Codemotion: Marino Piroddi racconta un importante progetto di Cyber Security

Dalla definizione degli obiettivi all’implementazione delle misure di sicurezza: Marino Piroddi, CTO e CISO di Gruppo SCAI, è stato intervistato da Codemotion, la più grande community tech in Europa e piattaforma di riferimento per la crescita professionale degli sviluppatori, in merito a un progetto realizzato in collaborazione con Google Cloud e al programma di formazione TOC, per spiegare come è stato possibile proteggere il business aumentando la fiducia dei clienti dimostrando loro il forte impegno per la sicurezza.

La Cyber Security è ormai da tempo una priorità assoluta. Un attacco informatico non gestito correttamente può causare danni potenzialmente devastanti a un’azienda, tra cui la perdita di dati sensibili, il blocco dell’operatività dei propri dipendenti, significative ripercussioni economiche e una compromissione importante della propria reputazione.

Per tutti questi motivi, qualche anno fa è iniziato un percorso volto a innalzare una solida barriera contro questi pericoli.

Nel 2021 abbiamo creato una task force dedicata allo SCAI Security Project, con l’obiettivo di elevare la postura di sicurezza di Gruppo SCAI a un livello adeguato.

Il progetto si è articolato in 5 fasi:

• Fase 1 – Scelta del modello di riferimento: la necessità di definire una strategia di lungo termine ha implicato la scelta del Cybersecurity Framework ideato dal NIST (National Institute of Standards and Technology).
• Fase 2 – Definizione degli obiettivi: scelto il modello di riferimento, abbiamo analizzato le scoperture rispetto ai livelli di protezione attesi e i rischi annessi alle vulnerabilità identificate e, sulla base di queste, abbiamo definito gli obiettivi e le priorità del progetto.
• Fase 3 – Pianificazione: definiti obiettivi e priorità abbiamo redatto un piano dettagliato e sostenibile che ci portasse, in un triennio, alla piena compliance col modello adottato e la predisposizione delle aziende del Gruppo, alla certificazione ISO 27001, passaggio fondamentale per aumentare la fiducia dei Clienti verso la nostra organizzazione.
• Fase 4 – Implementazione: è stata la fase più complessa, nella quale abbiamo attuato quanto previsto dal piano di progetto. In questa fase abbiamo redatto il nostro framework documentale contenente tutte le policy e le procedure, abbiamo acquistato e configurato gli strumenti hardware e software, attivato un monitoraggio attivo, iniziato la formazione del personale dipendente. Perché possiamo avere gli strumenti migliori, ma se manca la consapevolezza, l’incidente è dietro l’angolo.
• Fase 5 – Monitoraggio: terminata la messa in opera, siamo entrati a regime con il nostro Security Operation Center che, in tempo reale, monitora la nostra infrastruttura con gli strumenti attivati, pronto a intervenire in caso di attacchi o intrusioni malevole, seguendo protocolli e procedure definiti.

Lo sforzo per la realizzazione di questo progetto è stato importante in termini di effort e costi sostenuti. Ma riteniamo che sia stato un investimento minimo rispetto alle conseguenze economiche di un attacco non gestito.

A questo aspetto, importantissimo, si aggiunge quello della fiducia dei nostri clienti, sempre (correttamente) meno avvezzi a lavorare con partner non allineati sotto il profilo della sicurezza. Numerosi sono i questionari, più o meno dettagliati, che ci inviano per rilevare il livello di postura delle aziende di Gruppo SCAI con le quali collaborano. Grazie alle azioni intraprese, la reattività nel rispondere a queste richieste è migliorata e la compliance con i loro desiderata è aumentata esponenzialmente.

Un ulteriore fattore, non di poco conto per un System Integrator come il Gruppo SCAI, è l’esperienza capitalizzata dal progetto, spendibile su iniziative simili di aziende che ci chiedono supporto su questa tematica.

Oltre alla preparazione tecnica delle figure professionali all’interno del Gruppo, possiamo infatti rivolgerci ai clienti raccontando la nostra esperienza diretta, mostrando il nostro impegno su questo tema con evidenze oggettive e proponendo soluzioni testate sul nostro business.

Vedi il video dell’intervista: