Certificazione ISO 27001: i vantaggi legati alla cybersecurity

Sul tema certificazione ISO 27001 abbiamo avuto il piacere di intervistare Leonardo Nicolini di ATWORKSTUDIO di Piacenza – azienda con certificazione ISO 27001 – ISO 27017 e ISO 27018.

Un esperto di Cloud e Cybersecurity con cui abbiamo il piacere di collaborare da molti anni e che ci aiuterà a capire il valore aggiunto di una certificazione ISO 27001.

 

Buongiorno Leonardo e grazie per questa intervista! Iniziamo chiedendoti qualcosa su di te e sulla tua scelta di legarti al mondo dell’informatica.

Parlare di sé stessi è sempre un po’ complesso, ma ci provo volentieri….

Lavoro in questo campo da oltre 25 anni e penso di avere una gestione artistica dell’informatica: arrivo infatti da un percorso di studi con liceo artistico e architettura. Ho iniziato la carriera occupandomi di grafiche CD Rom multimediali. Mi sono poi spostato nell’ambito della realizzazione di siti web per poi approdare al Cloud. Ho creduto fin da subito che il futuro fosse nella nuvola, molto prima del Covid. Attualmente sono il Titolare fondatore di ATWS (AtWorkStudio) e come dichiaro nella home page del mio sito siamo un’azienda “100% Cloud, Servizi internet e Cybersecurity”.

La mia mission è quella di permettere alle aziende di lavorare ovunque, dove e quando vogliono. E il dato in cloud permette di fare proprio questo. Sono stato un po’ un precursore in questo senso.

 

1. Iniziamo parlando del quotidiano: qual è la situazione delle aziende italiane parlando di cybersecurity? Come percepiscono il problema del rischio informatico le aziende?

“Il rischio informatico non esiste”.

Credo che sarebbe un po’ questa la risposta di molte aziende. Per molte Organizzazioni i computer sono ancora qualcosa di magico, qualcosa che funziona e basta, senza che qualcuno se ne preoccupi. Noto sempre molto stupore quando dico ad un cliente che per esempio si è rotto l’Hard disk. “Rotto? Come è possibile? Ha sempre funzionato”

Una sorta di tecnologia aliena che esiste e che, come Gmail e Dropbox, dovrebbe funzionare senza necessità di investimenti o manutenzione.

Il problema vero è che le scelte strategiche in materia di cybersecurity dovrebbero essere fatte dalla Direzione, dal titolare dell’azienda. Ma spesso queste figure non hanno il tempo e la competenza per percepire il rischio e per scegliere una soluzione piuttosto che un’altra. Il fornitore informatico può anche proporre un firewall piuttosto che un altro, il cloud e il non-cloud, ma al momento della valutazione dei costi e della decisione finale, non è raro che il risultato sia “pazienza, al massimo pagherò un riscatto”. Come se la gestione di un attacco informatico “possibile”, fosse preferibile ad un investimento “sicuro” ora.

Ovviamente una valutazione di questo tipo non tiene conto di molti fattori che sono di vitale importanza per ogni singola realtà aziendale.

 

2. Quali sono gli attacchi che ti capita più spesso di vedere?

L’attacco più frequente è sicuramente quello di violazione del perimetro informatico di un’azienda. Che non vuol dire che effettivamente accada qualcosa, significa che un esterno è riuscito ad accedere alla nostra rete e potenzialmente può restare lì, nascosto, senza che la sua presenza sia percepita e facendo attività per noi potenzialmente dannose, senza che qualcuno noti qualcosa.

Mi piace proporre il paragone con la casa, la propria abitazione. Immaginiamo di avere cancello, allarme, telecamere, vedetta notturna, porta blindata, filo spinato, fossato e coccodrilli…. E di ritrovarci comunque un estraneo in casa. Una sensazione bruttissima, a prescindere che il ladro rubi, ci faccia del male o ci spii solamente. Nessuno di noi gradirebbe uno sconosciuto in casa.

Per le reti aziendali vale lo stesso: la violazione più pericolosa è quella che non notiamo perché, chi ha accesso ai nostri sistemi, potenzialmente può fare quello che vuole senza essere notato. Spesso quando l’hacker si fa notare è perché ha già fatto tutto quello che doveva ed è pronto a chiudere il canale.

Se dovessi fare un elenco degli attacchi “visibili” più frequenti metterei al primo posto la criptazione di dati (con consente richiesta di riscatto) e subito dopo il phishing fatto tramite le mail aziendali.

 

3. In base alla tua esperienza, le aziende tendono a pianificare la sicurezza informatica o ad intervenire solo per emergenze?

Assolutamente per emergenza. Manca la cultura del pianificare la sicurezza informatica e di percepirla come reale valore aggiunto. Dirò di più: spesso le aziende tendono a sentirsi più al sicuro di quello che sono in realtà. Un po’ quello che accade con l’effetto Dunning-Kruger, che spiega molto bene Wikipedia definendola una “distorsione cognitiva, a causa della quale individui poco esperti e competenti in un campo tendono a sopravvalutare le proprie abilità autovalutandosi a torto esperti in materia”.

Un effetto confermato anche dal sondaggio proposto proprio da voi di Mondo27001 a fine 2021: i dati evidenziano che in una scala da 1 a 100, il 79,5% delle aziende si sente sopra il 60% come livello di sicurezza informatica. Una visione assolutamente troppo, troppo ottimistica.

 

4. Quanto può costare ad un’azienda un attacco informatico in termini di denaro, fermo-lavoro, immagine?

Forse dirò una cosa impopolare, ma il danno di immagine secondo me va considerato in maniera molto limitata. La sensazione è quasi quella che subire un attacco sia quasi di moda, faccia notizia e metta in luce nomi e brand.

Il danno vero, a mio avviso, è la una somma di costi in denaro per il ripristino e di tempo di fermo lavoro. Chiunque faccia business dovrebbe tenere in considerazione due valori fondamentali legati agli attacchi alla rete e al disaster-recovery:

• l’RTO – ovvero quanto tempo serve per far ripartire i sistemi
• l’RPO – ovvero dati posso permettermi di perdere

Aziende diverse, possono avere RPO e RTO differenti e il danno procurato da un attacco è tanto maggiore quanto più mi allontano dai limiti massimi che ho identificato.

Mi è capitato 5/6 anni fa di partecipare ad un convegno il cui tema era in sostanza “Le aziende che non sono più ripartite”. Perché può accadere anche questo. Se l’attacco è così invasivo da non permettere più di ripartire con tempistiche e costi accettabile, un’azienda può arrivare a dover chiudere l’attività.

 

5. Tu hai deciso di certificarti ISO 27001, 27017 e 27018. Come mai? Quale era l’obiettivo?

Sentivo la necessità di avere una realtà esterna che mi fornisse una propria valutazione oggettiva in merito al mio livello di Sicurezza dei sistemi. Forse temevo un po’ l’effetto Dunning-Kruger, non volevo sentirmi più sicuro di quanto lo fossi in realtà.

 

6. È stato impegnativo ottenere la certificazione ISO 27001?

È stato sicuramente impegnativo, ma la considero un’esperienza positiva. È un’attività che ovviamente mi impegna tutt’ora con le sorveglianze e le ricertificazioni, ma mi ha insegnato ad approcciare il mio lavoro in maniera più strutturata. Ora mi accorgo di avere veramente un approccio basato sul rischio e capisco che l’essere certificato ISO 27001 diventa una metodologia operativa.

 

7. Oggi molti attacchi colpiscono la supply chain delle aziende. Spesso i fornitori più piccoli e meno strutturati sono il punto debole della catena. La certificazione ISO 27001 può quindi essere un requisito nella scelta dei fornitori?

È proprio così. Le grandi aziende, e in generale le aziende strutturate e organizzate, stanno sempre più richiedendo fornitori certificati. Nella supply chain, non è possibile avere anelli deboli e per questo chi non è certificato può essere visto alla pari di una scheggia impazzita su cui si fa fatica a mantenere un minimo di supervisione. Io credo che la spinta più importante a certificarsi ISO 27001 sia proprio questo: l’obbligo. Nessuno è disposto a perdere business a causa dell’assenza di una certificazione e quindi mi aspetto un incremento di richieste lato ISO.

 

8. Quali sono i vantaggi attuali che derivano dalla tua certificazione ISO 27001?

Direi un doppio vantaggio:

• per la mia azienda: perché mi è capitato negli ultimi due anni di sottoscrivere dei contratti con grandi aziende che richiedevano esplicitamente la certificazione ISO 27001
• per i miei clienti: si sentono in primis più sicuri e che in alcuni casi “sfruttano” il mio essere certificato per trasmettere a loro volta valore sui propri clienti

 

In conclusone un’ultima domanda: hai consigli o suggerimenti che possono essere preziosi per le aziende?

Posso senza dubbio dire che per le aziende come ATWS la certificazione ISO 27001 è un reale valore aggiunto e che è senza dubbio un investimento che consiglierei di mettere a budget.

Mi permetto anche di consigliare di preferire sempre e comunque fornitori IT che abbiano la certificazione ISO 27001 (e magari in aggiunta la ISO 27017 e ISO 27018 per i servizi in cloud)

Infine, ma forse è la cosa di maggior importanza… verificare sempre l’ambito di certificazione di una azienda. È importante che il prodotto/servizio che andrete ad acquistare sia effettivamente quello certificato ISO 27001. Se cercate un fornitore di servizi in cloud, verificate che la certificazione riguardi anche quest’ambito e che non sia magari limitata alla vendita di hardware, per esempio.