La cyber security deve svilupparsi in un ecosistema aperto all’innovazione

Blocking spam e-mail, warning pop-up for phishing mail, network security concept. Business woman working on laptop computer at home with warning window on screen

Intervista a Rocco Mammoliti, Responsabile Sicurezza Informatica di Poste Italiane…

Il giro d’affari delle cyber-truffe appare in crescita continua, mentre si infittisce l’intreccio tra geopolitica e cyber security, materia quest’ultima cui viene ormai riconosciuto un valore strategico, tanto da figurare ai primi posti nell’agenda dei governi, in uno scenario sociale ed economico in costante divenire. Rocco Mammoliti, responsabile della Sicurezza Informatica del Gruppo Poste Italiane e Coordinatore Progetto Cyber Security Readiness Unindustriapresidia da sempre i temi dell’information technology, con particolare riferimento alle implicazione che riguardano la protezione degli asset intangibili, la riservatezza dei dati, il delicato rapporto esistente tra Internet e minori. Il suo occhio non è semplicemente quello del manager esperto, in quanto la sua attenzione è quella del ricercatore appassionato, capace di gettare “lo sguardo oltre” la contingenza. «Occuparsi di sicurezza – come spiega  lo stesso Mammoliti – significa entrare nel cuore dell’innovazione tecnologica, che va sempre calibrata alle esigenze dell’uomo. Non vanno mai nascoste ma superate e risolte le contraddizioni e i rischi che sono insiti alle dinamiche del progresso. Nel nostro ruolo di manager credo sia importante esercitare costantemente una sensibilità etica, che non si risolve in vuoti pronunciamenti di principio ma in comportamenti tesi a trovare un riscontro negli assetti organizzativi. Centralità del capitale umano, formazione, spazio ai giovani talenti: queste le linee di indirizzo che stiamo perseguendo. Diventa sempre più importante la progettazione di momenti di incontro, comprensione della società attuale e dei social network con iniziative di coinvolgimento delle scuole e del mondo della ricerca. Quando si parla di modelli avanzati di security by design ci si riferisce alla capacità sinottica di affrontare il contesto mutante della “quarta rivoluzione”, dentro cui il cyber spazio è la prima frontiera da presidiare».

Ing. Mammoliti possiamo tratteggiare le linee guida che informano le strategia di sicurezza informatica di un grande player come Poste Italiane?

Sono quattro le direttrici fondamentali: prevenzione dei rischi, educazione all’uso degli strumenti tecnologici, centralità della ricerca, attitudine all’innovazione. Poste Italiane custodisce asset strategici per il Paese che giustificano l’adozione di misure di difesa eccezionali, sostenute da investimenti proporzionali alla propria esposizione nel mondo dei servizi digitali. Organizzazione, persone, regole, tecnologie, controlli e miglioramento continuo contribuiscono ognuno per la propria parte a mitigare continuamente il rischio di attacchi cyber, inclusi quelli attuati sfruttando i ransomware, che stanno da alcune settimane occupando le pagine dei giornali.

Come se non bastasse si fa strada il metaverso, una rivoluzione paragonabile all’avvento di Internet?  

 Ancora presto per dirlo. Di certo siamo chiamati a disciplinare gli aspetti della sicurezza informatica in un mondo sempre più complesso: pensiamo alle sfide dell’AI, di cui ancora oggi non conosciamo l’esatta geografia come nemmeno le direttrici dello sviluppo. L’innovazione tecnologica prima di essere praticata va compresa e governata, come accennavo all’inizio, attraverso il concorso di una molteplicità di saperi; ingegneri, giuristi, scienziati, umanisti devono operare fianco a fianco per rispondere al bisogno di protezione di istituzioni, cittadini e imprese. A questo proposito va ricordato che tutte le attività che Poste svolge a tutela dei clienti, rappresentano dei fattori essenziali, perché sostanziano la responsabilità sociale d’impresa.

Phishingsmishing, insieme a sofisticate tecniche di social engineering vengono messi in atto per rubare le credenziali di milioni di utenti. Innalzare il livello di consapevolezza, può essere decisivo. Cosa sta facendo Poste su questo delicato fronte? 

Nell’orizzonte mutante di quella che Luciano Floridi ha definito “infosfera”, una condizione in cui reale e virtuale si mescolano in maniera inscindibile e continua, la formazione è un asset imprescindibile. L’azienda sostiene continuamente campagne di education & awareness per la clientela attraverso i canali online e implementa da tempo sulle proprie applicazioni (web/mobile) sistemi per l’autenticazione multi-fattore e biometrica, svolgendo una intensa attività di monitoraggio anti-frode e anti-abuso che viene portata avanti sfruttando tecnologie per la Big-Data Analytics e sistemi basati su Intelligenza Artificiale per l’individuazione di schemi d’attacco e di frode invisibili all’occhio umano. L’obiettivo di lungo periodo è quello di creare un ecosistema dell’innovazione, una cultura condivisa che consenta un innalzamento diffuso del livello di attenzione per la cyber security. La cyber-hygiene è un obiettivo perseguito con perseveranza nel nostro contesto da molti anni. 

“Cyber-resilienza” altro termine critico. Possiamo spiegare di che cosa si tratta?

La resilienza è un termine mutuato dalla fisica. Applicato alle organizzazioni produttive indica la capacità di attuare strategie e interventi volti ad anticipare, proteggere, resistere e recuperare una situazione di equilibrio il più rapidamente possibile dopo un attacco di qualsiasi entità. Poste Italiane adotta un sistema per la prevenzione, gestione e contenimento dei rischi ICT e conseguentemente degli incidenti informatici molto capillare e avanzato, che consente di presidiare i canali digitali, i sistemi e le infrastrutture ramificati sul territorio, gli operativi in mobilità, i data center e i sistemi di comunicazione, con una particolare attenzione agli elementi di business-continuity.

In conclusione può aggiornarci sull’attuazione del Regolamento DORA (Digital operational resilience act)? A che punto siete?

Abbiamo già avviato diversi cantieri sulla Cyber Security Readiness in coerenza con i dettami del regolamento DORA, che riguardano molteplici aspetti di governo e gestione del rischio ICT, quali: l’aggiornamento delle librerie e delle contromisure di sicurezza, la rivisitazione delle metodologie di Analisi del Rischio e di valutazione della minaccia cyber, la ridefinizione dei ruoli e delle responsabilità di ciascun presidio interno, attraverso l’introduzione dei principi di Security by Design a tutti i livelli, fino a garantire un elevato grado di formazione degli specialisti di sicurezza, dei dipendenti e dei vertici aziendali. La centralità del fattore umano, per chi fa il nostro mestiere, rimane di cruciale importanza, non scordiamocelo mai.

Massimiliano Cannata – www.leurispes.it