Data Storage Security ha realizzato un’intervista a Tommaso Pezzi, direttore IT e IT Security Manager di Romagna Giochi Group, in materia di best practice per la cyber security aziendale, privacy ed etica digitale, sviluppo della sicurezza aziendale e importanza del Disaster Recovery Plan.

La riportiamo di seguito:

Quali sono le best practice per la cyber security aziendale?

“Innanzitutto, è fondamentale che vi sia piena consapevolezza che un’azienda si fonda sulle competenze delle proprie risorse e che quindi i dipendenti sono il fulcro attorno al quale ruotano tutte le dinamiche aziendali e, di conseguenza, il business.

Anche la Cyber Security deve quindi concentrarsi sulle persone. Ovviamente, non si può prescindere da una solida base composta da un IT competente, stimolato e reattivo, da solide politiche di sicurezza e dalle soluzione tecnologiche minime per affrontare rischi e minacce del quotidiano, ma la sicurezza va pianificata mettendo al centro le persone e va plasmata su di esse. L’approccio deve essere però bidirezionale: se da un lato occorre un piano formativo personalizzato per tutti i livelli aziendali per infondere consapevolezza del mezzo e dei suoi rischi (per guidare l’automobile è necessaria una patente di guida), dall’altro sono fondamentali un approccio empatico dell’IT nei confronti del personale meno tecnico e un continuo dialogo con le persone per conoscerne i comportamenti, analizzarne le abitudini di come vengono utilizzati i servizi e gli strumenti aziendali.

Un IT moderno che vuole sopravvivere a smart-working e BYOD, a data-leak e cybercrime-as-a-service, tra ransomware e phishing sempre più evoluti, deve scendere dal piedistallo e imparare a camminare in mezzo alla gente”.

Qual è il futuro dell’etica digitale e della privacy? 

“Il grave problema che dobbiamo imporci di risolvere è che non vi è percezione di quanto il digitale sia reale. Mentre si assottigliano i confini della nostra identità, ormai sempre più indistinti tra realtà tangibili e digitali, non vi è alcun interesse per la privacy e l’utente non ne percepisce il valore. In Europa il GDPR non è sufficiente ed è da considerarsi solo un primo passo di un lungo percorso. Sono necessari ora e lo saranno maggiormente in futuro tavoli di discussione sia nel pubblico che nel privato allo scopo di analizzare e monitorare l’utilizzo dei dati e di informare e formare riguardo a temi fondamentali quali la privacy e l’identità digitale.

Non dimentichiamo che se da un lato un’azienda che non presta attenzione ai dati e alla privacy mette a rischio i propri utenti e, come diretta conseguenza, sè stessa, dall’altro l’utente deve imporsi, pretendere trasparenza e mantenersi informato”.

Qual è il futuro della Cyber Security all’interno delle imprese private e pubbliche?

“La sfida principale degli ultimi anni è la gestione di un perimetro aziendale sempre più esteso e arbitrario e gli ultimi mesi hanno ulteriormente sensibilizzato le PMI riguardo alla necessità di gestire un’infrastruttura non più circoscritta tra le quattro pareti aziendali. Allo stesso tempo, le minacce informatiche evolvono e si rendono sempre più insidiose. Per questi motivi sono necessari strumenti e politiche di sicurezza tali da permettere a tutto il personale di lavorare in sicurezza e, allo stesso tempo, un atteggiamento proattivo dell’IT orientato ad anticipare azioni illecite”.

Perché è sempre più importante avere un piano di Disaster Recovery aggiornato?

“Un piano di Disaster Recovery è fondamentale per garantire continuità a disponibilità dei servizi anche in caso di gravi minacce, ma senza una procedura semplice, corretta e accessibile perderà di valore ed efficacia. Data l’imprevedibilità intrinseca nell’imprevisto, non è da sottovalutare l’importanza di formare il personale e di pianificare sessioni di esercitazione nelle quali si potrà prendere consapevolezza dei protocolli e delle loro criticità al fine di perfezionare le procedure”.