La figura del CISO, Chief Information Security Officer, oggi è fondamentale all'interno di ogni azienda ed istituzione governativa. Il CISO si occupa di garantire la sicurezza delle informazioni e dei dati dell'organizzazione, supervisionando la gestione e l'attuazione di politiche e misure di protezione contro minacce informatiche. La figura del CISO in questi ultimi anni è diventata sempre più importante delineandosi all'interno di una sempre più accurata struttura dedicata alla sicurezza informatica.
A questo proposito presentiamo la prima di una serie di interviste a CISO di importati aziende per raccontare una professione sempre più necessaria, oggi parliamo con Matteo Herin CISO presso Carrefour Italia, che ci racconta da dove è nato il suo interesse per questo mondo e come affronta le sfide di questo settore in un interessante dialogo.
CISO e responsabile della rete presso Carrefour Italia Matteo è un professionista della sicurezza informatica dai primi anni 2000 che ha fatto della sua passione il suo lavoro. In qualità di responsabile della Cybersecurity (CISO) e della rete in Carrefour Italia, è responsabile della costante evoluzione e miglioramento di entrambi i mondi, cercando di costruire un mondo del retail in cui la sicurezza informatica, le infrastrutture, i servizi digitali e le persone interagiscano in modo fluido ed efficiente. Amante assoluto dei gatti, Matteo ha trascorso gli ultimi 7 anni nel settore della vendita al dettaglio e i precedenti 10 anni come consulente di sicurezza informatica in molteplici settori, tra cui energia, editoria e automotive.
Qual è il tuo percorso nel mondo della cyber security? Cosa ti ha portato dove sei?
Dai tempi del liceo ho sempre avuto una passione enorme per i computer e le loro potenzialità. Quando nel ‘96 misi le mani sulla prima connessione Internet a casa di un amico intuii - o meglio decisi, con la convinzione propria dei teeager - che quello era il futuro. Da lì la curiosità mi spinse a provare sistemi operativi (al tempo) alternativi: GNU/Linux, FreeBSD fino a spingermi - con l’aiuto di amici della community underground di Milano - al mondo dell’hacking.
“Convincere” le macchine a fare quello per cui NON sono state progettate è stata la vera rivoluzione culturale del mio modo di approcciare l’informatica, ciò che mi teneva sveglio fino a tardi. Poi ci sono stati anni di lavoro come consulente per diverse grosse realtà, sia in progetti di offensive security e poi defensive, passando per la forensic e la governance. Nel 2016, 20 anni dopo il mio primo gracchiante handshake del modem 33.6, mi sono trovato responsabile della sicurezza operativa per un grosso retailer, e poi CISO. Non ho ancora smesso, né col settore retail, né col mio lavoro.
Quali sono gli elementi chiave della strategia di sicurezza interna di Carrefour e come si integra con l'approccio generale alla sicurezza informatica dell'organizzazione?
Carrefour Italia è parte del gruppo Carrefour che opera in oltre 10 paesi, sia direttamente che tramite partnership. Al centro della nostra operatività c’è la community interna che include i CISO di tutte le business unit e gli operatori di cybersecurity. Il nostro framework di riferimento internazionale è il NIST, inoltre in Italia siamo anche certificati ISO27001 per i sistemi che gestiscono dati soggetti alla normativa GDPR.
Il nostro approccio strategico è basato su servizi e strumenti comuni alla maggior parte delle business unit, considerati core, cioè imprescindibili per la governance e la misurazione dell’efficacia delle misure di sicurezza. Non è tuttavia un approccio rigido, perché ogni BU ha la possibilità di testare ed utilizzare soluzioni locali in autonomia. Ad esempio, in Italia, il sistema di valutazione e gestione del rischio delle terze parti è diverso dalle altre country, così come il sistema di Cloud SecOps.
Un team global, localizzato in Francia, è incaricato della gestione dei servizi comuni, come i WAF, il SOC, il relativo SIEM, le piattaforme EDR e di incident management e di coordinare le operations. Da un punto di vista evolutivo, poi, ci aiuta coordinando i progetti multi-country, ad esempio l’hardening di alcune infrastrutture e distribuisce blueprint e best practice mutuate delle altre BU.
Carrefour ha l’ambizione di diventare a pieno titolo una digital retail company e questo ha una profonda influenza sulla strategia cyber del gruppo: stiamo progressivamente virando verso il concetto di prodotto digitale e con esso nasce la necessità di avere una visione più alta e omnicomprensiva del rischio cyber. Ci stiamo muovendo nell’ottica di valutare ogni prodotto digitale come un tassello nella catena del valore, dotato dei propri KPI e KRI e - sempre più spesso - anche di un ROI; cybersecurity non fa eccezione e ogni iniziativa, progetto, prodotto o servizio devono essere valutabili secondo questi criteri.
Come vengono gestite le identità all'interno di Carrefour per garantire la sicurezza dei dati e la prevenzione delle minacce interne?
La gestione delle identità è un tema articolato che passa dalla gestione e responsabilità del team Cybersecurity. Ad oggi ogni BU è autonoma nella gestione sia per quanto concerne i processi che gli strumenti e l’Italia non fa eccezione. Siamo dotati di un sistema di identity management semi-automatico e integrato con i sistemi HR e lo IAM di gruppo. Questo ci aiuta a garantire uno degli aspetti fondamentali alla base di una corretta gestione delle identità: la correttezza e l’aggiornamento dei dati e degli attributi principali.
Operativamente, il principio che applichiamo è il bilanciamento tra agilità e controllo basandoci sulla misurazione del rischio: alle identità sono associati diversi account a cui, a loro volta, sono legati i profili e i ruoli applicativi. Ogni richiesta di account o profilo è soggetta a un workflow approvativo non bypassabile che coinvolge uno o più approvatori. Maggiore è il rischio prodotto dalla richiesta, più articolato è il workflow. Purtroppo è facile immaginare la quantità di lavoro prodotta dalla gestione manuale dei workflow approvativi, per non parlare di tutti i controlli di routine che eseguiamo periodicamente per individuare e sanare eventuali errori o incongruenze.
Il passo successivo su cui stiamo lavorando sarà l’introduzione di un sistema di Identity & Access Governance più sofisticato che ci consentirà, da un lato, di aumentare il livello di automazione e dall’altro di garantire una coerenza maggiore nel tempo tra le grant attribuite al collaboratore e quelle effettivamente necessarie per svolgere le sue mansioni oggi, secondo il principio del least privilege.
A tutto questo si aggiunge la complessità dell’elevato numero di franchisee che arricchiscono ogni giorno la nostra rete di punti vendita sul territorio: la governance di imprese terze a tutti gli effetti, che necessitano di una fortissima integrazione con l’organizzazione Carrefour, dall’utilizzo delle email, alla condivisione di documenti, passando per le decine di applicativi che utilizzano quotidianamente. Da qui, la necessità di un grande sforzo organizzativo per consentire al business di mantenere l’agilità di cui ha bisogno senza ricadere in un modello operativo troppo prono al rischio.
Carrefour adotta una politica di formazione e sensibilizzazione interna per gli utenti finali? Come vengono educati i dipendenti sulle migliori pratiche di sicurezza informatica e quali strumenti vengono utilizzati per questo scopo?
Certamente, abbiamo popolazioni eterogenee con livelli di digitalizzazione delle loro mansioni quasi agli estremi e quindi necessità di formazione e informazione specifici. Operiamo per cluster, proponendo scenari di formazione adatti ad ognuno in funzione delle mansioni e quindi dei rischi associati.
Di principio però prima della formazione è necessaria l’informazione. Com’è possibile sennò pensare che i colleghi spendano una parte del proprio - prezioso - tempo a formarsi su argomenti di cui non percepiscono l’utilità o il valore? Abbiamo scelto, per risolvere questo problema, di puntare a tutta la popolazione con una campagna di informazione - sviluppata con una un partner tecnico e uno in comunicazione - estremamente “leggera” e divertente, usando come mascotte un procione (sì, l’orsetto buffo che ti svuota la dispensa, quello) per proporre un parallelo molto diretto con i cybercriminali, in grado di intrufolarsi nell’azienda e compiere danni o furti, salvo poi accorgersene quando il peggio è fatto.
Potrà sembrare banale, ma ha funzionato. Il funnel ovviamente non finiva qui, lo scopo della campagna è stato spingere gli utenti a formarsi su uno dei temi più critici, cioè la difesa dal phishing: un corso è stato reso disponibile sulla piattaforma di formazione interna. Poteva bastare così? Decisamente no, per misurare l’efficacia del programma abbiamo lanciato diverse campagne di phishing legittimo che continueremo a proporre negli anni.
Rendere spiritoso un tema importante è un modo per renderlo “top of mind” per un po’, ma è un esercizio continuo, che va mantenuto nel tempo.
Non per tutte le popolazioni di collaboratori però è fondamentale questo passaggio, pensiamo ad esempio al top management che deve essere formato sulle “VIP frauds”, ogni anno proponiamo almeno una sessione in aula solo su questo argomento e manteniamo un flusso informativo periodico per mantenere aggiornati i nostri colleghi più a rischio sull’evoluzione della minaccia e le campagne in atto.
Quali sono le misure di sicurezza adottate per proteggere i sistemi critici e le infrastrutture aziendali all'interno di Carrefour? Come viene affrontata la gestione dei rischi legati alla sicurezza informatica in Carrefour? Vengono condotte valutazioni periodiche dei rischi e adottate misure preventive in base ai risultati ottenuti?
Sulla prima domanda non posso dare molti dettagli, certamente abbiamo a bordo tutte le tecnologie che un’azienda complessa necessita. Alcuni punti che consideriamo critici ad esempio sono il processo di patching e la diffusione capillare della piattaforma di EDR. Stiamo anche implementando progressivamente UTM di ultima generazione in tutti i punti vendita con funzionalità SD-WAN e adottando soluzioni di micro segmentazione per i sistemi più critici. Per i sistemi customer-facing abbiamo a disposizione più piattaforme di detection e response oltre che un WAF.
Sicuramente le priorità sono guidate dal rischio, a livello di gruppo e locale, su questo non c’è dubbio, ed è per questo che le principali piattaforme che ci aiutano a misurare e gestirlo sono fornite dal gruppo; abbiamo ancora davanti un percorso importante per rendere la gestione completamente omogenea e pienamente automatizzata in tutte le BU, ma la strada è segnata e l’obiettivo è chiaro. Rispetto alle attività quotidiane, la gestione dei processi di risk management è di certo una fetta significativa e costruire rapporti di fiducia e collaborazione con le direzioni Sicurezza, Internal Audit e Risk è stato e rimane fondamentale per distribuire i carichi di lavoro e assicurare una buona pervasività del modello di controllo.
Tornando al tema più tecnico della gestione del rischio, monitoriamo costantemente il perimetro soggetto alla certificazione ISO27001 che comprende - nessuna sorpresa su questo - alcuni fornitori altamente critici e le loro piattaforme SaaS che utilizziamo sotto alcuni dei nomi nelle prime 10 righe della nostra BIA.
Qui entriamo nel tema del rischio legato alle terze parti ovvero la Cybersecurity Supply Chain Risk Management che da 2 anni a questa parte sta davvero prendendo piede come argomento dal peso specifico sempre più alto. Il perimetro e la pervasività del monitoraggio delle terze parti è in aumento e così i costi e l’effort prodotti dal presidio di quest’area.
Quali sono le principali tendenze attuali nel campo della sicurezza informatica e come si stanno evolvendo le minacce per le organizzazioni?
Sul lato organizzativo, senza dubbio la gestione delle terze parti e del loro rischio associato: è un tema in cui la tendenza chiara riguarda la spinta all’automazione, perché senza questa, è impensabile mantenere un framework di monitoraggio e audit capillare e frequente che non produca costi di risorse umane consistenti.
Su quello tecnico, a costo di ripetermi, di nuovo scalabilità e automazione. Pensiamo all’impatto sulla scalabilità che sta per avere l’AI, per gli attaccanti e per i red e blue team, per i CSIRT e tutti gli attori dell’ecosistema cyber. Chi guadagnerà un vero vantaggio competitivo? Chi possiederà l’AI “migliore” per un certo obiettivo? Chi avrà la maggior potenza di calcolo? Google e NVIDIA stanno investendo centinaia di milioni di dollari in questi semplici interrogativi. E’ facilmente prevedibile che il codice che utilizzeremo (sia scopi offensivi che difensivi) sarà scritto da AI e supervisionato da umani, ma il punto sta - a mio avviso - nella velocità con cui quest’onda cambierà il panorama tecnologico. Nonostante l’hype intorno alla AI oggi sia più o meno lo stesso che si scatenava alla parola “blockchain” 4 anni fa, gli esiti saranno probabilmente diversi. La blockchain non ha segnato in modo tangibile la nostra esperienza quotidiana di professionisti cyber, né di semplici cittadini digitali; al contrario della AI: che sta diventando il nuovo paradigma di interfaccia con la conoscenza a livello mondiale.
Quali sono i principali fattori che contribuiscono al successo di un programma di sicurezza informatica in un'organizzazione e come misurate l'efficacia delle vostre iniziative?
In un gruppo complesso come Carrefour, il fattore determinante trovo sia la possibilità di lavorare in community per creare valore ad altre BU tramite sinergie, scambio di informazioni, dati, esperienze. Quando c’è un valore percepito comune, i team si avvicinano e lavorano insieme aumentando incredibilmente il valore dei risultati. I prodotti che funzionano, che scaturiscono da progetti ben disegnati, ricevono sempre un seguito e possono essere facilmente testati ed adottati da diverse BU.
Iterare il paradigma agile sul proprio programma di cybersecurity è una pratica efficace, perché permette di selezionare all’interno di esso cosa funziona e cosa no, investendo nei prodotti e nei progetti che portano risultati mantenendo una certa rapidità di movimento, di adattabilità. Data la velocità - a volte eccessiva - con cui operano i business retail oggi, questo criterio non va assolutamente sottovalutato.
Come misuriamo - o almeno proviamo a misurare - quando un prodotto o un elemento della nostra cybersecurity strategy ha fatto centro? Con il ROI, l’Adoption e, qualche volta, su target ampi come gli utenti dei negozi, con l’NPS. La campagna “del procione” di cui parlavo prima, ad esempio, ha ricevuto uno score NPS sul modulo di formazione.
Come sta influenzando l'intelligenza artificiale e l'apprendimento automatico il panorama della sicurezza informatica? Quali sono i potenziali vantaggi e le preoccupazioni associate a questa tecnologia?
Non è facile rispondere a questa domanda; stiamo realizzando di avere per le mani una - forse - gallina dalle uova d’oro, ma non è ancora del tutto chiaro per cosa possiamo usarla. Possiamo ipotizzare che vedremo sempre più tecniche offensive adattive, taylor-made con un sostanziale aumento dell’accessibilità di tecniche avanzate anche a soggetti con budget più risicati. Enormi scalabilità nella capacità di processare ad un primo livello eventi e incidenti, potenziali o confermati. Di nuovo quindi, il livello di automazione potrebbe salire in modo drastico e così l’esigenza di automazione per stare al passo con l’opponent.
Quali sono le sfide più comuni che le organizzazioni incontrano nella gestione delle violazioni dei dati e come si consiglia di affrontarle in modo efficace?
Iniziando ad affrontare il problema adesso ed investendo il budget necessario. Sapere di essere in ritardo e ammettere di avere aree scoperte del proprio programma di data protection è il primo passo necessario per risolvere il problema.
E non dimenticare di avere come ottimi amici il proprio DPO e la comunicazione esterna!
Battute a parte, ogni organizzazione è così diversa che probabilmente solo dopo alcune sessioni di simulazione di crisis management si avrà un’idea realistica di come gestire in modo efficace un data breach, sperando di non essere costretti poi a deviare troppo dai playbook quando qualcosa andrà terribilmente storto. La tendenza degli ultimi mesi a equipaggiare ransomware con payload a double-extortion purtroppo conferma che la minaccia è tangibile.
Come vedi il futuro della Cyber Security?
Penso che il settore attraverserà un periodo di crescita feroce ancora per 3-5 anni, poi arriverà la maturità e il consolidamento, la ricerca dell’efficienza e, forse più a breve termine, un uso più consapevole e ibrido del cloud. I perimetri di controllo saranno sempre più ampi e chi adotterà in modo proficuo i benefici della AI, riuscirà ad ottenere un vantaggio competitivo abbastanza durevole. Come professionisti, diventeremo progressivamente sempre più esperti di tecnologie sviluppate e operate da terzi, controllori in parte, certamente “allenatori” di sistemi che operano in modalità sempre più black box. Vedremo con ogni probabilità una diffusione di un livello di cybersecurity più adeguato in aziende e tessuti produttivi importanti, che fino ad oggi non hanno avuto la necessità, o la volontà, di investire in modo consistente nella cybersecurity. Certamente saremo costretti ad evolvere in cicli sempre più rapidi, mantenendo ad ogni costo un’elevata agilità, senza compromettere l’efficacia dei modelli di controllo. Insomma, ne vedremo delle belle ancora per un po’.
