Security Intelligence nel Contesto Aziendale, tra Physical e Cyber Security

Il resoconto dell'evento di Kriptia del 20 Giugno 2023

Security Intelligence nel Contesto Aziendale, tra Physical e Cyber Security

Lo scorso 20 giugno si tenuto a Milano il seminario di KriptiaSECURITY INTELLIGENCE NEL CONTESTO AZIENDALE, TRA PHYSICAL E CYBER SECURITY”, in cui si è messo in luce il collegamento – in termini di utilità e conformità con il contesto aziendale – tra le analisi d’intelligence finalizzate alla security e all’investigazione e quelle per fini commerciali in tema di analisi delle controparti, business intelligence e travel security.

Un’attenzione particolare è stata rivolta alle PMI, componenti del tessuto economico italiano, che hanno la necessità di tutelare il business da attacchi esterni e da rischi di sanzioni per la mancata compliance alle normative di riferimento.

Se vuoi guardare direttamente la registrazione del seminario, clicca qui, altrimenti di seguito troverai un estratto con i relatori ed i punti salienti trattati.

Alla tavola rotonda moderata da Raffaello Juvara, editore/direttore responsabile di securindex.com, sono stati presenti autorevoli ospiti. Il primo giro di tavolo ha fatto emergere diversi spunti molto interessanti e variegati, ma spesso convergenti.

Giulia Gubbiotti, Head of Security Intelligence di Fincantieri, ha evidenziato che nelle organizzazioni c’è ancora un utilizzo parziale, frammentato e contingente dei dati, anche se sono asset aziendali business critical. In ambito security, è richiesto di utilizzare i good data e sviluppare una cultura data-driven con focus sui bisogni strategici. Per lavorare in modo efficiente sui dati è necessario partire dagli obiettivi strategici ed informativi perché altrimenti si ricade nel paradosso della conoscenza, ovvero dei big data difficilmente interpretabili dalla leadership aziendale.

Non è solo sufficiente l’apporto tecnologico, perché è il fattore umano che fa la differenza, e bisogna partire da una visione strategica ed allocando risorse finanziarie ed umane ai team di intelligence. Buona continuità e retention ma anche diversity sono fattori di successo di un team di security, oltre alla competenza e alla conoscenza.

Mario Florio, ex Security Manager di Eni e ora general manager di una società specializzata in Risk Management, ha evidenziato come i pillar della security sono la compliance alle leggi, la responsabilità dei datori di lavoro, le policy ed il budget come investimento ed assicurazione per sviluppare business opportunities per produrre meglio e in sicurezza. Inoltre, sono fondamentali la Security e Safety che, pur essendo diverse, sono complementari.

Ha ricordato inoltre come il security risk management abbia come obiettivo l’asset integrity, la business continuity e la reputation. Gli strumenti sono le policy e procedure interne, le azioni di mitigazione e i servizi di sicurezza.

L’attività di preparazione richiede il project study, il threat assessment e il security plan, riguardante ad esempio le misure di mitigazione o l’estrazione di asset. L’implementazione richiede un servizio di procurement con consulenza, tender, servizi di sicurezza e conseguente reporting.

Angelo Tofalo, ex sottosegretario alla Difesa, ha sottolineato come la politica ed il legislatore hanno avuto grande difficoltà negli ultimi 10 anni a formalizzare strumenti di cybersecurity a protezione della PA ma anche delle imprese e della PMI. La cybersecurity non è un costo ma un’opportunità per la comunità e si è sviluppato dalla Difesa quindi alla PA centrale e poi a quella territoriale, con competenze decrescenti.

Sebbene le PMI siano l’anello debole del Sistema Paese, sono una grande opportunità secondo il Prof. Aldo Pigoli, Competitive Intelligence Expert e docente universitario. In Italia c’è un percorso che si sta realizzando anche se nelle operatività della PMI è ancora più challenging perché non c’è un rapporto diretto con gli enti statali, sono più autonomi e fanno riferimento ad associazione di settore che talvolta fanno più corporativismo. Da questo punto di vista, è importante creare una cultura della sicurezza che non deve essere vista come un costo e con regolamenti percepiti come ostativi all’operatività. Anche in seno alle PMI, negli ultimi anni, sono nate esigenze informative, soprattutto a partire da eventi disruptive come covid-19, Ucraina, tensioni internazionali che si sono tradotti in problemi per la stessa business continuity. Alcune PMI beneficiano dei rapporti con le grandi imprese e dei requisiti di compliance richiesti a tutti i fornitori e a cui devono adeguarsi ma è necessario coinvolgerle e renderle consapevoli dell’importanza del dato e non solo dei prodotti.

Giulia Gubbiotti è intervenuta per ricordare che le grandi aziende hanno la responsabilità di guida ed orientamento ed evidenziando best practice, strutturando processi di compliance a cui tutto l’indotto deve sottostare ma anche lavorando sulla cultura e sulla postura di legalità a beneficio del Sistema Paese.

Su questo punto, Angelo Tofalo ha ricordato che l’Italia si regge sul tessuto delle PMI e la security by design è fondamentale per assicurare strategie proattive, preferibilmente con un respiro europeo per armonizzare le leggi nazionali e non rimanere schiacciati tra le superpotenze.

Secondo Mario Florio, il costo per la security management sostenuto dalle grandi aziende non può essere trasferito alle PMI altrimenti il profit margin si comprime. Ma si deve trasmettere il principio che la cultura dell’informazione e della formazione del personale e dei trasfertisti sono una sicurezza per loro stessi ma anche per il datore di lavoro e per l’azienda stessa. I costi in questo caso sono inferiori al dolo in caso di incidente.

Secondo Aldo Pigoli, la soluzione è emersa nel dibattito perché non si parte da zero e sono già presenti cultura e formazione a vari livelli, che, pur avendo costi, generano conoscenza e competenza. Ha riconosciuto che la formazione deve guardare all’operatività e non solo alla teoria. Nel DNA del Paese ci sono best practice anche nelle PMI che purtroppo non sono modellizzate e condivise e manca lo spirito di fare sistema (anche a livello europeo).

Se vuoi guardare direttamente la registrazione del seminario, clicca qui, altrimenti continua pure con la lettura dell’estratto.

Valeria Ceci e Costanza P.(iras) di Social Links, provider globale di intelligenza OSINT con più di 500 clienti in 80 Paesi con 3 soluzioni SaaS di open data intelligence per Maltego, hanno parlato di security intelligence in contesto business facendo riferimento a un case study. A livello di due diligence, i vantaggi dell’utilizzo della soluzione OSINT comporta la riduzione di tempo del 20-35% (e quindi di costi) che porta a insight di actionable intelligence. L’estrazione dei dati in pochi minuti lascia più tempo all’analista per l’intelligence.

È intervenuta da Kenya anche Giulia Pieroni, Senior Associate di Castor Vali Africa, che ha illustrato il contesto estero della due diligence. Storicamente, i riferimenti normativi più rilevanti sono il Foreign Protect Act americano nato per proibire alle aziende e a tutta la filiera dei fornitori di corrompere funzionari stranieri per ottenere vantaggi commerciali. La crescente applicazione di questa legge, oltre a quella britannica, ha portato le aziende internazionali alla due diligence, in particolare dei fornitori. Mentre in Europa anche le visure sono facilmente ottenibili online, all’estero queste informazioni sono più difficili da ottenere e talvolta sono cartacee. La parte di OSINT può essere integrata da HUMINT (interviste con fonti umane, ad esempio ex dipendenti o concorrenti). Secondo la sua esperienza c’è crescente interesse a proteggere la propria reputazione in senso più ampio. Le indagini cross-border sulla corruzione richiedono expertise superiori. È importante un aggiornamento continuo ed un team multidisciplinare variegato con competenze e conoscenze legislative e linguistiche differenti. È fondamentale inoltre affidarsi a società che sanno dove e come cercare informazioni genuine soprattutto in un Paese dove la corruzione è endemica e l’affidabilità delle fonti è sempre un forse.

Matteo Colella, CISO di Siram Veolia, ci ha parlato di sicurezza fisica e di come vede la convergenza tra sicurezza logica e fisica e ambientale, convergenza data dal digitale su cui sono sempre più veicolate informazioni private, di business, …

Il patrimonio aziendale informativo va protetto sia nella dimensione cyber che in quella fisica, ormai fatta anche sempre più con strumenti informatici. La competenza è variegata e data da formazione e consapevolezza e conoscenza del quadro normativo. Il cittadino stesso deve capire l’importanza dell’informazione affidata ad un mezzo informatico. Il governo e la protezione del dato sono un tema sociale che coinvolge sia privati che aziende.

Oggi si cerca di fare sicurezza fisica investendo su tecnologie e rimuovendo il fattore umano ma questo porta fatalmente in ambito cyber. Ma bisogna riconoscere che, quando la tecnologia fallisce, interviene l’umano. Le aziende hanno bisogno di avere un ambiente sicuro in cui le persone stesse devono fare sicurezza. Il fattore umano, e non quello tecnologico, fa la differenza. Le aziende tendono ad automatizzare per risparmiare ma in questo modo possono cadere vittima di organizzazioni criminali cyber che le attaccano sul fronte della sicurezza fisica ed informativa.

Le aziende possono essere paragonate ad uno Stato, con protezioni sul proprio perimetro, ma a differenza degli Stati, non investono nulla nell’intelligence. Paradossalmente si incentivano prodotti informatici ma, senza l’intelligence umana si hanno ambienti non sicuri.

Giulia Gubbiotti è intervenuta ancora per sottolineare che la Security Management deve cogliere opportunità e rischi che ci circondano e per ricordare quanto il fattore umano sia vincente e sia un elemento distintivo di chi si occupa di sicurezza. Gli analisti sono una risorsa scarsa e critica con competenze trasversali giuridiche, informatiche, comunicative… la sfida è la retention perché le persone sono la forza propulsiva e innovativa e la tecnologia deve rispondere ad un bisogno e non può promuovere queste esigenze.

Infine, William Farris, Director of security di una società che si occupa di close protection e security management negli Stati Uniti, ha portato la sua testimonianza in un contesto americano. La sicurezza fisica negli USA è un tema molto vivo e dinamico, e nel contempo è una realtà importate dal punto vista economico. Pur riconoscendo l’importanza della sicurezza fisica e dell’elemento umano, ha evidenziato un problema di professionalità tanto che negli anni ha scoperto che la sua professionalità si integrava perfettamente rispetto al sistema americano perché paradossalmente le diverse regole di ingaggio e di sicurezza governativa e privata, maturate in ambito italiano, erano un valore aggiunto nel contesto americano.

Se vuoi guardare direttamente la registrazione del seminario, clicca qui.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *