe crearsi un effetto depressivo dell’uso della tecnologia e un aumento di digital divide? E come scoraggiare questi effetti dettati dalla paura di essere oggetto di attacco ?

David Gubiani: “A meno di una tempesta magnetica è impensabile, che le persone rinuncino alla tecnologia, si pensi agli smartwatch o ai futuri oggetti connessi, ma senza awareness, ovvero la (consapevolezza dei pericoli n.d.r.) i più sono condannati a pagare i criminali. Non esiste una totale prontezza al rischio e anche se di soluzioni se ne sono tante, a volte manca la conoscenza per applicarle nel modo corretto.  Ma accade anche che vengano compresi i rischi a livello personale del singolo, e non a livello aziendale: le figure non appartenenti all’IT faticano a capire come incidenti che li coinvolgono, possano danneggiare l’intera reputazione dell’impresa”

Come si fa a far capire che del cloud ci si può fidare sebbene non si sappia con precisione dove siano i dati? come si aiutano e accompagnano gli utenti nella comprensione e nel processo volto alla fiducia ma anche alla garanzia di gestione?

Marco Urciuoli: “Fidarsi è bene non fidarsi è meglio. Per una azienda il cloud può essere considerato come una estroflessione ma è necessaria la capacità di personalizzare i livelli di sicurezza informatica considerando il cloud come parte dell’azienda in un perimetro più esteso. Questo significa sicuramente intervenire estendendo le policy di security, ma anche utilizzando accordi contrattuali a SLA specifici per gli opportuni livelli di sicurezza. Significa anche intervenire sulla valutazione del rischio in un modo che tenga conto della porzione di dati in cloud”. Insomma la fiducia si costruisce insieme”. Come esempio su quest’ultima affermazione, Marco Urciuoli ricorda anche la collaborazione di Check Point con alcune grandi assicurazioni per supportare le imprese nella corretta gestione del rischio. Dopo una prima fase di autovalutazione a mezzo di questionari, l’azione di un vendor di security consente di abbassare il livello di rischio mediante interventi di mitigazione e remediation che riducono il rischio residuo ad un valore abbastanza basso da poter essere trasferito con una polizza assicurativa.

4 – Come si aiuta la awareness del pubblico potenziale cliente al di là degli eventi di marketing, o nel day by day, per consentire una scelta verso la sicurezza indipendentemente dal brand? Esiste secondo lei, un tema etico da porsi?

Massimiliano Bossi: “Si, si può fare ed è parte del nostro approccio. Nell’esempio del GDPR il tema oggi si è spostato dalla tecnologia alla consulenza. Stiamo veicolando informazioni e indicazioni nel modo più distaccato possibile. Cerchiamo di perseguirlo anche attraverso i nostri partner che fanno consulenza. Poiché in questa prima fase di comprensione del tema, si rende necessario informare e spiegare, stiamo supportando una disseminazione che fertilizzi il mercato. Se poi questo ci darà un ritorno è possibile e se si arriva anche a parlare di prodotto vuol dire che è andata bene”.

Precisa David che la disseminazione sui temi della security viene anche effettuata partecipando ad alcuni seminari all’università di Brescia, e presso alcuni istituti tecnici della provincia di Brescia per una divulgazione neutra e orientata alla consapevolezza. Il tutto avviene mediante l’impegno personale e la necessaria mediazione con le attività e gli obiettivi aziendali.