Durante il Forum ICT Security 2024, la tavola rotonda intitolata “Cloud Security e Zero Trust: Una strategia integrata per gestire la cyber-resilienza delle organizzazioni” ha riunito alcuni tra i principali esperti italiani nel settore della sicurezza informatica.
Sotto la moderazione di Alberto Manfredi, cofondatore e presidente di CSA Italy, il panel ha visto la partecipazione di:
Partendo dalla premessa per cui “il nuovo perimetro non è più fisico, ma è l’identità”, l’incontro ha offerto una disamina approfondita delle principali sfide e soluzioni legate alla sicurezza nel contesto della trasformazione digitale, con un focus particolare sulle strategie di Zero Trust e sulla governance della cyber-resilienza.
Matteo Macina ha aperto la discussione affrontando il tema della digitalizzazione sempre più pervasiva, trainata dal cloud, che ha riconfigurato in modo radicale il concetto di perimetro aziendale. Il relatore ha ribadito come la gestione delle identità e degli accessi rappresenti oggi la prima linea di difesa per le organizzazioni, per poi aggiungere che l’aumento del lavoro da remoto e l’adozione massiva delle tecnologie cloud hanno reso necessario un ripensamento delle tradizionali misure di sicurezza, promuovendo un approccio “data-centrico”.
In questo modello la sicurezza si concentra non più sulla protezione degli asset fisici ma sulla salvaguardia della riservatezza, integrità e disponibilità dei dati stessi, indipendentemente dalla loro localizzazione o dai soggetti che vi accedono.
L’adozione del modello Zero Trust, basato sul principio “mai fidarsi, sempre verificare”, è stata proposta come fondamento imprescindibile per raggiungere questo obiettivo. Macina ha sottolineato l’importanza del monitoraggio continuo e della verifica costante degli accessi, elementi necessari per ridurre al minimo i vettori di attacco. Questo approccio richiede di investire in tecnologie avanzate per l’autenticazione multifattoriale, la segmentazione della rete e il monitoraggio delle attività degli utenti. L’implementazione di Zero Trust rappresenta, per Macina, una naturale evoluzione delle pratiche di sicurezza informatica, al fine di affrontare un panorama di minacce che evolve rapidamente e si presenta sempre più sofisticato.
Thomas Mascioli Colavecchi ha offerto una prospettiva unica dal punto di vista del Polo Strategico Nazionale (PSN), un’iniziativa creata con il supporto del Dipartimento per la trasformazione digitale per garantire infrastrutture cloud sicure alla Pubblica Amministrazione italiana. Mascioli ha enfatizzato la rilevanza della separazione tra governance e gestione operativa come principio cardine del loro approccio alla sicurezza: tale distinzione è volta a garantire controlli più rigorosi, definendo in maniera netta ruoli e competenze per ciascun attore coinvolto nella gestione delle infrastrutture digitali ed evitando, così, potenziali conflitti di interesse.
In questo modello la governance della sicurezza è gestita in maniera indipendente dai partner industriali che forniscono i servizi – come TIM e Leonardo – garantendo così la sovranità dei dati e la loro protezione, particolarmente cruciale in un contesto di pubblici servizi.
“Il nostro modello di responsabilità condivisa è un pilastro fondamentale della nostra strategia” ha affermato Mascioli, sottolineando come sia fondamentale definire responsabilità precise per tutti gli attori coinvolti al fine di minimizzare le vulnerabilità. L’adozione del framework CSA STAR per il controllo delle misure di sicurezza su tutti i domini critici rappresenta una best practice per standardizzare e verificare i requisiti di sicurezza, migliorando la fiducia tra fornitori e utenti finali. Il relatore ha sottolineato come ciò contribuisca a creare una base solida per la collaborazione, promuovendo un ecosistema in cui la sicurezza è considerata una responsabilità condivisa tra tutti gli stakeholder.
Alessandro Menna ha descritto la profonda trasformazione digitale di Italgas, che è passata dall’essere una utility tradizionale a diventare una “network tech company”.
“Il cloud è stato uno strumento fondamentale per ridisegnare i nostri processi operativi e di business” ha dichiarato, evidenziando come la digitalizzazione sia diventata un elemento centrale della strategia aziendale negli ultimi anni. Menna ha spiegato che questa trasformazione ha comportato un ripensamento radicale delle modalità operative dell’azienda, puntando su tecnologie avanzate come l’Internet of Things (IoT), il machine learning e il cloud computing per migliorare sia l’efficienza che la resilienza.
In questo contesto, l’approccio Zero Trust è stato fondamentale per gestire l’accesso alle risorse aziendali da parte di un ampio ecosistema di partner e fornitori, creando quella che Menna ha definito una “community of trust”. Ha descritto come Italgas abbia implementato politiche rigorose di mappatura del rischio e di controllo degli accessi per tutti i soggetti esterni, inclusi partner strategici e contractor, con l’obiettivo di ridurre il rischio di attacchi condotti tramite terze parti (come i fornitori di servizi in outsourcing).
Ha inoltre parlato delle misure di formazione messe in atto per garantire la sicurezza, tra cui l’implementazione di un cyber range per simulare scenari di attacco e preparare il personale a rispondere efficacemente a situazioni di crisi. Queste esercitazioni – secondo Menna – non solo migliorano la reattività del personale ma contribuiscono anche a consolidare una cultura aziendale della sicurezza, in cui ogni individuo è consapevole del proprio ruolo nella protezione delle risorse aziendali.
Un tema ricorrente tra i relatori è stato proprio quello relativo all’importanza della formazione e della consapevolezza in materia di sicurezza, non più per i soli professionisti IT ma per tutti i dipendenti di un’organizzazione.
Matteo Macina ha evidenziato come la sicurezza sia diventata un processo continuo, in cui la formazione gioca un ruolo cruciale per mantenere alta l’attenzione sui rischi emergenti: richiamando l’ormai endemica diffusione dei paradigmi PaaS (Platform as a Service) e SaaS (Software as a Service) ha aggiunto che, in un ambiente caratterizzato da continue innovazioni tecnologiche, è fondamentale che i dipendenti comprendano le potenziali minacce e siano in grado di adottare comportamenti sicuri. In questo scenario la formazione non deve essere vista come un evento isolato, bensì come un processo continuo di aggiornamento e miglioramento delle competenze.
Thomas Mascioli Colavecchi ha sottolineato come la governance della sicurezza richieda competenze avanzate di gestione e analisi, evidenziando l’importanza di promuovere una cultura dell’accountability nell’intera organizzazione. La separazione tra governance e operatività implica che il personale coinvolto nella gestione della sicurezza debba possedere competenze specifiche nell’analisi del rischio, nella pianificazione strategica e nella gestione delle emergenze; Mascioli ha inoltre evidenziato l’importanza della cooperazione tra pubblico e privato – anche nel contesto dei fondi PNRR – per sviluppare percorsi formativi che rispondano alle esigenze specifiche del settore pubblico, promuovendo una sinergia che aumenti l’efficacia delle iniziative di sicurezza.
Infine Alessandro Menna ha enfatizzato l’importanza delle esercitazioni periodiche per migliorare la preparazione e la reattività dei team, raccontando come Italgas stia lavorando per creare un ambiente in cui ogni dipendente, indipendentemente dal ruolo, si senta parte attiva del processo di protezione dell’ecosistema aziendale. Le simulazioni di attacco e le esercitazioni pratiche, secondo Menna, sono strumenti essenziali per testare le capacità del personale e individuare eventuali aree di miglioramento. Questo approccio mira a creare una cultura della sicurezza in cui ogni individuo è responsabile del mantenimento degli standard di sicurezza e della protezione degli asset aziendali.
In qualità di moderatore del panel, Alberto Manfredi ha concluso l’incontro sottolineando l’importanza della collaborazione e del dialogo tra le varie organizzazioni per affrontare le sfide della sicurezza nel contesto del cloud.
“Non è solo una questione di tecnologia, ma di comunità” ha affermato, evidenziando il ruolo cruciale della Cloud Security Alliance nel promuovere best practice e framework di sicurezza per il cloud. Manfredi ha sottolineato come la collaborazione tra diverse organizzazioni, pubbliche e private, sia essenziale per costruire un ambiente sicuro e resiliente. Ha inoltre evidenziato la necessità di creare piattaforme comuni di condivisione delle informazioni, che permettano alle aziende un costante scambio di dati e conoscenze sulle minacce emergenti nonché sulle soluzioni più efficaci per contrastarle.
La Tavola Rotonda ha chiarito che la resilienza cibernetica non è più un’opzione ma una necessità strategica per le organizzazioni di ogni tipo, dimensione o settore. L’adozione di modelli come Zero Trust, il rafforzamento della governance e la promozione della cultura della sicurezza sono elementi imprescindibili per affrontare le sfide di un ambiente digitale sempre più complesso e interconnesso; la capacità di adattarsi rapidamente ai cambiamenti, investire nella formazione del personale e collaborare con altri attori del settore rappresentano i pilastri su cui costruire una strategia di sicurezza efficace e duratura nel tempo.
Il panel è stato organizzato da ICT Security Magazine in collaborazione con CSA Italy, capitolo italiano della Cloud Security Alliance (CSA), un’organizzazione globale senza scopo di lucro che promuove l’adozione delle migliori pratiche per garantire la sicurezza nel cloud computing.
CSA Italy riunisce esperti del settore e professionisti della sicurezza informatica per favorire la consapevolezza, la formazione e la diffusione delle conoscenze relative alla sicurezza del cloud e alla conformità normativa in materia: l’associazione supporta aziende, enti pubblici e operatori del settore nella gestione sicura dei servizi cloud, contribuendo allo sviluppo di standard, linee guida e soluzioni innovative per proteggere i dati e le infrastrutture digitali, al fine di abilitare una trasformazione digitale affidabile e sicura.
Iscriviti alla newsletter di ICT Security Magazine per rimanere aggiornato sulle iniziative future.
Due premesse sono necessarie. La prima è che sono stato membro di un gruppo di…
La security della supply chain è una sfida cruciale per le aziende in un mondo…
L'inarrestabile proliferare di applicazioni basate sui dati sta rivoluzionando il settore energetico. Ne derivano importanti…
Il Forum ICT Security 2024, svoltosi il 23 e 24 ottobre a Roma, si conferma…
Due anni dopo essere stata approvata, la Direttiva europea 2022/2555, nota come NIS2 (Network and…
Il business continuity planning (BCP) è un processo strategico e operativo fondamentale per garantire la…