Da tre anni un numero crescente di CSO di grandi aziende italiane e multinazionali si ritrova insieme per condividere informazioni sulle proprie metodologie.

Scopriamo come è nata quest’esperienza e quali sono le preoccupazioni che agitano i responsabili della sicurezza.

Esistono alcune organizzazioni più o meno strutturate negli USA e in Europa che mirano a far condividere informazioni tra i responsabili della sicurezza, ritenendo che condividere significhi riuscire ad attuare una migliore protezione. Anche in Italia si è tentato di ricreare esperienze simili, ma a detta di molti non si è riusciti ancora a coinvolgere con efficacia i veri protagonisti, cioè chi la sicurezza la gestisce quotidianamente nella propria azienda. Non è sempre così, però: forse è sufficiente trovare la formula giusta. Ne parliamo con Riccardo Cerretelli, responsabile della sicurezza informatica di Eli Lilly Italia, che è riuscito a promuovere l’iniziativa dei Security Meeting, riunioni periodiche che stanno coinvolgendo un numero sempre crescente di responsabili di sicurezza ad alto livello di grandi aziende. Da questi meeting, emergono tra l’altro quali sono le principali preoccupazioni in Italia per quanto riguarda la sicurezza informatica.

Come è iniziata l’esperienza dei Security Meeting?

Tutto è nato da una lezione che ho ricevuto a suo tempo quando ero in università: devi sempre sapere esattamente con chi parlare e che cosa studiare. E’ decisamente utile avere nella propria rubrica personale mentale una lista di contatti privilegiati di persone con cui scambiare certe informazioni. Per puro caso, avevo una cerchia di amici personali che erano appassionati di informatica e che avevano iniziato anche a lavorare nel settore. Abbiamo iniziato a incontrarci in maniera sempre più regolamentata una volta ogni due o tre mesi, parlando di problematiche di lavoro. Mi sono accorto che in quelle situazioni la conversazione era estremamente proficua, perché focalizzavamo i problemi nudi e crudi delle nostre attività in maniera informale, andando al nocciolo delle questioni in tempi rapidi e riuscendo a raccogliere informazioni che altrimenti avrebbero richiesto ore di ricerche su Internet o su testi. I primi appuntamenti sono iniziati dieci anni fa, intorno al ‘90; eravamo cinque persone.

In che modo queste esperienze iniziali si sono allargate e, per così dire, "istituzionalizzate"?

Per allargare il gruppo, abbiamo fatto uso dei gruppi di amicizie che ognuno di noi aveva per conto proprio. Di conseguenza questi incontri sono diventati sempre più formalizzati e quando ho saputo che la mia stessa azienda favoriva queste attività di "focus esterno", ho pensato di trasformarli in un’attività regolamentata in azienda. Il primo meeting ufficiale è avvenuto all’inizio del 2001. Ora ci incontriamo ogni sei mesi circa, con un meeting della durata di un giorno. In questi incontri c’è comunque una forte componente di informalità, perché in definitiva tutti si sentono abbastanza tranquilli e liberi di parlare fino a un certo livello delle problematiche di sicurezza, in quanto siamo in un ambiente controllato e protetto. Esiste un rapporto di amicizia di base che riesce a far sì che non ci sia diffidenza nel parlare di questi argomenti.

Ovviamente, più si allarga il gruppo e più questo livello di confidenza si abbassa, perché non è possibile avere lo stesso rapporto personale con 25 persone, però col passare del tempo i rapporti sono sempre più forti e cresce la fiducia.

"In Eli Lilly mi occupo del programma di Security Education and Awareness, chiamato SAINT (Security Advocates IN Teams)", ci racconta Riccardo Cerretelli, "che in definitiva prevede la creazione di un responsabile di sicurezza, il Security Advocate, in ogni dipartimento dell’azienda a livello globale. Si tratta di un punto di contatto, una persona che permette lo scambio di informazioni con il gruppo di sicurezza informatica da ogni dipartimento dell’azienda, nei due sensi. Vi è un’azione di raccolta di necessità e informazioni che va da tutti i dipendenti verso il gruppo di sicurezza informatica e vi è anche nel senso inverso una azione educazionale, di training, dal gruppo verso tutti i dipendenti. Il programma è comunque molto più ampio di questo: ci sono delle attività di training associate, che stanno toccando tutti i dipendenti aziendali. E c’è anche un’attività di assessment e remediation dell’infrastruttura e dei processi utilizzati e sfruttati nei vari dipartimenti: si tratta di un ciclo di attività che annualmente sta coinvolgendo i dipartimenti aziendali. In definitiva, si parte prima dall’IT e si va poi a coprire tutta l’azienda".

Quanti membri siete riusciti a coinvolgere in questa iniziativa?

Il bacino di contatti è di circa 70 persone. Quelle che regolarmente vengono contattate per e-mail o con telefonate sono una cinquantina. Lo stesso vale per quelli che vengono invitati ai meeting semestrali. Il numero di coloro che si ritrovano fedelmente ai meeting sono circa 25. Tra l’altro la fedeltà è molto relativa, perché a parte uno "zoccolo duro" di 2-3 persone che ci sono sempre, tutto il resto è dinamico a causa di impegni lavorativi. Le responsabilità e gli impegni lavorativi aumentano, quindi i tempi che si possono dedicare per attività più "rilassate" sono sempre minori. Dobbiamo perciò sempre più focalizzare gli argomenti, stringere i tempi e aumentare il peso delle questioni discusse.

Le persone che intervengono ai meeting fanno generalmente parte di multinazionali con filiali in Italia. Nell’ultimo meeting tenutosi nel dicembre scorso, ad esempio, il target delle attività erano i manager e i direttori IT delle filiali italiane di multinazionali. E’ stata una vera sfida, ma con buoni risultati, perché le persone che sono intervenute erano di aziende veramente grandi.

Dove finisce quello che si può condividere e dove inizia quello che diventa patrimonio aziendale?

Al primo approccio, i responsabili della sicurezza sono generalmente molto diffidenti. Ho avuto modo di contattare in maniera capillare alcuni responsabili senza che sapessero chi fossi. In quei minuti di telefonata ci si gioca molto: bisogna superare quel primo passo e comprendere che il motivo del contatto non ha fini commerciali, non ha lo scopo di rubare competenze e know-how, ma anzi di condividerli e quindi di rafforzarli. Quando questo è chiaro, la diffidenza cala. L’approccio che viene in generale adottato dai neofiti quando vengono nel gruppo è una domanda del tipo: come fate voi a fare questo e quello? Da qui si può cominciare a parlare.

I processi e le metodologie che vengono utilizzate dalle varie aziende possono essere discusse in dettaglio, anche perché in definitiva sono più o meno i soliti, tranne qualche modifica. I dettagli tecnici di implementazione, invece, no: lì c’è un limite. Ad esempio, non vengono mai divulgati marca e modello dei firewall utilizzati in un’azienda, a meno che non ci siano problematiche di patching specifiche e di conseguenza sia necessario condividerle.

Quali sono i temi più caldi che emergono da questi Security Meeting?

Il patch management al momento è la principale preoccupazione, il principale mal di testa di tutti i responsabili di sicurezza nelle aziende, perché gestire in maniera corretta le patch in aziende di una certa dimensione è veramente un problema non banale. Per la legge dei grandi numeri ci sono sempre sistemi che restano scoperti. E con certe tipologie di virus, avere 100 macchine scoperte su 50 mila può rivelarsi un problema, perché 100 macchine infette riescono a saturare la banda, ad avere un impatto non trascurabile sull’intera rete, con ripercussioni immediate sul business. E’ un’attività che preoccupa tantissimi per le difficoltà soprattutto di testing dei sistemi patchati e di problematiche di rispetto dei requisiti di validazione dei sistemi. In un’azienda farmaceutica come la nostra, ci sono buona parte dei sistemi che sono validati, quindi questo è un problema veramente notevole.

"È in atto un’ulteriore formalizzazione degli IT Security Meeting, che si chiamerà Information Security Alliance", annuncia Riccardo Cerretelli. "Si dovrebbe concretizzare con alcune regole ben chiare tra i partecipanti al gruppo, che riguardano ad esempio la riservatezza delle informazioni che andiamo a gestire. Dobbiamo scrivere uno statuto, senza per questo creare troppa documentazione, ma solo per capire i margini entro i quali vogliamo rimanere. Tale organizzazione prevede membri internazionali, ma con una forte base italiana: attualmente gli italiani costituiscono il 95% dei membri, ma la nostra intenzione è di allargare la partecipazione. Comunque, non mi interessa sviluppare l’attività al di là di certi limiti. Il fine è sempre quello di condividere le informazioni e ritrovarci e discutere come facevo 10 anni fa con quattro persone, e sono felicissimo di farlo con 40 o con 400".

Come è possibile affrontare il problema del patch management?

Non c’è la soluzione facile e banale al problema. La strada da percorrere che è emersa durante i nostri meeting è semplicemente una ottimizzazione dei processi da seguire in caso di incidente che provochi la necessità di un patching molto spinto, per esempio quelli che richiedono il patching in una settimana di tutti i sistemi. Oltre all’ottimizzazione dei processi, però, è necessaria la sensibilità dell’intera comunità di dipendenti, in modo che riescano a comprendere il peso e la gravità dell’operazione proattiva da fare per evitare conseguenze pesanti. Applicare patch in tempi brevi in un’azienda come la nostra con quasi 50 mila dipendenti e 60 mila computer è una sfida che non coinvolge solo l’IT. Se c’è la sensibilità di tutti i dipendenti, le cose sono facilitate. La chiave di volta è quindi l’education e l’awareness da parte di tutti i dipendenti; anche il management più alto deve essere sensibile al fatto che se non si applicano le patch c’è il rischio che un virus in tre giorni faccia chiudere i siti di produzione.

Ci sono problemi specifici di comunicazione con il management sulle problematiche di sicurezza?

E’ necessario che il management di alto livello delle grande aziende sia a conoscenza del fatto che l’infrastruttura IT va mantenuta e gestita quotidianamente, per prevenire le problematiche relative ai bug dei sistemi che vengono scoperti nel tempo. Il problema è riuscire a informare il management in modo non allarmistico, ma neanche insufficiente, non solo durante le situazioni di crisi, ma anche durante la gestione quotidiana. I responsabili della sicurezza devono riuscire a comunicare in maniera adeguata, senza gridare "al lupo al lupo" e senza dimenticarsi di coinvolgere il board level in caso di operazioni proattive. D’altro canto, il board level deve capire che se non si pone la giusta attenzione a queste problematiche, si può rischiare grosso. E quello che accade in generale è che ci si accorge dell’importanza di queste tematiche quando il latte è versato, o se si ha fortuna quando il latte sta per essere versato.

Quali sono i criteri per capire quando la comunicazione con il management è "adeguata"?

Questo è veramente il punto caldo della questione. Anche facendo uso delle fonti di informazione più autorevoli nel campo, si rischia talvolta di sbagliare di molto. Si sono visti alert del tipo: "Si prevede un worm che fa uso di questa falla di sicurezza nei prossimi 7 giorni", e poi il worm non è mai stato creato. Quando si devono valutare queste cose, viene subito utile la risorsa del gruppo che abbiamo organizzato e della relativa mailing list.

Eli Lilly è una multinazionale farmaceutica di quasi 50 mila dipendenti. Abbiamo chiesto a Riccardo Cerretelli quanto la sua azienda abbia favorito questa sua attività di promozione dei Security Meeting. "Sono particolarmente fortunato", è la sua risposta. "Mi sono subito reso conto che l’attenzione della mia azienda all’esterno era molto forte, con l’obiettivo di imparare dagli altri e usare, se possibile, le nozioni imparate per migliorarsi. Quindi sono sempre stato favorito, a partire dai fondi per svolgere queste attività". Ma quali sono i "ritorni aziendali" legati all’appoggio di un’attività di questo tipo? "E’ un ritorno di brand, di affidabilità collegato al marchio", afferma Cerretelli. "Rientra in un’azione di branding più generale di Eli Lilly, che non si ferma ovviamente ai Security Meeting, ma passa anche attraverso azioni ancora più visibili, come la donazione di 100.000 euro a Telethon o l’offerta in beneficenza di 500 pc portatili della forza vendita".

Quali altri temi emergono nei Security Meeting?

Un altro tema molto caldo in Italia è quello del monitoraggio dei dipendenti e va detto che il nuovo testo unico sulla privacy non ha apportato contributi chiarificatori di rilievo rispetto al passato. Purtroppo, la legislatura italiana, anche se in tempi passati si è mossa in maniera proattiva, fa fatica a star dietro alle problematiche che ci si trova ad affrontare ogni giorno. Si arriva talvolta a delle storture: ad esempio, per la legislazione italiana gli Stati Uniti in certi casi non sono trusted dal punto di vista delle esportazioni di dati, mentre l’Argentina è trusted. Per riuscire a districarsi in questa giungla, è necessaria un’opera di informazione. Le persone che sono coinvolte in queste tematiche, sia grazie a conferenze, sia grazie a corsi specifici, sia grazie a consulenti legali, nel tempo troveranno la giusta strada per conciliare problematiche di privacy con il diritto inalienabile dell’azienda di proteggere innanzitutto i propri asset, e di far sì che questi siano utilizzati magari non esclusivamente, ma almeno per buona parte a fini lavorativi.