Tre domande a Luca Greco, CISO di Italtel: “La sicurezza informatica è un pilastro strategico dell’innovazione”

1) Qual è il ruolo del Chief Information Security Officer (CISO) in una realtà complessa come Italtel, system integrator e sviluppatore di soluzioni digitali?

In Italtel il ruolo del CISO è centrale e strategico. Si sviluppa a partire dalla governance, alla gestione del rischio e alla compliance, fino al supporto della definizione dei controlli tecnici dei sistemi, come security advisor dei miei colleghi.

La mia responsabilità principale è definire, implementare e mantenere una strategia di sicurezza informatica coerente con gli obiettivi di business.

Gestisco la conformità normativa, con particolare attenzione a direttive europee come NIS2 e DORA, e coordino la revisione di policy, procedure e controlli, anche in ambito contrattuale. Essendo un system integrator, Italtel si colloca in una posizione privilegiata tra tecnologia e mercato: da un lato dialoghiamo con i fornitori, dall’altro supportiamo i clienti nella loro trasformazione digitale. Questo duplice ruolo rende la funzione del CISO ancora più critica, anche in termini di comunicazione con la direzione, auditing e valutazione dei rischi esterni e interni.

2) Come affronti la protezione dell’infrastruttura della tua azienda dalle minacce informatiche?

Sembrerà scontato (e non lo è), ma il primo passo è avere piena visibilità degli asset in rete, verificarne periodicamente lo stato, alla ricerca di eventuali componenti non censite (shadow IT).

La seconda attività mira a verificare il perimetro dell’infrastruttura, includendo sia la parte interna che esterna (ad esempio leggi e cloud), al fine di comprendere la superficie esterna di esposizione.

Il passo successivo consiste nell’implementazione dei controlli specifici standard: firewalling, sistemi di rilevamento delle intrusioni (NDR), e segmentazione della rete sono passaggi essenziali, insieme al Vulnerability Management e alla conduzione di Penetration Test periodici. Spesso sottovalutata, una componente chiave è l’installazione di agent (sia XRD, EDR, client di SIEM o altro) su ogni server per abilitare e velocizzare tutte le analisi in caso di possibile o avvenuta compromissione.

Tutto questo si integra con una solida gestione delle identità e degli accessi (aziendali e dei fornitori), secondo il principio del minimo privilegio, implementando meccanismi di MFA (Multi-Factor Authentication).

A queste attività progettuali deve essere affiancata un’attività costante di monitoraggio e analisi tramite piattaforme SIEM (Security Information and Event Management), che permettano di individuare anomalie e comportamenti sospetti in tempo reale. Questo presuppone che a livello aziendale siano stati strutturati processi di incident response, aggiornati e testati regolarmente.

Infine, implementerei una soluzione di Threat Intelligence per migliorare la rilevazione degli incidenti e per comprendere la tipologia di minacce specifiche che potrebbero colpire l’azienda.

3) Quali strategie stai adottando per rafforzare la cultura della sicurezza e gestire i rischi nella supply chain?

La gestione della supply chain è questione fondamentale e sul tavolo della sicurezza da diversi anni, ancora prima del recepimento delle direttive DORA o NIS2.

Le normative rafforzano la priorità di questa gestione introducendo la responsabilità anche della propria catena di fornitura e, di conseguenza, alzando priorità e attenzione su questa gestione.

Dal mio punto di vista, agisco secondo due paradigmi: di Governance (il primario) e Tecnologico.

Dal punto di vista della Governance, ho la necessità di veicolare le nuove richieste di cybersecurity per via contrattuale, quindi operando a stretto contatto con il team Legal e Procurement. La revisione prevede la creazione di addendum specifici di sicurezza da applicare agli standard contrattuali attualmente in uso.

Ma l’attività contrattuale non avrebbe un impatto efficace se non fosse affiancata da un’attività di auditing dei fornitori. Tanto più questa verifica sarà accurata, maggiore il risultato di attenzione alla sicurezza dei nostri partner.

In ultimo, se non già presente, occorre lavorare insieme al team del Procurementper definire e classificare l’importanza dei propri fornitori per averne una scala gerarchica.

Dal punto di vista tecnico, possiamo lavorare su due fronti:

• Interno: di accesso, controllo e verifica delle attività dei fornitori sulla mia rete, attraverso le classiche attività di segmentazione, least privilege access, MFA, etc…. Questo per isolare ogni singolo fornitore al proprio ambito di competenza;
• Pubblico: attraverso l’utilizzo della Cyber Threat Intelligence (CTI) per valutare lo stato di postura pubblica che ha il mio partner. Chiaramente, non è un metro di valutazione della reale sicurezza del fornitore, ma un proxy per la valutazione dell’attenzione alla sicurezza in generale.

L’unione della classificazione per importanza dei fornitori con la scala di sicurezza ipotetica proveniente dalla CTI dà luogo a una matrice complessiva del rischio che ci può aiutare nella selezione dei fornitori da attenzionare in primis.

In un contesto in cui la sicurezza è parte integrante della strategia aziendale, costruire una cultura solida, condivisa e verificabile è il primo vero fattore abilitante per innovare in modo sostenibile.