Cybersecurity: definizione e caratteristiche. Btinkeeng intervista Gennaro Talamo

 Il tema della cyber security è un argomento estremamente complesso, vasto e trasversale, perché impatta su tutti i settori produttivi, sulla PA e sui singoli cittadini.

Con la crescente digitalizzazione, il lavoro a distanza e un maggior utilizzo dei cloud, gli ambienti IT sono diventati sempre più complessi e questa complessità può avere un impatto sulla visibilità delle minacce che prendono di mira le organizzazioni e sulla risposta agli incidenti.

Per questo abbiamo deciso di approfondire più che mai questo topic con delle figure professionali che, quotidianamente, hanno contatti con questa materia. 

Primo protagonista di questo ciclo di interviste è il Sig. Gennaro Talamo, Responsabile Unità Amministrativa/Tecnica Complessa alla Direzione IT di EAV srl, azienda che opera nel settore del trasporto pubblico su ferro, gomma e funivia della Regione Campania.

Gennaro Talamo, classe ’66, nasce a Napoli, consegue nel 1984 il Diploma di Perito Industriale Capotecnico, Specializzazione Informatica col massimo dei voti, iniziando subito dopo a sviluppare software gestionali in aziende private. Nel 1988 viene assunto nella ex Circumvesuviana srl, azienda di trasporto pubblico campana confluita in EAV il 27.12.2012, col le mansioni di programmatore. Ai Sistemi Informativi sviluppa rapidamente competenze anche in ambito sistemistico, assumendo nel 1996 il ruolo di Responsabile di una Unità Organizzativa dedicata ai sistemi IT e nel 2000 la funzione di Quadro Aziendale. Nel corso degli anni, prende parte come responsabile tecnico a diversi progetti IT, tecnologici ed applicativi. A seguito della fusione in EAV assume il ruolo di Database Administrator e contestualmente implementa e gestisce la piattaforma di Backup dei dati informatici. Al contempo è Responsabile del Service Operation EAV, con oltre mille Postazioni di Lavoro in esercizio. È il referente IT per l’anticorruzione e la trasparenza in EAV. Tenendo anche conto della rapidissima evoluzione delle cyber minacce, ha ricevuto l’incarico di riorganizzare una solida ed efficace struttura di cyber security in EAV, divenendo di fatto il Responsabile della nuova ristrutturata Unità Organizzativa Cyber Security.

 Sig. Talamo, cos’è la Cyber Security e di cosa si occupa?

La Cyber Security è l’insieme di tecnologie, persone e procedure utili a proteggere un sistema informatico da tutti quegli attacchi che possono portare alla perdita o alla compromissione di informazioni e dati.

Alla base della Cyber Security ci sono tre principi fondamentali: la confidenzialità o riservatezza, ovvero garantire che i dati e le risorse siano preservati dal possibile utilizzo o accesso da parte di soggetti non autorizzati.  Tale confidenzialità deve essere assicurata lungo tutte le fasi di vita del dato, a partire dal suo immagazzinamento, durante il suo utilizzo o il suo transito lungo una rete di connessione.

Poi abbiamo l’integrità dei dati informatici o meglio la capacità di mantenere la veridicità dei dati e delle risorse e garantire che non siano in alcun modo modificate o cancellate, se non ad opera di soggetti autorizzati. Per assicurare l’integrità è necessario mettere in atto policy di autenticazione chiare e monitorare costantemente l’effettivo accesso ed utilizzo delle risorse.

Infine c’è la disponibilità dei dati informatici ossia la possibilità, per i soggetti autorizzati, di poter accedere alle risorse di cui hanno bisogno per un tempo stabilito ed in modo ininterrotto. Rendere un servizio disponibile significa essenzialmente due cose: impedire che durante l’intervallo di tempo definito avvengano interruzioni di servizio e garantire che le risorse infrastrutturali siano pronte per la corretta erogazione di quanto richiesto. Riassumendo, la cyber security si occupa di contenere al meglio il rischio che si concretizzi una minaccia alla confidenzialità, all’integrità e alla disponibilità dei dati e conseguentemente all’impatto che ne può derivare, valutato in termini di danno tecnico, economico e di immagine.

Cosa fa e quali competenze deve possedere il Responsabile della Cyber Security?

Il Responsabile della Cyber Security si occupa dell’implementazione delle strategie per la protezione degli asset informatici e della definizione dei processi legati all’adozione delle tecnologie digitali. Si tratta di una figura estremamente poliedrica, in grado di comprendere gli aspetti tecnici relativi alla sicurezza ed in possesso di competenze manageriali e relazionali.

Tra i vari compiti da svolgere, il Responsabile Cyber deve provvedere all’assessment della sicurezza, ossia valutare lo stato dell’arte della sicurezza informatica aziendale e individuare un piano strategico per aumentare la capacità di reagire alle cyber minacce; deve attuare un’analisi del rischio cyber, quindi comprendere le vulnerabilità e le minacce per l’azienda in modo da compiere scelte adeguate per la gestione del rischio cyber in termini di politiche e strumenti di protezione;  inoltre, deve avere un continuo monitoraggio della sicurezza, controllando il traffico sui diversi canali sviluppando un Security Operation Center (SOC) interno all’azienda o collaborando con un provider esterno.

Allo stato attuale, la figura legata alla gestione della sicurezza informatica è ancora poco diffusa in Italia, solo in buona parte delle grandi imprese è presente in maniera formalizzata. Questo “ritardo” del contesto italiano dovrà necessariamente essere risolto in tempi brevi per metterci al passo con gli altri paesi dell’Unione e per tutelarci al meglio dalle sempre più pericolose minacce cyber.

In generale, l’obiettivo di chi si occupa di sicurezza informatica è proteggere il cyberspazio dalle minacce, le quali si manifestano sotto forma di veri e propri attacchi. Ci sono delle strategie da adottare per salvaguardarsi dagli attacchi informatici?

Tra le varie strategie da adottare c’è sicuramente l’esecuzione periodica del backup di tutti i dati aziendali, al quale unire altre operazioni come tenere aggiornati i software e i sistemi operativi per sfruttare le patch di sicurezza più recenti e installare un valido antivirus in grado di eliminare e rimuovere le minacce.

Esistono inoltre alcuni strumenti che possono aiutare un’azienda a proteggersi dagli hacker e mantenere al sicuro i propri dati come il firewall, un dispositivo che mette in protezione la rete stessa o l’email security che comprende diverse procedure e tecniche per proteggere gli account di posta elettronica, spesso utilizzati per diffondere malware, spam e attacchi di phishing, da accessi non autorizzati.

Da non dimenticare il penetration test, un processo operativo di analisi e valutazione della sicurezza di un sistema informatico o di una rete. Questo test simula l’attacco informatico di un utente malintenzionato e aiuta a rilevare le vulnerabilità e a determinare se le difese del sistema sono affidabili.

Quali sono le tipologie di cyber attacco più diffuse?

Il tipo di attacco informatico più comune è il social engineering, l’insieme di una serie di tecniche rivolte a spingere le persone a fornire informazioni personali come password o dati bancari o a consentire l’accesso a un computer al fine di installare segretamente software dannosi. La pratica più diffusa di social engineering è il phishing, ossia l’’invio di e-mail da fonti apparentemente affidabili che però contengono informazioni fraudolente; i ladri e i truffatori utilizzano in prima battuta il social engineering in quanto è più facile spingere una persona a rivelare le proprie password rispetto all’ottenere tali informazioni mediante tecniche da hacker. Un altro tipico attacco informatico è l’utilizzo di malware, ovvero applicazioni che si insediano e si attivano autonomamente in un dispositivo informatico, causandone il malfunzionamento e raccogliendo e/o trafugando informazioni in esso contenute o addirittura criptando i dati a cui accedono, come avviene con il particolare tipo di malware definito Ransomware, il quale si installa su di un computer aziendale e ne cifra i dati, richiedendo poi il pagamento di un riscatto per avere le chiavi di decifratura.

Quali sono i danni che si possono riscontrare dopo un cyber attacco? E quali sono i tempi di ripristino?

I danni riscontrabili a seguito di un attacco informatico possono essere di tipo materiale, furto o danneggiamento di computer, server, macchinari, fino alla fibra ottica. Questi danni possono a loro volta provocarne di indiretti, quali ad esempio il danneggiamento del circuito elettrico, delle schede magnetiche, delle macchine di produzione ad esse connessi.

Esistono anche danni di tipo immateriale ossia il furto, cancellazione o danneggiamento dei dati, con dolo o per errore umano, nonché il loro uso illecito.

Capitolo a parte quello legato a tutti i danni economici che ne conseguono: basti pensare a quanto può costare, in termini economici, ripristinare un sistema o un servizio, e un’eventuale richiesta di risarcimento da parte dei clienti.  Un ulteriore e gravoso costo per un’azienda è costituito senz’altro da un’eventuale diminuzione del fatturato a seguito della mancata continuità operativa, per non parlare dell’incalcolabile danno di immagine e reputazionale, con ripercussioni sulla credibilità dell’azienda e sulla sua attività commerciale.

I tempi di rispristino di un sistema informatico a seguito di un cyber attacco dipendono fondamentalmente dalla complessità del sistema danneggiato e dell’attacco ricevuto ma soprattutto dalla struttura di sicurezza informatica implementata per mitigare il rischio che le minacce si concretizzino in effettivi danni, interrompendo le normali attività. In generale, può variare da poche ore a qualche mese.  

A cura di Btinkeeng TEAM SICUREZZA INFORMATICA

• Pigliacelli Teresa – Administrative Assistant – Consultant
• Maddaluno Francesca – Administrative Assistant – Consultant
• Conzales Armando – Cyber Security Engineer – Consultant
• Ravone Alessandro – Cyber Security Engineer – Consultant
• Giuliano Vincenzo – System Engineer – Consultant