SMI Bold: Davide Giribaldi, Chief Information Security Officer

Per la nostra rubrica SMI Bold abbiamo chiesto a Davide Giribaldi, Chief Information Security Officer di SMI, di fare il punto sullo stato della cybersecurity in Italia, su come viene approcciato il tema, le differenze pubblico-privato e uno sguardo su come le nuove generazioni affrontano l’argomento.

Dal suo punto di vista privilegiato in qualità di esperto a 360° sulla materia, ci ha lasciato diversi spunti molto interessanti.

Leggi l’intervista!

Se i “dati” sono l’oro del nuovo millennio, è necessario custodirli al meglio. A che punto siamo in Italia in tema di Cybersecurity?

Se dovessi riassumere la mia risposta in 5 parole direi che “Abbiamo ampi margini di miglioramento”, ma non vedo questo come un problema, piuttosto come un’opportunità per affrontare nuove sfide e provare a vincerle anche se in uno scenario in continuo mutamento.

Certo, a livello “Paese” siamo ancora lontani dal raggiungimento di molti degli 82 obiettivi stabiliti dalla Strategia Nazionale di Cybersicurezza 2022-2026, ma dal punto di vista pratico le cose stanno lentamente cambiando e questo è comunque un bel segnale.

Le organizzazioni pubbliche e private si stanno rendendo conto che quella della tutela dei dati e delle informazioni è la più grossa sfida da vincere per continuare a mantenere il rapporto di fiducia con i propri interlocutori, siano essi clienti piuttosto che cittadini.

In questo contesto i dati e più in generale le informazioni sono una materia preziosa, ma a differenza dell’oro o del petrolio, sono destinati ad aumentare in modo esponenziale nel tempo e la loro tutela è certamente una delle sfide più impegnative da affrontare.

Ci sono differenze tra settore pubblico e privato nella gestione dei rischi per la sicurezza?

Le differenze esistono e a tratti sono profonde, sia per i diversi obiettivi che hanno i due settori che per l’approccio alla crescente complessità delle minacce. È però fondamentale provare a ridurre queste distanze agendo a mio avviso su due pilastri fondamentali della cybersecurity: cultura e collaborazione.

Sul primo aspetto, quello della cultura, il percorso è più articolato e sicuramente c’è bisogno di tempo, mentre sul secondo, quello della collaborazione, le norme europee ci vengono incontro e possono aiutarci a trovare soluzioni in tempi rapidi.

Prendiamo ad esempio la Direttiva NIS2 che prevede una serie di misure di cybersecurity che le organizzazioni pubbliche e quelle di molti settori privati devono adottare per ridurre il rischio cyber.

Tra queste la definizione di misure di sicurezza appropriate e il monitoraggio della catena delle terze parti lungo tre direttrici: approccio coordinato, aumento consapevolezza e partnership pubblico-privato.

Anche in questo caso, per raggiungere l’obiettivo, sarà fondamentale considerare il contesto normativo non solo come un perimetro entro cui sottostare, ma un’opportunità per aumentare il valore delle organizzazioni attraverso la tutela dei dati.

Sia nelle aziende che nelle Pubbliche Amministrazioni, il tema della cyber security è percepito nel suo peso strategico anche dal Management o viene visto ancora come mero aspetto “tecnico” a cui doversi conformare?

 “La cybersecurity è una responsabilità condivisa” e il successo di una buona politica sulla cybersecurity dipende dal contributo di tutti i membri dell'organizzazione.

Il senso di responsabilità però si diffonde solo se parte dall’alto, dal top management ed è qui che a volte nascono le incomprensioni, non tanto per mancanza di competenze specifiche, quanto nella difficoltà di fare combaciare le diverse priorità. 

Per trasformare la cybersecurity in asset strategico, sono necessari due ingredienti: semplicità e trasparenza.

Chi fa il mio mestiere ha il dovere di parlare un linguaggio semplice e comprensibile a tutti, ma non deve dimenticare che il management ha bisogno di risposte chiare e inequivocabili.

Se vogliamo evitare incomprensioni che portino a considerare la cybersecurity come un costo piuttosto che un’opportunità, dobbiamo essere trasparenti e inappuntabili sugli obiettivi da raggiungere.

Chi ha ruoli di responsabilità nelle organizzazioni pubbliche e private, vuole conoscere in tempi rapidi i rischi, gli impatti, i costi e i modi per affrontare scenari potenzialmente scomodi, noi dobbiamo supportarli nelle scelte, ponendoci come interpreti dei diversi tipi di linguaggio che animano le organizzazioni.

Provo con un esempio: il termine “protocollo” all’interno di un’azienda può assumere diversi significati a seconda che sia usato da un sistemista di rete, da uno sviluppatore software, da un legale o da un commerciale.

Ecco, il mio mestiere è facilitare la creazione di un linguaggio comune, di un framework sulla sicurezza delle informazioni, con cui eliminare i possibili fraintendimenti e aiutare le organizzazioni a prendere decisioni consapevoli, analizzando i vari fattori di rischio e scegliendo solo tutto ciò che è strettamente necessario al raggiungimento dei propri obiettivi.

Anche in alcune tue recenti interviste/articoli, sottolinei l’importanza della formazione personale come primo strumento di difesa. L’elemento umano – nel bene e nel male - resta quindi centrale per affrontare le minacce?

Cybersecurity è prima di tutto cultura, poi strategia, intelligence, competenza, organizzazione, tecnologia e perché no? Anche un po’ di fortuna. 

Molti di noi sono convinti che l’uomo sia l’anello debole della catena, in buona parte è un’affermazione corretta, ma se fosse l’intera catena della cybersecurity ad essere debole?

Il mio dubbio nasce da un assunto forse banale, ma tutto sommato attendibile: se la tecnologia è creata dall’uomo che naturalmente è imperfetto, è possibile considerarla perfetta e quindi sicura al 100%?

La cybersecurity è una materia complessa e il modo più efficace che abbiamo per semplificarla è partire dall’elemento umano, dalla sua formazione per creare consapevolezza e dall’opportunità di trasformarla nel tempo in cultura.

C’è sufficiente consapevolezza dei rischi on-line tra le nuove generazioni “native digitali”?

Credo non del tutto.

I “nativi digitali”, ragazzi della Generazione Z nati dopo il 1996, sono stati immersi nelle tecnologie emergenti sin dalla giovane età e sostanzialmente sono sempre connessi, anche quando non sanno di esserlo. È normale che siano tra i più esposti alle violazioni e alle truffe informatiche, ma in un certo senso sono avvantaggiati rispetto alla mia generazione.

Non è solo per una questione anagrafica, ma per il fatto che hanno davanti a loro la possibilità di costruire un mondo digitale migliore di quello attuale, più sicuro.

Il fatto che una buona parte di loro si sia appena affacciata al mondo del lavoro, unita a una velocità di apprendimento incredibile e soprattutto a una naturale propensione alle tecnologie, fa di loro una generazione con grandi potenzialità, ma con altrettante responsabilità.

Noi, Generazione X, primi Millenials, Boomers e via dicendo, abbiamo il dovere di aiutarli a comprendere la fatica che abbiamo fatto e che spesso facciamo ancora, ogni volta che approcciamo alle tecnologie e nel nostro caso, ogni volta che affrontiamo il tema della sicurezza delle informazioni.

Loro, hanno l'opportunità di vedere i nostri errori e ripeterli, perché tra pochi anni avranno le stesse nostre responsabilità di oggi, forse anche maggiori e la tecnologia non fa sconti a nessuno.

Loro sono bravissimi, noi dobbiamo solo imparare ad ascoltarli e prepararci a cambiare.

Sono fiducioso, ci sarà molto da fare!

Quali sono gli attacchi cyber più frequenti? Come possiamo difenderci?

Phishing e ransomware sono sicuramente i più frequenti. Entrambi sfruttano l’inganno come tecnica per raggiungere l’obiettivo e, come se non bastasse, la metà degli attacchi di tipo ransomware iniziano proprio con un tentativo di phishing.

L’uso dell’intelligenza artificiale li sta rendendo più efficaci e quindi è necessaria una maggiore attenzione per evitare di cadere nella trappola.

Anche in questo caso, la cultura, i processi e la tecnologia, se messi davvero in questo ordine, possono contribuire a mitigare i rischi connessi e a offrire buone tecniche di difesa.

Ne cito due tra le mie preferite:

1. Ricordarsi che la cybersecurity non finisce con l’orario di lavoro.
2. Ricordarsi che anche i più bravi tra noi sono a un click di distanza dall’errore.