La cybersecurity ha ormai un ruolo centrale all’interno di ogni contesto aziendale. In particolar modo per la protezione delle infrastrutture critiche, dove investimenti sempre più importanti, per far fronte al crescente numero di violazioni, portano le aziende a concentrare la sicurezza nelle mani di specialisti esperti. E allora quanto è importante la cultura della sicurezza per la protezione dell’intero Sistema-Paese? Ne abbiamo parlato con Danilo Gismondi – Chief Information Officer – Trenitalia SpA, e Riccardo Barrile – Chief Information Security Officer – Gruppo FS.
Key4biz. Quanto è importante la sicurezza e la protezione delle infrastrutture critiche oggi?
Danilo Gismondi e Riccardo Barrile. È un elemento imprescindibile anzi, è parte integrante della missione delle aziende che erogano servizi critici per il Paese. La cultura della sicurezza, che si tratti di esercizio operativo (es. servizi di trasporto), protezione dell’infrastruttura fisica o di sistemi tecnologici preposti alla erogazione di un servizio, rappresenta un pilastro trasversale senza il quale nessun piano industriale potrebbe realizzarsi nel corso del tempo. La sicurezza logica, dopo l’iniziale fatica ad imporsi negli anni ’90 ed inizio 2000, è vista non più come una voce di spesa “necessaria”, ma come una leva di business vera e propria. Che si tratti di sistemi commerciali o di tecnologie industriali, è ormai un fatto ineluttabile che i processi aziendali debbano svilupparsi grazie alla leva digitale e che quest’ultima debba fondarsi su un approccio alla sicurezza by design. La tecnologia è l’elemento di snodo: il ricorso sempre più imponente all’IoT, a paradigmi di condivisione tra imprese e tra imprese e cittadini, all’uso di Intelligenza artificiale nei processi industriali o di customer engagement, rappresentano grandi opportunità, ma celano rischi nuovi e minacce complesse da fronteggiare. Su questi aspetti riteniamo indispensabile mantenere alta l’attenzione attraverso il coinvolgimento continuo e fattivo delle strutture di cybersecurity.
Key4biz. Come funziona il modello di Governance & service per la sicurezza informatica all’interno di Ferrovie dello Stato?
Danilo Gismondi e Riccardo Barrile. Il Gruppo Ferrovie dello Stato Italiane, come infrastruttura critica nazionale, non può permettersi nessun rischio che possa portare a disservizi e interruzioni nell’erogazione dei propri servizi e per far fronte a tale necessità, adotta un approccio di tipo proattivo e preventivo, basato sul framework internazionale NIST (National Institute of Standards and Technology of US).
Già nel 2017 la funzione di cybersecurity del Gruppo FSI ha avviato un processo di riorganizzazione in linea con il nuovo quadro normativo nazionale e internazionale in materia di cybersecurity. Tale processo prevede un piano di internalizzazione di risorse e servizi di sicurezza informatica precedentemente forniti ed erogati da outsourcer.
Tra le innovazioni principali vi è la realizzazione del nuovo Security Operation Center (SOC) che eroga centralmente i servizi di cybersecurity per le Società del Gruppo FSI. Nonché l’utilizzo di strumenti cognitivi dotati di intelligenza artificiale per l’analisi delle minacce rivolte al Gruppo FS.
Il modello di Governance attuato in FSI è di tipo circolare con la struttura di cybersecurity di Gruppo che, oltre a definire linee guida e politiche in materia di sicurezza informatica, offre anche servizi operativi attraverso il suo SOC. Trenitalia, così come le altre società del Gruppo, opera in sinergia con la struttura Cyber, avvalendosi dei servizi di sicurezza logica e integrandoli nei processi ICT aziendali, in tutte le fasi del ciclo di vita del software e delle IT Operations. Tutto ciò genera una interazione continua, agevolata anche attraverso processi di co-location, che porta ad accorciare la catena decisionale e ad accelerare i processi di trasferimento di know-how
Key4biz. Purtroppo sono ancora poche le aziende che hanno nel proprio organico una figura con una responsabilità specifica come la vostra. Quali sono oggi le principali sfide per i Security e Information Officer?
Danilo Gismondi e Riccardo Barrile. In realtà le grandi aziende già da tempo hanno maturato la giusta consapevolezza sull’importanza di avere nel proprio organico il Security Information Officer anche in virtù del nuovo quadro normativo ma anche del crescente livello della minaccia cyber che non lascia molto spazio all’improvvisazione.
Il problema dell’assenza di tale figura si avverte nelle PMI che svolgono spesso attività per le infrastrutture critiche e spesso non hanno un’adeguata protezione dei propri sistemi informativi. Questa criticità rischia di vanificare tutti gli sforzi fatti dalle grandi imprese per mantenere un adeguato livello di protezione informatica.
Il rapido evolversi delle minacce informatiche impone al CISO una conoscenza approfondita non solo delle tematiche di cybersecurity ma anche del business da proteggere. Ritengo che la corretta interpretazione moderna del ruolo del CISO sia appunto quella di considerarsi parte dei processi dell’azienda, modificandosi dinamicamente in funzione delle strategie di business, evitando di porre rallentamenti o blocchi ma, piuttosto introducendo elementi di security by design già in fase di progettazione dei nuovi sistemi e/o applicazioni.
A tal fine è importante che il CISO organizzi momenti di scambio informativo con le altre funzioni dell’azienda al fine di aumentare il livello della consapevolezza sui temi della cyber sicurezza.
Key4biz. Il 16 maggio scorso è stato approvato in Consiglio dei Ministri il Decreto Legislativo per attuare in Italia la Direttiva NIS entrata in vigore il 26 giugno. Ora l’attuale quadro normativo e gli ambiti di applicazione previsti dal Decreto garantiscano un adeguato livello di protezione?
Danilo Gismondi e Riccardo Barrile. Certamente l’introduzione della direttiva si aggiunge ad altri strumenti normativi già in vigore in Italia che, come la direttiva, impongono l’obbligo di denuncia e/o condivisione di ogni evento di sicurezza che possa impattare sull’erogazione di un servizio considerato “essenziale”.
La Direttiva prevede un elevato livello di cooperazione tra i Paesi Membri dell’Unione Europea. Tale cooperazione richiede la presenza sui differenti territori nazionali di specifici CSIRT (Computer Security Incident Response Team) collegati tra loro in conformità con quanto previsto dall’Art. 11 della Direttiva in questione.
Il Gruppo FSI dispone da oltre un anno di un CSIRT in linea con quanto previsto dalla Direttiva e già predisposta per la comunicazione con il CSIRT “Transportation” che verrà a breve introdotto dal MIT (Ministero delle infrastrutture e dei trasporti), designato come autorità competente NIS.
Entro novembre 2018 è previsto che il MIT identifichi gli operatori di servizi essenziali per il settore trasporti, sottosettori aereo, ferroviario, per vie d’acqua e su strada e sarà interessante comprendere quale saranno i criteri identificazione.
Il recepimento di tale Direttiva è un importante passo avanti nella realizzazione di un piano di cybersecurity nazionale che prevede la cooperazione e partecipazione tra il pubblico e il privato. È però fondamentale che i tavoli di lavori istituiti abbiano tutte le competenze e le risorse necessarie per garantire la massima efficacia. A tal fine, il Gruppo è parte attiva nel supportare il suddetto tavolo all’elaborazione di questi elementi. Riteniamo che molto lavoro ancora deve essere fatto nella direzione di certificare attraverso enti istituzionali le soluzioni di sicurezza in uso ai cosiddetti “operatori di servizi essenziali”. È noto che le attuali leggi sugli appalti pubblici non consento di premettere parametri stringenti di qualità e di indirizzo, sulle acquisizioni da mercato delle soluzioni e delle tecnologie. Dunque ci aspettiamo da parte delle nostre istituzioni iniziative in tal senso, peraltro già in uso in altri Paesi.