Security e Privacy | Delaini & Partners
x


X
L’informatica gestionale, quella che coinvolge le aziende di qualsiasi settore e dimensione, è nata attorno alla metà degli anni ’70. Fino agli inizi di questo millennio il problema della sicurezza consisteva solamente nella precauzione di fare qualche backup e quello della privacy era completamente ignoto. La diffusione dei collegamenti tra aziende (clienti, fornitori, partner) e l’accesso attraverso internet hanno a poco a poco evidenziato una serie di rischi che arrivano a toccare persino i privati. Per fare un po’ d’ordine nelle numerose – e magari contrastanti – indicazioni che ci arrivano da più parti abbiamo chiesto alcune valutazioni ad alcune realtà che si occupano di porre riparo al problema (l’ordine è quello alfabetico) ed in particolare a:
  • Marco D’Elia, Country Manager di Sophos Italia
  • Gianni Locatelli, Sales Director di WSS Italia
  • Giuseppe Ricci, CEO e Founder di Active 121
  • Piermaria Saglietto, CEO di Compet-e
La Tavola Rotonda parte con una prima domanda fatta ai nostri cortesi ospiti.

Da quando – molti anni fa – le reti aziendali si sono aperte ai collegamenti esterni verso il Web e, successivamente, a transazioni che collegavano più sistemi informativi, il problema della Security e quello della Privacy – differenti ma con più d’una connessione tra loro – sono diventati un tema molto “caldo” per tutte le imprese. In che modo e quando avete iniziato a proporre soluzioni in questi ambiti? E con quali ritorni in termini di interesse da parte dei clienti?
Iniziamo dando la parola a Giuseppe Ricci, CEO di Active121 che spiega come sono arrivati a questo mercato: “Siamo nati più di 20 anni fa per sviluppare soluzioni per il digital marketing, allora in forte evoluzione anzi tutto da inventare. Ci occupavamo di analisi comportamentale e soprattutto di marketing one-to-one (da cui il nome “121”). Nel 2016, accostandoci al GDPR, ci siamo resi conto che le cose sarebbero cambiate per davvero e che il problema non era la Governance (la documentazione sulla Privacy, per capirci) ma mettere poi in pratica quanto promesso sulla carta. Avevamo individuato come problema principale i trattamenti di marketing (che conoscevamo bene) e la gestione dei Consensi: non i cookie ma i Consensi nominali, quelli che adesso abilitano lo Zero-party Data (Forrester: “Gli Zero-party data sono quei dati che un utente condivide intenzionalmente e in modo proattivo con un brand”). A Gennaio 2018 abbiamo presentato PrivacyOS (www.privacyos.com), in assoluto il primo Consent Manager del mercato riscuotendo un successo tale da farci cambiare totalmente business, passando dallo sfruttamento dei dati personali alla loro protezione.
x
Marco D’Elia, Country Manager di Sophos Italia, ritiene opportuno inquadrare lo scenario da una prospettiva differente: “Partiamo dai dati che dimostrano quanto la cyber security continui a costituire un mercato solido: si tratta infatti di un mercato da 100 miliardi di dollari, con una crescita annua del 10/12%. Di fatto oggi la cyber rappresenta una priorità imprescindibile per aziende di qualsiasi dimensione. Tuttavia per molte aziende la gestione interna della cyber security rappresenta una sfida estremamente articolata dato il crescente livello di complessità delle minacce informatiche e il costante ampliamento del perimetro aziendale da proteggere.
Le aziende ricercano vendor tecnologici che possano affiancarle nella gestione di tutti gli aspetti relativi alla cybersecurity, ovviando così alla frequente carenza di risorse, di competenze e di budget. La parola chiave è dunque: servizi. Oggi la nostra offerta MDR – Managed Detection and Response – è caratterizzata da evolute funzionalità di threat hunting, con differenti livelli di servizi, volti a garantire il massimo grado di flessibilità, adattandosi così alle specifiche esigenza di ogni azienda.”
Interviene Gianni Locatelli, Sales Director di WSS Italia: “Il nostro interesse per la Security e la Privacy si è evoluto assecondando la domanda. L'anno di svolta è stato sicuramente il 2018, in cui è entrato ufficialmente in vigore il GDPR. Lavorando insieme ad Arcad Software, uno dei nostri maggiori partner tecnologici, abbiamo sviluppato una soluzione chiamata DOT Anonymizer in grado di rendere anonimi i dati presenti nei sistemi di non-produzione senza alcuna possibilità di risalire all'originale, mantenendo però i database consistenti, ovvero con un formato fedele all'originale, in modo da garantirne l’usabilità in ambito di test, sviluppo, BI, etc.. Quando nel 2017 abbiamo iniziato a parlare di questi argomenti ci siamo resi conto che c'era molta incertezza e poca conoscenza. Quindi siamo partiti con webinar per spiegare il GDPR e l'importanza degli strumenti informatici. L'interesse dei clienti è andando ben oltre le aspettative, al punto che abbiamo replicato più volte i contenuti degli eventi in streaming (vedi il canale Youtube), e abbiamo generato molteplici opportunità commerciali sia con clienti che con prospect.”
Conclude il giro di risposte il contributo di Piermaria Saglietto, CEO di Compet-e: “Abbiamo questi temi nel nostro DNA. Compet-e è nata nel 2000 per dare risposte concrete sui temi della data protection e della security quando internet passava da strumento ludico e di connettività individuale a strumento di business e di produttività aziendale. Tale imprinting è stato sviluppato accogliendo ulteriori sollecitazioni, sempre in ambito compliance, sia dal mercato sia da ulteriori dispositivi normativi. Il mercato ci riconosce come player di riferimento del settore compliance, chiamato RegTech, grazie alla nostra suite multi-compliance GRC CORA (www.grccora.com) che abbraccia diverse direttrici fra cui:
- Data protection | Regolamento generale sulla protezione dei dati 2016/679
- Anti Money-Laundering | Gestione rischi antiriciclaggio
- Anti Bribery | Sistemi di gestione per la prevenzione della corruzione ISO 37001
- Responsabilità amministrativa | responsabilità amministrativa delle imprese secondo il d.lgs. 231/2001
- Safety – Salute e sicurezza sul lavoro | D.lgs. 81/2008, ISO 45001
- Sicurezza delle informazioni | (secondo vari stardard fra cui ISO 27001)

La pandemia del Covid ha prima costretto e successivamente invogliato le aziende ad organizzarsi, almeno in parte, con modalità di “Smart Working”. Questo ha spostato il rischio ad un perimetro più vasto e meno verificabile: prima era sufficiente rafforzare le difese su un perimetro noto e circoscritto, quello delle sedi, mentre successivamente ci si è dovuti preoccupare di proteggere collegamenti non del tutto conosciuti e poco standard, come quelli nelle abitazioni e su dispositivi di proprietà dei singoli collaboratori. Che cosa è cambiato e come, per voi e per i clienti?
Questa volta inizia Gianni Locatelli: “La pandemia, e le modalità di lavoro a cui ci ha costretto, hanno accelerato processi già in essere, come il technology shift verso soluzioni cloud oppure l'attenzione per la cybersecurity. Quello che è cambiato veramente è la velocità con cui questi paradigmi vengono adottati, accelerando il percorso di digital transformation, ma dall'altro ha generato sacche di inefficienza che con il tempo andranno corrette. In questo scenario la scelta del system integrator corretto è sempre più strategica!”
Piermaria Saglietto propone il suo punto di vista: “Anche noi siamo stati forzati allo Smart Working. Abbiamo da subito analizzato la problematica relativa alla sicurezza, introducendo nuove misure di sicurezza (sia fisiche che organizzative) e incrementando quelle esistenti, fra cui:
- Regolamento Aziendale per il trattamento dei dati in smart working;
- Formazione specifica ai dipendenti;
- Introduzione di un secondo fattore di autenticazione per l’accesso al pc aziendale;
- Incremento di un ulteriore fattore di autenticazione (token) per l’accesso alla rete aziendale tramite VPN;
- Introduzione di un SIEM (CORA C-SIEM della suite GRC CORA) per individuare eventi indesiderati e correlarli anche con logiche di intelligenza artificiale;
- Censimento del trattamento di “Smart working” nel nostro registro dei Trattamenti (art. 30 GDPR).
Questo ci ha concesso di di lavorare in Smart Working in sicurezza anche oltre il periodo pandemico. Allo stesso tempo, i nostri clienti hanno dovuto analizzare le stesse problematiche e mettere in atto misure di sicurezza atte ad abbattere i nuovi rischi connessi a questa modalità di lavoro.”
Marco D’Elia entra nello specifico dei punti su cui porre l’attenzione: “Lo smart working pretende un’estensione della strategia aziendale: spesso le lacune sono già presenti nel perimetro aziendale e non potranno che influenzare negativamente il lavoro da remoto. Solo una volta verificati gli standard di sicurezza interni all’azienda, le soluzioni di protezione complete ed integrate, lo status dei dispositivi e gli aggiornamenti di programmi e App, sarà possibile ampliare l’area di attività allo smart working. Il problema è che da un punto di vista non solo organizzativo, la sede centrale di un’azienda mantiene un’importanza determinante. Sophos si rivolge alle organizzazioni che hanno moltiplicato in modo esponenziale il “numero di filiali”, con novità di soluzioni e di servizi. Partendo da quest’ultima categoria, Narisoni sottolinea il crescente successo del SOC (Security Operation Center) che Sophos mette a disposizione dei clienti e dei partner che usufruiscono dei servizi di MDR per operare sempre al riparo da cyber attacchi in costante evoluzione quantitativa e qualitativa. Tutta la competenza dei nostri esperti è finalizzata a identificare e neutralizzare velocemente attacchi verso le aziende prima che possano arrecare danni soprattutto oggi con le persone che lavorano da casa dietro difese perimetrali non più sotto il diretto controllo del responsabile della sicurezza.”
Giuseppe Ricci evidenzia alcune criticità, in particolare nel trattamento dei consensi: “Due anni di pandemia, tra le tante negatività, hanno reso le aziende più confidenti nell’utilizzo delle tecnologie per creare e mantenere le relazioni di fiducia anche B2B. Oggi noi ci troviamo a chiudere nuovi contratti senza aver mai incontrato dal vivo i nostri clienti, cosa inimmaginabile prima del Covid. Ma questa ampia confidenza nel trattamento dei consensi e dei dati personali tra webinar, call, eventi online può lasciar spazio a disattenzioni, ingenuità e comportamenti scaltri, dovuti forse anche ai nuovi rapporti, diretti ma di fatto impersonali. X
Crediamo che la complessità maggiore per l’azienda oggi è quella di riuscire a ricostruire la storia di relazione della Privacy con i suoi clienti, in tutta la loro customer journey, da quando sono lead (iscritti alla newsletter, follower nei social, dentro qualche funnel di marketing automation) a prospect (nel CRM e nei sistemi di e-commerce) fino a clienti ed ex clienti. Il rischio di trattamenti illegittimi da parte dell’azienda è altissimo e il nostro lavoro è aiutarla a fare il proprio business minimizzando il rischio per sé e per i propri clienti. D’altra parte, la fiducia (e quindi il business) passa anche per il rispetto della Privacy."
X
Secondo voi, qual è il livello di percezione da parte delle imprese italiane sui rischi che corrono negli ambiti di cui vi occupate? E, entrando maggiormente nei dettagli, quali sono le caratteristiche (dimensioni, settore merceologico, …) di quelle in cui riscontrate una sensibilità ed un’attenzione maggiori?
La risposta più veloce è quella di Marco D’Elia che illustra dati decisamente preoccupanti: ”Il nostro rapporto “The State of Ransomware 2022 e analizza uno dei fenomeni più aggressivi e dannosi nell’ambito della cybersecurity, il ransomware. Su 5.600 aziende in 31 paesi nel mondo il 66% ha dichiarato di aver subito un attacco ransomware nel l 2021 (+78% rispetto al 2020). In Italia il 61% del campione preso in esame è stato colpito da ransomware nell’ultimo anno. Delle aziende colpite da ransomware, il 63% ha subito l’encryption dei file mentre il 26% è riuscito a bloccare l’attacco prima che i dati venissero criptati. Il 43% ha pagato il riscatto e ha recuperato i propri dati mentre il 78% dichiara di essere riuscito a recuperare i dati grazie al proprio backup.
Giuseppe Ricci pone l’accento sulle responsabilità: “In azienda, la Cyber Data Protection è terreno di nessuno. Non se ne occupa direttamente il dipartimento legal (legali, Privacy Officer, DPO), fortemente legato agli aspetti formali e “cartacei”, e non è una responsabilità diretta del dipartimento ICT, né tantomeno del Marketing, che aspettano dai legal le istruzioni su come operare nella pratica. A congiungere i due mondi c’è il CFO che, capendo i rischi e con una visione non limitata al breve, crea il ponte per investire per aumentare l’accountability aziendale e ridurre il rischio di sanzioni e perdita di reputazione. Prima i nostri maggiori clienti erano aziende medio grandi, strutturate, con dinamiche capacità decisionali magari lente ma resilienti rispetto ai tanti imprevisti accaduti in questi anni. Da quest’anno abbiamo notato un’attenzione da parte delle aziende un po’ più piccole che riescono chiudere il cerchio con la Cyber Data Protection tutelandosi dal punto di vista sostanziale, ad esempio con PrivacyOS, e non solo formale.”
Piermaria Saglietto fa una distinzione in funzione delle dimensioni aziendali: “Soprattutto in ambito privacy, esiste una sensibilità abbastanza vasta sia per dimensione che per tipologia di azienda. Mentre quelle più grandi e strutturate hanno iniziato a pensare alla privacy come sistema di gestione e come valore aggiunto per la loro offerta, le piccole hanno un approccio più passivo e meno consapevole, ancora legato alla gestione data dalla 196 (“redigiamo il MOP una volta l’anno, applichiamo delle misure di sicurezza indicate nell’allegato A e siamo tranquilli”). Possiamo affermare che esiste una maggiore sensibilità in materia da parte delle medie-grandi aziende, in particolare:
- B2B : per aziende che offrono prodotti e servizi ad altre aziende, in particolare se cloud service providers, fornitori di soluzioni software;
- B2C : per aziende che offrono prodotti-servizi al cliente finale, in particolare se operano attività di marketing sui clienti. “
Conclude il giro di tavola Gianni Locatelli che invece riscontra una sensibilità distribuita in modo più uniforme tra le aziende italiane: “La percezione che riscontriamo è alta, indipendentemente dalla dimensione o dal settore di mercato del cliente. La differenza sostanziale sta nella rapidità con la quale hanno messo, stanno mettendo o metteranno in campo le giuste soluzioni in ambito Sicurezza e Privacy.
Aziende Enterprise hanno Normative e Policy stringenti a cui doversi attenere, pertanto l'urgenza di conformità è maggiore; nelle realtà di dimensioni inferiori invece dipende molto dalla sensibilità della dirigenza o dell'imprenditore, che determina poi la priorità degli investimenti. Esistono comunque ancora imprese, grandi o piccole che siano, che si cullano nell’illusione di essere immuni agli attacchi informatici, salvo poi rivolgersi ad aziende come la nostra per negoziare un riscatto ransomware oppure per correre insieme ai ripari ed evitare sanzioni o risvolti legali frutto della loro gestione inadeguata dei dati.”
Mentre la Tavola Rotonda volge al termine proviamo a chiedere ai nostri ospiti qualche indicazione pratica.
A Marco D’Elia chiediamo quali interventi proporrebbe ad un ‘azienda colpita da un attacco per circoscrivere l’impatto e mitigare i danni: “Con Sophos Rapid Response mettiamo a disposizione un sistema di risposta agli incidenti informatici attivo 24 ore su 24, 7 giorni su 7. I ricercatori e gli esperti in cyber security potranno così bloccare tempestivamente gli attacchi ed eliminare le minacce dalla rete in modo efficace, minimizzando danni, costi e tempi di ripristino. Si tratta del primo servizio di remote incident response a costo fisso che identifica e neutralizza gli attacchi alla sicurezza informatica lungo tutti i 45 giorni di durata del contratto. Ci attiviamo in poche ore e la maggior parte degli attacchi viene affrontato entro 48 ore. Una volta neutralizzate le minacce, passiamo al monitoraggio continuo, attraverso il theat hunting, la ricerca, il rilevamento e la risposta proattiva 24 ore su 24 da parte del team MDR di Sophos.”
X
La domanda a Piermaria Saglietto riguarda la molteplicità delle normative e sui consigli pratici per realizzare una compliance in modo efficace ed efficiente: “Il consiglio è di pensare questi temi in ottica di ‘multi-compliance integrata’. Questo approccio permette di mettere a denominatore comune quegli elementi che sono trasversali alle varie direttrici (ad esempio: metodologia di analisi del rischio, modello organizzativo, processi di audit, remediation ed azioni correttive, gestione degli incidenti e delle non conformità ecc…) in modo da affrontare i vari temi con sinergie che aiutano a produrre qualità e non generare un proliferare di inutili adempimenti.
Proprio per questo dal 2016 abbiamo creato una suite applicativa multi-compliance. Attraverso due siti web (www.grccora.comwww.compet-e.com) non solo presentiamo la soluzione ma cerchiamo di dare utili spunti sulle tematiche.”
X
Con Giuseppe Ricci ci soffermiamo infine su quello che molte aziende percepiscono come una minaccia, il GDPR, per capire cosa si rischia e come tutelarsi: “Ci siamo posti la domanda tempo fa ed, insieme ad alcuni studi legali, abbiamo preso tutte le sanzioni a livello europeo, le abbiamo analizzate, smembrate e ricompattate per singolo articolo con l’obiettivo di comprendere quali fossero le cause più critiche di altre. Abbiamo scoperto che mediamente l’80% del costo economico delle sanzioni poggia su illeciti di sostanza, causati da trattamenti illeciti su dati personali e gestione inadeguata dei Consensi e solo il 20% riguarda illeciti di forma (la documentazione inadeguata o mancante, per intenderci). Ci siamo domandati qual è la causa di innesco, rilevando che più del 95% delle sanzioni è innescata da un illecito sui dati personali e sui Consensi, in pratica da un cittadino (prospect, clienti, ex clienti, dipendenti, ex dipendenti ed ex manager) che ha rilevato un trattamento illecito sui suoi dati personali. Più che lavorare su una burocrazia sterile del GDPR è opportuno preoccuparsi dei trattamenti sostanziali, quotidiani:la newsletter da inviare, il carrello dell’e-commerce da recuperare, il contatto commerciale da richiamare. È questo il perimetro più critico che l’azienda deve presidiare con la Cyber Data Protection.”
X