Intervista a Fabrizio Pisasale, Marketing Specialist di Par-Tec, durante la 18° edizione del Forum ICT Security
Comincerei questo nostro incontro presentando prima di tutto Par-tec, l’azienda che oggi rappresento: Par-Tec è una società che si occupa di software system integration, presente su Roma e Milano.
Offriamo prodotti, competenze e servizi nell’ambito dell’infrastruttura IT, delle soluzioni verticali dedicate al mercato finanziario, alla business intelligence ed ora ci occupiamo anche di formazione.
Le nostre competenze in ambito security esulano dalla mera fornitura di prodotti, ci occupiamo di consulenza tecnica organizzativa sulle normative di riferimento senza mai trascurare la formazione specialistica per i nostri clienti.
Dato che la sicurezza non è fatta solamente di consulenze abbiamo scelto partner di primo piano dal punto di vista dei prodotti, raggiungendo la qualifica di top solution partner sia di Sophos che di Balabit, che riteniamo vendor altamente qualificati.
I nostri clienti spaziano nell’ambito delle Telco; forniamo servizi alla medium-large enterprise, abbiamo clienti nell’ambito della P.A., ci occupiamo di sanità e del mercato finance.
Per comunicare quanto incida la vulnerabilità delle risorse umane nelle aziende e nelle organizzazioni, ho fatto un’analisi sugli ultimi rapporti della sicurezza del 2016 per capire cosa effettivamente è successo.
Dallo studio di questi report, quello che risulta è che il 2016 è stato l’anno più devastante mai visto prima; non c’è mai stato un anno così critico: all’evoluzione del mercato della sicurezza informatica è corrisposta un’altissima evoluzione del mercato della criminalità.
Le cronache dello scorso anno hanno evidenziato l’impatto diretto della criminalità informatica sulla vita politica, sulle banche, sul sistema dei trasporti pubblici e sulle istituzioni. Praticamente oggi la criminalità informatica fa parte di ogni nostro ambito, è un problema sociale che abbraccia tutte le aree critiche della società.
Facciamo un velocissimo zoom su quella che è la situazione italiana:
Il valore totale del mercato IT in Italia è di 66 miliardi di euro; l’investimento per la sicurezza è di 1 miliardo di euro; questo dato, rapportato al PIL del nostro paese, è pari allo 0,05%; l’investimento sulla sicurezza è quindi pari all’1,5%.
Si pensi che nel mercato automotive, solo per fare un esempio, l’investimento sulla sicurezza equivale al 20% del totale.
Ciò che personalmente deduco da questo dato è che le aziende italiane restano troppo fiduciose che gli attacchi informatici non capiteranno proprio a loro, non considerando come gli investimenti per adeguarsi dal punto di vista della sicurezza risultino essere di gran lunga inferiori agli investimenti necessari per la remediation in caso di attacchi, malfunzionamenti o propagazioni virali.
Analizzando il fenomeno Ransomware, possiamo valutare un incidenza di propagazione del 3% dei casi. Questo 3% rappresenta milioni e milioni di tentativi di infezioni virali; quindi, anche se può sembrare una percentuale bassa, equivale a una cifra considerevole nel totale. Nel 2016 c’è stato un aumento delle infezioni di ransomware del 120% rispetto all’anno precedente; questo vuol dire che rispetto al 2015 si è verificato più del doppio delle infezioni.
Cambiando argomento, il phishing ha provocato danni per 2,3 miliardi di dollari; è una tecnica che viene perpetrata da più di 20 anni ma oggi si è evoluta con modelli di social engineering, tanto che in gergo tecnico viene chiamata “spear phishing”.
Passiamo velocemente agli attacchi più rappresentativi del 2016 (fonte rapporto Clusit 2016):
Veniamo in Italia:
Capitolo banche, vediamo gli attacchi che puntano al sodo:
Se tiriamo le somme di questa situazione, emerge che 6 attacchi su 10 sono stati causati dal fattore umano.
Che sia inconsapevolezza, imperizia, imprudenza, dolo o negligenza qui non ne facciamo più una questione di forma poiché il problema resta, ed è dannatamente reale; oggi le risorse umane rappresentano l’anello più debole della catena della sicurezza aziendale mondiale.
Questa vignetta satirica spiega che non c’è nessun rimedio all’incapacità di gestione delle risorse umane. Possiamo avere un sistema altamente evoluto, fortemente sicuro ma l’imperizia della risorsa umana è l’anello più debole della catena.
La ragione per cui le persone continuano ad essere l’anello più debole della catena della sicurezza è perché la maggior parte delle organizzazioni continua a rinunciare ad investire sulle loro competenze
Lance Spitzner, training director c/o SANS Securing the Human Program
Quest’altra immagine invece, rappresenta la mia personale visione della sicurezza, basata sulla mia esperienza. Ciò che ritengo utile è comunicarvi questo: secondo me il concetto di security oggi è un equilibrio sottile tra due parametri ben precisi e deve poggiare le sue fondamenta sulle solide basi delle conformità legislative; oggi le norme sono nella condizione di fornire supporto e linee guida molto utili e funzionali.
Per quello che riguarda i parametri di equilibrio, da una parte abbiamo la formazione e dall’altra la tecnologia.
Nei termini di sicurezza, il processo evolutivo di una azienda, oggi, deve crescere sempre in maniera equilibrata negli universi della formazione e dell’evoluzione tecnologica, mantenendo sempre una forte aderenza alle leggi che oggi ci garantiscono un potente supporto organizzativo.
Parliamo di compliance legislativa, andiamo ad approfondire velocemente questa tematica.
Gli adeguamenti legislativi sono stati creati a fronte di tutto quello che vi ho detto oggi. C’è un problema, c’è una piaga sociale chiamata criminalità informatica; le aziende non hanno abbastanza chiare le strutture e le organizzazioni per la sicurezza necessarie a proteggersi, e quindi stanno intervenendo le istituzioni governative, per dare supporto e concretezza.
Non sono una costrizione, non sono un problema da risolvere, come la maggior parte degli imprenditori lamenta, ma sono la soluzione al fenomeno in atto.
Il 25 maggio è una data molto importante; entrerà in vigore il GDPR, che ha come obiettivo quello di proteggere i dati personali dei cittadini europei.
Questa normativa, si rivolge sia alle aziende che alle pubbliche amministrazioni. Per la prima volta vengono imposti degli adeguamenti organizzativi e tecnici all’interno della gestione dei dati personali dei clienti.
Con l’entrata in vigore del GDPR le aziende dovranno proteggersi in maniera adeguata rispetto alla composizione dei loro asset e Par-Tec, data la complessità della questione, ha colto la sfida del mercato mettendo a disposizione i suoi migliori professionisti per fornire un valido supporto consulenziale in merito. Per l’occasione, in azienda abbiamo investito sulla formazione e sulla certificazione di una serie di risorse interne, e già da tempo abbiamo iniziato a riorganizzare i modelli organizzativi delle aziende in vista della prossima evoluzione legislativa.
Altra normativa, che forse non è così tanto conosciuta, è il NIS. Anche qui il Network Information Security Directive è un emendamento emanato da Enisa, un gruppo di esperti di security a livello governativo europeo che si è trasferito sull’isola di Creta e da lì ha emanato questa direttiva che è stata recepita da ogni Stato membro dell’Ue. Il NIS ha l’obiettivo di proteggere le infrastrutture critiche degli stati membri e nel suo ultimo decreto, fa due distinguo diversi fra operatori dei servizi essenziali e fornitori di servizi digitali, imponendo la definizione di strategie nazionali di cyber security.
In questa giornata abbiamo evidenziato come nel campo della sicurezza informatica la vulnerabilità delle risorse umane rappresenti l’aspetto più problematico.
Par-Tec, dalla sua posizione di mercato, ha il dovere di studiare e proporre soluzioni in merito; in quest’ottica abbiamo lanciato sul mercato una nuova linea chiamata Educational che ha lo scopo di elevare la consapevolezza di base delle risorse interne; offriamo formazione a distanza utilizzando un modello di e-learning e in aula.
TITOLO | MODALITÀ | LIVELLO | DESTINATARI | DURATA |
Misure minime sicurezza informatica | FAD | Base | End-user | 2h |
Il Regolamento europeo per la protezione dei dati (GDPR) e sua applicazione | FAD | Base | Addetti al trattamento | 4h |
Il Regolamento europeo per la protezione dei dati (GDPR): le novità rispetto al D.lgs 196/2003 | FAD | Base | Addetti al trattamento | 4h |
Metodologie e principali standard di sicurezza | FAD | Base | Addetti al trattamento | 4h |
Risk Management | FAD + Aula | Intermediate | Responsabili del trattamento | 8h |
Sicurezza delle informazioni: incident handling | FAD + Aula | Intermediate | Operatori della sicurezza | 8h |
Date un’occhiata alla lista dei corsi; stiamo cercando di fornire una conoscenza di base delle tematiche di sicurezza e l’obiettivo è quello di formare risorse sempre più specializzate anche su modelli di risk management e di incident handling, così che si possano formare anche competenze più di alto livello.
Da oltre 10 anni Par-tec si occupa di sicurezza e di formazione delle risorse umane; l’obiettivo dell’azienda è quello di indagare su questa nuova opportunità di mercato e in funzione a ciò abbiamo ottenuto un modello di certificazione ISO 9001 che ci abilita all’erogazione di servizi di formazione on-line.
In più i corsi prevedono l’attivazione di account di supervisione, così che all’interno dell’azienda ci possa essere una persona che monitora il processo di evoluzione delle competenze delle risorse. Alla fine del corso è possibile frequentare un esame di certificazione al superamento del quale si avrà un attestato di partecipazione.
I destinatari di questi corsi sono tutte le risorse interne all’azienda; gli impiegati che hanno bisogno di acquisire le competenze di base e quindi proteggere le aziende dal basso; i tecnici che hanno bisogno di aggiornarsi costantemente e di apprendere competenze specialistiche in relazione ai servizi specifici di cui si occupano; i manager che ne hanno bisogno perché le linee di business oggi si devono esprimere in un campo di competenza di aderenza legislativa.
Se avete bisogno di maggiori informazioni, vi invito ad approfondire su http://educational.par-tec.it.
Parliamo di tecnologia; esistono casi in cui, nonostante il livello di preparazione e gli adeguamenti legislativi ottemperati, il sistema mostri una vulnerabilità.
Può succedere, fa parte del nostro lavoro quotidiano, capita infatti che un utente si distragga nonostante sia stato formato adeguatamente.
A questo punto non importa neanche più di chi sia la colpa; quello che importa è che a quel punto la tecnologia deve entrare in azione e garantirci che dal punto di vista tecnologico i nostri sistemi siano sotto controllo.
Per questo motivo Par-tec si dota di una partnership molto importante con uno dei principali vendor a livello mondiale: Sophos è un’azienda di nascita inglese che si occupa di fare una proposta modulare e integrata di servizi per la sicurezza perimetrale, sia per quello che riguarda la protezione che per quello che riguarda la possibilità di cifrare dati all’interno di un’azienda nel nuovo universo del mobile management, dell’anti-ransomware e tutto ciò che oggi riguarda la possibilità di utilizzare la tecnologia all’interno di un’azienda per garantirne la sicurezza.
A cura della Redazione
Nel panorama odierno della sicurezza informatica, la protezione degli endpoint rappresenta un obiettivo imprescindibile per…
I numeri dell’evento Oltre 1000 ospiti, 42 relatori, 20 interventi tematici e 5 Tavole Rotonde:…
Group-IB è un fornitore, con sede a Singapore, di sistemi ad elevata attendibilità per il…
Le interazioni di natura digitale, su rete pubblica o all’interno di reti private, hanno assunto…
La Commissione Europea ha di recente ricordato come “Artificial intelligence (AI) is not science fiction;…
Di seguito il programma della Cyber Crime Conference 2024, che avrà luogo a Roma nei…