Parliamo con Nikola Dinic, Chief Information Security Officer di CONVOTIS, del ruolo della cybersecurity in un’azienda moderna.
Caro Nikola – CONVOTIS ha un esperto collaudato come CISO. Per cominciare, vorremmo presentarti ai nostri lettori.
Dopo gli studi di Bachelor (Business Administration) presso l’Università di Economia e Commercio di Vienna e la specializzazione in Management Information Systems, la mia strada mi ha portato in Irlanda e Norvegia per dei semestri di scambio. Ho completato il mio Master in International Management e ho scritto la mia tesi di Master sul “Cloud Computing”.
La mia carriera è iniziata poco dopo la laurea presso una società Big4 a Vienna, dove ho trascorso 7 anni a supporto di clienti principalmente internazionali ma anche nazionali nelle aree della conformità informatica, della sicurezza informatica e della governance informatica in qualità di manager. L’ultimo anno l’ho trascorso a Zurigo presso la più antica e rinomata compagnia di assicurazioni sulla vita svizzera, dove mi sono occupato principalmente di IT Risk Assurance e IT Security a livello di gruppo.
La musica è uno dei miei hobby principali e cerco di provare con la mia band il più spesso possibile. Essendo un ex calciatore, pratico anche molti sport.
Nelle nostre newsletter ci concentriamo costantemente sul tema della sicurezza. Cominciamo parlando del ruolo della cybersecurity in un’azienda moderna?
La cybersecurity ha fatto molta strada nelle aziende moderne, passando da un ruolo esclusivamente tecnico o di supporto a una disciplina olistica, integrativa e multidimensionale, che ora è un fattore abilitante ma anche un elemento critico degli obiettivi aziendali.
A ciò hanno contribuito in particolare la massiccia proliferazione dei servizi Internet e la relativa digitalizzazione o automazione dei contenuti e dei processi di marketing. Questa crescita esponenziale e fulminea della complessità e del volume dei processi e delle tecnologie di supporto è diventata oggi una normalità che nei prossimi anni terrà impegnati gli specialisti di cybersecurity ma anche le C-suite di tutto il mondo.
Quali sono gli elementi chiave che devono essere inclusi in una visione olistica della cybersecurity?
Oltre all’approccio classico e alla suddivisione delle attività di cybersecurity in Governance, Risk & Compliance (GRC in breve) e Incident Response, a mio avviso negli ultimi anni si è rivelato essenziale l’approccio olistico e la revisione continua della resilienza. E questo non solo a livello di strumenti di sicurezza ormai potenti, ma soprattutto per l’integrazione della cybersecurity in tutti i processi aziendali rilevanti e nel ciclo di vita dei prodotti, indipendentemente dal settore, dall’infrastruttura esistente o dalla maturità dei processi.
Un altro aspetto che sembra essere più importante che mai è il fattore umano: le migliori strategie di sicurezza, così come gli insiemi di regole, spesso falliscono a causa di lacune fondamentali nella consapevolezza dei dipendenti, che a loro volta hanno portato ad alcune delle più grandi violazioni degli ultimi anni.
La sfortunata verità è che molte organizzazioni continueranno ad affrontare minacce crescenti quest’anno, ma anche negli anni a venire, poiché i criminali informatici diventano sempre più creativi e sofisticati. L’unico modo per combattere queste minacce è affrontarle con altrettanta creatività, sofisticazione e, soprattutto, resilienza. Questo aspetto viene spesso definito “resilienza per progettazione”, ma il concetto di fondo è fondamentale: le organizzazioni devono essere proattive piuttosto che reattive per far fronte alle minacce informatiche. Ciò comporta innanzitutto l’anticipazione delle interruzioni con una comprensione completa dei rischi attuali ed emergenti, la semplificazione dei processi di cybersecurity, la preparazione di azioni di risposta specifiche per gli scenari di attacco rilevanti e la non trascuratezza delle lezioni apprese dopo ogni evento critico o tentativo di attacco.
Tuttavia, un approccio olistico alla cybersecurity si basa anche sul concetto di “Security by Design”, offerto con successo nel futuro portafoglio Convotis e percepito dai clienti. L’idea di fondo prevede l’integrazione di tattiche/percorsi e soluzioni di sicurezza chiave per applicare i requisiti necessari per l’autenticazione, l’autorizzazione, la riservatezza, l’integrità dei dati, la privacy, la responsabilità, la disponibilità, la sicurezza e il non ripudio (anche se il sistema viene attaccato) già nella fase di progettazione o sviluppo del sistema.