ATEDLa sicurezza è un abito cucito su misura

Dice Alberto Redi, partner e Ceo di Security Lab Group, che fare sicurezza è un po’ come tagliare un abito su misura: perché, proprio come accade con gli uomini, nessuna azienda è mai davvero uguale all’altra in ciò che sono le sue debolezze, le vulnerabilità, dunque la maniera di assottigliarle il più possibile verso lo zero. Perché, dice anche Redi, la sicurezza assoluta non esiste; ma esistono modi per andarci sempre più vicino. «Il nostro compito è ridurre il rischio al minimo».

C’è chi dovrebbe migliorare i sistemi informatici, e in fondo è la cosa più semplice; chi ripensare l’organizzazione interna; chi educare il personale, preso di mira da hacker sempre più evoluti che ancora usano le fragilità umane per creare o allargare falle. Di tutto questo, quando Security Lab (https://www.sec-lab.com) nacque come nome nel 2004 e nel 2008 quando cominciò a diventare ciò che è adesso, c’era poco o nulla; forse neanche la definizione di “cyber security” in cui oggi trova la sua specializzazione. All’epoca fu quasi un’intuizione. «Fu un periodo pionieristico», ricorda Redi. Nessuna consapevolezza; niente corsi accademici, approcci strutturati. «Per questo mi sento quasi di dire che con Ated siamo cresciuti insieme. La cyber security era un settore estremamente innovativo in Ticino. Grazie ad Ated abbiamo potuto raccontarla e cominciare a farla conoscere».

Ed eccoci all’oggi, dove tutto è diventato invece una rincorsa; sempre più incalzante, veloce, ansiosa a tratti. «Chi si difende è comunque un passo indietro». E appena si riesce a mettersi al sicuro, è già ora di ricominciare. «Chiusa una porta, si trova un altro grimaldello». Non basta il buon antivirus, né la sana diffidenza verso lo sconosciuto. «Il pericolo è sempre in agguato e sempre più subdolo. Può giungere da più fronti. Il primo passo da compiere è dunque riconoscere le proprie vulnerabilità, prendendo in esame tre ambiti: infrastrutture, applicazioni, risorse umane».

Può sembrare magari un anacronismo, ma oggi le minacce più sofisticate penetrano soprattutto attraverso le persone, con le vecchie maniere dell’inganno. «Per questo motivo serve un approccio multidisciplinare», riflette Redi assieme a Siro Migliavacca, partner e general manager di Security Lab Advisory. «Certo è importante scegliere buone contromisure tecnologiche, ma la sicurezza non è solo questo». È misurare costantemente l’insicurezza. È lavorare continuamente su «la governance, la compliance e trasversalmente l’education, anche del management».

Sistemi di gestione integrati delle informazioni sensibili, attività di prevenzione e strategie di reazione in caso di danno, monitoraggio delle eventuali intrusioni, corsi di formazione per i dipendenti: nel variegato panorama della clientela - gruppi finanziari e assicurativi, settore manifatturiero, sanità, settore alberghiero, imprese che operano nell’information technology o pubblica amministrazione - ciascuno ha il proprio punto di partenza, da cui avviare un «percorso virtuoso ad hoc. Le esigenze sono diverse, diversi i gradi di rischio, dunque anche gli approcci devono esseri differenti e proporzionali al bisogno. Noi offriamo consulenza in questo senso. La nostra missione è creare un abito su misura, dove niente sia superfluo e niente manchi di quello che serve».

Lo impongono le normative (Gdpr, Lpd), gli organismi regolatori (Finma), oppure lo pretende il cliente, sempre più spaventato dall’idea di un’interruzione di servizio. «Con l’amplificarsi delle minacce, trattate anche dalla stampa generalista, lo Stato si è reso conto del problema e chiede che le aziende si tutelino. Ma è anche il mercato a volerlo. Spesso è il cliente a domandare certificazioni come la ISO 27001 o la ISO 22301, così che possa sapere di avere a che fare con un fornitore sicuro, in grado di offrire sicurezza e continuità operativa».

Negli obblighi di legge fanno capolino finalmente anche le persone. Perché, davanti a una tecnologia che realizza prodotti sempre più sicuri, e a malintenzionati sempre più abili a trarre profitto dall’ingenuità dell’individuo, c’è una soluzione sola: fare cultura. Con i corsi in aula, con l’e-learning per istruire i dipendenti sull’importanza dei dati e il loro trattamento, sui rischi del web, la privacy, le password, la cosiddetta ingegneria sociale. Certo, sarebbe meglio cominciare molto prima, magari in tempi ancora non sospetti. «In questo, ated – ICT Ticino ha un ruolo fondamentale. Con loro vogliamo condividere questa responsabilità sociale. È bello pensare che c’è qualcuno che insegna ai ragazzini la consapevolezza della tecnologia».