Ambizione Italia per la cybersecurity: intervista a Gaia Guadagnoli, esperta di Microsoft
Perché è importante coinvolgere risorse interne e esterne di un’azienda nella protezione della cybersecurity? Perché gli attacchi saranno sempre più sofisticati ed evoluti e saranno legati a delicate questioni geopolitiche, ma anche perché il fattore umano gioco un ruolo cruciale tra gli elementi di vulnerabilità. La cybersecurity rappresenta un ottimo sbocco professionale per quanti stanno orientando la propria carriera, al di là del curriculum di studi già seguiti. Onelia Onorati ha intervistato Gaia Guadagnoli, Privacy, Data Protection & Security Technology Specialist di Microsoft Italia, protagonista di due iniziative:
- percorso formativo nell’ambito del programma Ambizione Italia per la Cybersecurity (6-9-13-16 marzo )
- jobtalk di orientamento alle carriere in collaborazione con Cyber Strategy Initiative
Secondo l’ultimo Microsoft Digital Defense Report, nel 2022 le email di phishing sono state 710 milioni alla settimana e i tentativi di violazione delle password 921 al secondo, in aumento del 74% rispetto allo scorso anno. Gli attacchi informatici stanno aumentando in maniera vertiginosa, mettendo a rischio aziende e privati come mai prima d’ora. Quali sono, secondo te, i motivi di questa impennata?
Negli ultimi anni gli attacchi informatici sono aumentati a causa di molti fattori, che vanno da questioni squisitamente tecnologiche, fino a riguardare fattori umani e di opportunità. L'aumento dei dispositivi interconnessi e la crescita pervasiva dell’IoT hanno creato una superficie di attacco più ampia per gli attori malevoli. Inoltre, l'emergere di strumenti di attacco sofisticati e automatizzati ha permesso di lanciare con maggiore facilità attacchi più o meno complessi, sfruttando economie di scala che rendono quindi molto più efficiente dal punto di vista economico lanciare attacchi su larga scala. Infine, in molte organizzazioni anche la mancanza di misure di sicurezza adeguate ha contribuito all'aumento degli attacchi informatici. Il fattore umano risulta quindi essere centrale sia da un punto di vista aziendale che personale. Infatti, l’utilizzo di buone pratiche di sicurezza riesce a bloccare la maggior parte degli attacchi standard. Pensiamo, banalmente, all’utilizzo di un doppio fattore di autenticazione, all’aggiornamento sistematico dei sistemi operativi e degli applicativi in uso. È quindi indispensabile prestare attenzione a ciò che ci circonda e ciò a cui si viene sottoposti, sviluppando un pensiero critico. Non serve essere esperti di informatica per creare un livello di protezione che ci faccia stare più tranquilli.
Quali sono i punti più vulnerabili di un’azienda, quelli che ai quali un professionista della cybersecurity deve fare attenzione?
Non c’è una sola risposta a questa domanda, perché ogni contesto aziendale è diverso, sia in termini di infrastruttura che di dati. Per esempio, esistono settori in cui l’utilizzo di dispositivi OT è maggiore rispetto ad altri, e aziende in cui è possibile utilizzare dispositivi personali per la propria operatività (bring your own device). Queste peculiarità vanno a differenziare la possibile superficie di attacco, che quindi può essere più o meno ampia. C’è però una cosa che accomuna tutte le organizzazioni: il fattore umano. Come dicevo prima, il fattore umano risulta quasi sempre l’anello debole del settore della security. È indispensabile mettere attenzione su questo punto in maniera particolarmente strutturata, perché la disattenzione (o, ancora peggio, le attività malevole di eventuali insider) possono portare a conseguenze gravissime. E si tratta non solo dell’implementazione di misure tecniche, ma anche di quelle organizzative e di sensibilizzazione degli utenti ai rischi informatici. A livello tecnico è inoltre importante trovare un bilanciamento tra protezione e usabilità. È infatti importante che l’utente non sia troppo limitato nella sua operatività, perché in caso contrario cercherebbe dei “workaround” potenzialmente pericolosi, quindi è necessario optare per misure il più possibile semplificate (sia lato back-end che front-end). Infine, è possibile sintetizzare quello che è il punto a parer mio più importante, la “cultura”. Infatti, le misure tecniche, gli investimenti, le politiche e le procedure di sicurezza non sono altro che il derivato di una spinta culturale dettata dall’atteggiamento del management nei confronti della sicurezza. Un ambito cruciale è il fattore economico: purtroppo assistiamo spesso ad ingenti investimenti ex-post, solo dopo il perpetrarsi di un attacco informatico. Se questi investimenti fossero arrivati invece per tempo, perdite economiche davvero molto ingenti sarebbero state evitate. Qualunque lavoratore operante nel ramo della sicurezza (dal più tecnico al meno tecnico) deve avere ben presente il fattore economico ed il cosiddetto “ROSI” (Return on Security Investment) che, di fatto, governa ogni tipo di decisione in ambito organizzativo.
Qual è il percorso ideale di chi vorrebbe lavorare in questo ambito? Ci sono dei requisiti fondamentali che bisogna avere per iniziare oppure ci sono tante possibilità anche per chi comincia da zero?
Ho una laurea triennale e una specialistica in Cooperazione internazionale per lo sviluppo, una branca di Scienze Politiche. Immaginate qualcosa di più distante dalla parola “cybersecurity”? Difficile. Poi man mano ho avuto modo di scoprire le mie vere passioni e di coltivare quelle che avevo sempre saputo di avere, in questo caso quella informatica, e di trovare un ambito che mi facesse battere il cuore. Mentirei se dicessi di aver scelto questo campo a tavolino, perché in realtà è successo quasi per caso, ma quello che mi preme sottolineare è che l’unica cosa davvero importante è essere interessati ad una certa materia.
Ora faccio un esempio che forse farà sorridere qualcuno: un giorno ero a casa, il mio telefono squillò e si trattava di un recruiter che, dopo aver visto il mio profilo LinkedIn (avevo comunque all’attivo diverse cose lato tech, ma assolutamente nulla in ambito cyber), aveva deciso di contattarmi per propormi un colloquio in ambito cybersecurity. Per me “cybersecurity” significava password lunghe e complesse, e questo è quanto. Chiamai quindi una mia amica che lavorava in ambito cyber, e le chiesi di indicarmi cinque cose super importanti in questo ambito, senza le quali non avrei neanche potuto lontanamente pensare di superare il colloquio. Era impensabile avere in pochi giorni una visione olistica su tutta la materia, quindi mi concentrai sui cinque framework che la mia amica mi indicò e li studiai davvero a fondo. Ho passato quel colloquio e la mia vita è cambiata. Non ero un ingegnere, non ero nata “pentester”, ero solo una persona a cui era stata presentata un’opportunità e che aveva voglia di imparare.
La verità è che la sicurezza informatica è un ambito pressoché sconfinato, e c’è posto davvero per tutti, poiché ci sono specialità sia più tecniche, che meno tecniche. Nella mia carriera mi sono progressivamente avvicinata a tematiche sempre più tecniche, ma si è trattato di una preferenza personale motivata dall’interesse che maturava giorno per giorno. Non si tratta di una legge applicabile per tutti. Conosco persone assolutamente non tecniche e davanti a cui non si può far altro che inchinarsi ed imparare, quindi sì, c’è posto davvero per chiunque sia interessato alla materia, perché ognuno di noi ha nel suo bagaglio delle peculiarità che lo rendono unico, e che possono portare un valore aggiunto alla specializzazione di cyber che si sceglie.
È naturale che alcuni settore abbiano dei pre-requisiti molto rigidi, soprattutto lato squisitamente tech ma ripeto, non bisogna essere nati “formati”, soprattutto per chi è all’inizio della propria carriera. Abbiamo la fortuna di vivere in un mondo dove abbiamo tutte le opportunità e le possibilità di documentarci e di imparare qualunque cosa ci interessi, quindi è tutta una questione di impegno e di disponibilità ad imparare.
Quali saranno, secondo te, le tendenze di sviluppo dei prossimi anni per gli attacchi cyber?
Gli attacchi cyber sono in continua evoluzione e non dipendono solo da fattori di opportunità, ma anche da fattori geo-politici. Tuttavia, sulla base anche di quanto osservato nel Microsoft Digital Defense Report 2022 è possibile fare alcune previsioni interessanti. Sostanzialmente, date le premesse degli ultimi anni si prevede che gli attacchi informatici diventeranno più sofisticati, mirati e organizzati. Per cominciare, si ritiene che gli aggressori utilizzeranno sempre più tecniche di intelligenza artificiale (AI) e machine learning (ML) per automatizzare le loro operazioni, che comprenderanno attacchi verso diversi settori delle infrastrutture aziendali, sfruttando la crescente superficie di attacco disponibile. Attraverso l’automazione degli attacchi, sarà possibile per gli attori malevoli lanciare attacchi più sofisticati con maggiore velocità e precisione. Inoltre, gli aggressori saranno in grado di utilizzare l'AI e l'ML per creare campagne più mirate e personalizzate. Gli aggressori continueranno a utilizzare tattiche di phishing e social engineering per accedere alle reti aziendali. Sfruttando i social media e altri canali di comunicazione gli aggressori possono colpire individui e aziende specifiche. Infine, si ritiene probabile che gli aggressori formino gruppi più organizzati e professionali, possibilmente anche sponsorizzati da stati nazionali. Questi gruppi saranno in grado di lanciare attacchi più coordinati e sofisticati, rendendo ancora più difficile alle organizzazioni difendersi. Poiché il panorama delle minacce digitali continua a evolversi, è importante che le organizzazioni si tengano aggiornate sulle ultime tendenze in ambito security. Monitorando proattivamente le minacce e mettendo in campo misure preventive e correttive adeguate, le organizzazioni possono stare un passo avanti agli aggressori e proteggersi meglio da attacchi cyber sempre più sofisticati.