Questo venerdì, 10 novembre, sarà inaugurata al NOI Techpark  la nuova edizione di SFScon, la grande convention europea sul Free Software e le tecnologie open, organizzata da IDM, per la sua diciassettesima entrata sul palcoscenico dello sviluppo e della ricerca altoatesini, e non solo. Avevamo già parlato di SFScon in un precedente articolo, dove avevamo illustrato tutti i dettagli in merito alla storia e alla filosofia della convention, aggiungendo qualche informazione su come si svolgeranno le giornate al nuovo Techpark, di recente inaugurato.

Per l'occasione abbiamo intervistato per i lettori di Salto Luca Moroni, consulente informatico da circa 30 anni specializzato in cyber security. Moroni, oltre ad essere uno dei numerosi speaker che prenderanno la parola durante la giornata, è il fondatore di Via Virtuosa, un'azienda innovativa nel campo dei cyber risks e delle misure da adottare nel campo della protezione informatica.

salto.bz: Lei è nel campo dello sviluppo e dello studio delle tecnologie digitali da trent'anni, si occupa di cyber security e il nome del suo intervento che si terrà al SFScon si chiama "Outsourcing Cyber Risks", di cosa parlerà?

Luca Moroni: Si parlerà della ricerca che è stata pubblicata ad inizio anno nel Whitepaper di presentazione. Il documento mette in luce alcuni aspetti che conferiscono al CIO (manager che si occupa di sistemi informatici aziendali, ndr) un ruolo chiave nella fase di transizione dalla gestione della ICT security al cyber risk management aziendale di cui il trasferimento assicurativo è una componente ultima, ma importante. Per questo il whitepaper include, oltre ai risultati di due survey, alcune informazioni di base sul mercato assicurativo italiano e soprattutto, grazie alle risposte a 18 domande che tre CIO si sono prestati a porre, 18 utili risposte per orientarsi nel percorso operativo di acquisizione dello strumento assicurativo.

Il rischio informatico è stato sempre sottovalutato dai consumatori, non è stata una buona mossa, non è così?

L’allarme cyber si è ulteriormente rafforzato per merito o demerito della cassa di risonanza dei media. Se il guasto o l’errore umano passano in secondo piano rispetto all’azione fraudolenta o dolosa nella mente dell’imprenditore come del cittadino comune, pure alcuni concetti cominciano a prendere forma ed entrare nel nostro modo di pensare. Il cyber risk ha un ruolo sempre più centrale: alla infrastruttura ICT sono connesse tutte le attività e dunque un fall-out totale o parziale si riverbera su tutte o parte delle attività.

Il rischio informatico nel campo della tecnologia dell'informazione è una delle grandi sfide, non del futuro, quanto del nostro tempo, il tempo presente: a che punto è lo stato dell'arte della sicurezza informatica?

E’ chiaro che la sicurezza informatica al 100% non esiste perché le variabili sono troppe. Quindi bisogna essere preparati ad essere reattivi quando serve. A fronte di una domanda di Cyber Insurance in rapida crescita ma recente, in Italia è piuttosto difficile trovare player specializzati, ma soprattutto in grado di valutare correttamente rischio e copertura assicurativa da proporre. Per questo motivo stanno nascendo sinergie con aziende ICT specializzate in ICT Security & Forensics. La ricerca sull’esposizione al rischio svolta da Via Virtuosa nell’arco di 3 anni, “evidenzia non tanto il posizionamento della singola azienda e la sua ’esposizione al rischio, bensì l’andamento statistico di un certo territorio nello specifico quello del Nord Est italiano (campione intervistato) e una Base Line di riferimento (Linea Rossa) con cui potersi confrontare. La metodologia di misurazione è oggettiva.

Questa ricerca ha fatto emergere questi aspetti, ovvero un elevato rischio Cyber per le aziende e forte esposizione al rischio di business essendo sbilanciate nell’uso della tecnologia, la consapevolezza del reparto IT sul problema, ma mancanza pressoché totale di sensibilità sul problema daparte del board aziendale. Per cui scarsi investimenti. Mancanza di una misurazione oggettiva del rischio Cyber da parte delle aziende e abbiamo anche visto investimenti in crescita e consapevolezza in molti paesi europei legata ad una definizione di rischio elevato identificato da aree di business non IT. Da notare alcune indicazioni oggettive di spostare il rischio Cyber all’esterno dell’azienda.

Non solo consumatori ma anche aziende e e compagnie, il rischio per questo tipo di soggetti è più elevato e rischioso? Le informazioni da tutelare sono molto sensibili, in campo lesiglativo si sta muovendo qualcosa?

In vista di obblighi normativi che stanno per diventare più stringenti  chi si occupa di ICT security, tecnologie, certificazioni di processi ma anche di Sicurezza industriale e IoT internamente o esternamente alle aziende, si dovrebbe preoccupare di conoscere lo strumento assicurativo. Il trasferimento assicurativo è a tutti gli effetti l’ideale completamento del lavoro di chi si occupa di Sicurezza Informatica, anche se chi lo gestirà sarà il titolare dell’azienda o il responsabile amministrativo  o l’Insurance Manager, il Risk Manager nella migliore delle ipotesi.

Ritene che materie di questo tipo, insieme anche alla tutela della privacy, debbano essere inseriti anche nei programmi di scuola?

Forse parlare delle polizze Cyber nelle scuole non ha senso. Il Whitepaper di cui sopra è gratuito. Se ritenete che il contenuto sia stato interessante e utile vi chiediamo di fare una donazione libera a favore del Progetto Generazione Z. I nostri figli, bambini e ragazzi, appartenenti alla “Generazione Z”, quella dei cosiddetti “Nativi Digitali” nati e cresciuti nel bel mezzo di una società ipertecnologica e iperconnessa, vivono costantemente a contatto con le moderne tecnologie di comunicazione, i cui effetti sono ancora poco studiati e i cui rischi derivanti possono tradursi in esperienze negative, talvolta devastanti. Il progetto è volto a rilevare l’esperienza dei minori nell’uso delle moderne tecnologie da un punto di vista sociologico, comportamentale ed emotivo, con l’obiettivo di individuarne i potenziali rischi e rappresentarli con chiarezza per aumentare il livello di consapevolezza di bambini, ragazzi, genitori ed insegnanti. Il progetto si svolge sotto forma di volontariato, senza scopo di lucro, ma serve un supporto economico per portarlo a compimento. Ad oggi oltre 400 fra bambini e ragazzi hanno aderito alla rilevazione, ma possiamo fare molto di più nel loro interesse. La base di rilevazione è costituita da bambini e ragazzi di età compresa fra 8 e 17 anni. I principali temi trattati sono: uso dei social media dell’instant messaging,rispetto del copyright, dipendenza da Internet, dal gioco e da sostanze, videogame inadatti per l’età, sexting, pedopornografia, adescamento, cyberbullismo, furto d’identità, privacy personale, misure di supervisione dei genitori e migliori forme di aiuto.