Con oltre 11 anni di esperienza come IT Manager al Corriere del Ticino, come ha visto evolversi le sfide di sicurezza informatica e resilienza operativa nel settore dei media e dell’editoria?
Quello che ho evidenziato io nella mia esperienza è che inizialmente, le minacce erano più generiche e di facile individuazione. L’antivirus e l’antispam erano i prodotti sufficienti a proteggere il perimetro dell’azienda. Oggi, gli attacchi sono diventati sempre più sofisticati e personalizzati, sfruttando le vulnerabilità specifiche di ogni organizzazione. Gli attacchi ransomware, il phishing mirato e le campagne di disinformazione sono solo alcuni esempi. Allo stesso tempo, la digitalizzazione dei processi e l’adozione di nuove tecnologie, come il cloud computing hanno ampliato notevolmente la superficie d’attacco, rendendo le organizzazioni più vulnerabili. La parte produttiva, presso di noi, da sempre isolata è ora integrata nell’infrastruttura di backoffice, quindi, di vitale importanza è diventato l’utilizzo di nuovi approcci come lo zero trust, fondamentali anche per la mitigazione di eventuali attacchi interni all’azienda. L’introduzione, infine, di normative come l’LPD ha aumentato la consapevolezza sull’importanza della protezione dei dati personali e ha imposto alle organizzazioni di adottare misure di sicurezza più rigorose. Come conseguenza gli incidenti informatici devono essere gestiti in modo rapido ed efficace per minimizzare i danni e ripristinare le operazioni il prima possibile. In questa epoca dove i social la fanno da padrone, proteggere il contenuto esclusivo e le proprietà intellettuali è una sfida costante. Con un gran numero di collaboratori esterni, la gestione delle identità e degli accessi diventa complessa. Garantire la continuità operativa in caso di incidente informatico è fondamentale per evitare perdite economiche e di reputazione. Fornire una formazione adeguata agli utenti è essenziale per prevenire gli errori umani. All’interno del nostro gruppo tutto questo ha portato a dover rivedere periodicamente tutta l’infrastruttura e gli applicativi legati alla sicurezza e la quotidiana attenzione al miglioramento dei nostri flussi interni con una maggiore attenzione anche alla formazione del personale in sicurezza e privacy.
Basandosi sulla sua esperienza in diversi settori, incluso quello bancario, come vede il futuro della resilienza operativa e della sicurezza dei dati nel settore dei media rispetto ad altri settori?
Entrambe le industrie gestiscono dati di grande valore, ma con nature diverse. Nel settore bancario, i dati finanziari sono il cuore del business, mentre nel settore dei media il valore risiede nei contenuti e nelle informazioni personali degli utenti. Entrambi i settori sono soggetti a regolamentazioni stringenti, ma con focus differenti. Il settore bancario è sottoposto a controlli più rigorosi in materia di sicurezza finanziaria, mentre il settore dei media deve affrontare normative sulla privacy dei dati e sul diritto d’autore. Il settore bancario a mio avviso è avvezzo a lavorare con procedure ben definite e stringenti che mirano a limitare il più possibile errori umani o arbitrari. Il mondo dei media per sua natura lavora con l’obiettivo prioritario di informare, e farlo se possibile prima degli altri. Questo portava spesso in passato a trascurare gli aspetti legati alla sicurezza. Ora con le nuove leggi sulla protezione dei dati e le minacce cibernetiche sono da considerare in maniera paritetica anche se hanno obiettivi diversi. Nel settore bancario, gli attacchi mirano principalmente al furto di denaro, mentre nel settore dei media gli attacchi possono essere motivati da disinformazione o atti di vandalismo. Altra differenza importante rispetto all’ambiente bancario è che il settore dei media è caratterizzato da un ritmo di cambiamento molto rapido, che rende più difficile tenere il passo con le nuove minacce. Vi è inoltre una forte dipendenza da fornitori esterni. Le aziende mediatiche spesso collaborano con un gran numero di fornitori esterni e collaboratori, il che può aumentare la superficie d’attacco (Supply Chain). Da non dimenticare per ultima la pressione competitiva. La competizione è molto alta nel settore dei media, e questo può portare a tagliare gli investimenti in sicurezza per ridurre i costi cosa che al momento nel nostro gruppo non si è verificata (negli ultimi 5 anni si è investito ogni anno più del 15% dei costi informatici nella sicurezza).
Considerando la crescente importanza della resilienza operativa, come bilancia la necessità di continuità del servizio con l’implementazione di nuove tecnologie nell’ambiente editoriale?
Bilanciare la necessità di continuità del servizio con l’implementazione di nuove tecnologie nell’ambiente editoriale è una sfida cruciale per il nostro gruppo. La resilienza operativa, ovvero la capacità di resistere a interruzioni e guasti e di ripristinare rapidamente le normali operazioni, è fondamentale per garantire la competitività e la soddisfazione dei clienti e degli abbonati. Allo stesso tempo, l’innovazione tecnologica è essenziale per rimanere al passo con le evoluzioni del mercato e per offrire servizi sempre più efficienti e performanti. Bisogna quindi adottare un approccio strategico simile a quello adottato nella programmazione cioè pianificazione accurata (analisi), comunicazione efficace (documentazione), approccio incrementale alle nuove tecnologie (sviluppo step by step), monitoraggio continuo (test) e soluzioni di backup e ripristino (salvaguardia del codice). Questo implica identificare potenziali rischi e definire piani di rollback. La natura dei dati sensibili che vengono trattati deve essere protetta da adeguate soluzioni per il controllo ed il monitoraggio degli accessi. I fornitori esterni di servizio di hosting o applicativi editoriali devono rispettare gli stessi standard di sicurezza e resilienza operativa del nostro gruppo. Bisogna infine trovare un giusto equilibrio tra la necessità di pubblicare il più rapidamente possibile con le best practice di sicurezza.
In che modo la gestione dei dati e la sicurezza informatica si intrecciano nel suo ruolo attuale, e quali strategie ha implementato per affrontare le sfide in questi ambiti?
Si tratta a mio avviso di una simbiosi, l’obiettivo del primo aiuta a raggiungere più facilmente l’obiettivo dell’altro e viceversa. La privacy poggia sui tre pilastri disponibilità, integrità e riservatezza. Un referente privacy deve assicurarsi che i dati siano raccolti in modo lecito, trasparente e limitato a ciò che è necessario. La sicurezza informatica entra in gioco nel garantire che questi dati siano protetti durante la conservazione, evitando accessi non autorizzati o perdite. Quando i dati vengono trasferiti tra sistemi o a terzi, è necessario garantire che siano protetti durante il transito. Le misure di sicurezza informatica come le VPN e le connessioni sicure sono fondamentali (Confidenzialità). Le misure di sicurezza informatica come la crittografia e i controlli di accesso sono essenziali per prevenire modifiche non autorizzate o divulgazioni (integrità). L’implementazione di strategie di disaster recovery, backup e high availability garantiscono che la disponibilità del dato. Le strategie per realizzare quanto sopra possono essere raggruppate in una attenta mappatura dei dati, in una valutazione del rischio, l’implementazione di misure di sicurezza proporzionate al rischio calcolato come crittografia, controlli di accesso, Backup regolari, sistemi di rilevamento intrusioni, formazione del personale, una gestione degli incidenti (data breach) ed un monitoraggio continuo. Un’attenzione particolare alla consapevolezza da trasmettere all’intero gruppo sull’argomento in modo da lavorare insieme per raggiungere il risultato migliore.
Se potesse dare un consiglio al sé stesso di 10 anni fa riguardo alla privacy, quale sarebbe?
Mi direi:
“Investi nella privacy fin dal principio, non considerarla un costo aggiuntivo, ma un valore aggiunto per la tua azienda e per i tuoi clienti.”
Investire in misure di sicurezza e privacy solide fin dall’inizio ti permette di essere proattivo e di evitare costi e danni reputazionali in futuro. Le aziende che dimostrano di rispettare la privacy dei propri clienti guadagnano la loro fiducia e fidelizzazione. In un mercato sempre più competitivo, la privacy può fare la differenza. Le normative sulla privacy, come l’LPD, impongono obblighi specifici alle aziende. Non rispettarle può comportare sanzioni economiche molto elevate. Lo sviluppo di nuovi progetti “by design” rispetto alla privacy può portare a rivedere completamente gli stessi, a ricercarne spesso la semplicità e limitarne i costi in successive modifiche che lo rendano compliance rispetto alla legge.”
