La maggioranza dei cittadini, delle aziende e delle Istituzioni italiane ha colto l’importanza e il valore della cybersecurity solo in seguito ai recenti attacchi informatici WannaCry e Petya. Ma dalla sicurezza informatica dipende il presente e il futuro delle imprese ed Emaze, società europea, con il cuore italiano, l’ha capito già 17 anni fa, da quando è nata per essere specializzata, esclusivamente, in Cybersecurity.
Con il suo CEO Domenico Cavaliere cerchiamo di capire sia perché il nostro Paese è tra le vittime preferite dagli hacker di tutto il mondo sia quali sono le imprese italiane più vulnerabili.
Key4biz. L’Italia e, in particolare, il Governo e le Istituzioni hanno capito il valore e l’importanza della cybersecurity. Il governo Gentiloni ha varato il ‘Piano nazionale per la protezione cibernetica e la sicurezza nazionale’, si va verso la direzione giusta?
Domenico Cavaliere. Il Governo italiano ha sempre lavorato bene per la protezione della sicurezza nazionale (Difesa, Pubblica Amministrazione), mentre è in ritardo sulla sensibilizzazione di imprese e cittadini. Il nuovo piano razionalizza l’attività delle numerose strutture coinvolte e finalmente – con l’indirizzo 3 – identifica la formazione come strumento di promozione e diffusione della cultura della sicurezza informatica anche presso aziende e cittadini. In questo il National Cyber Security Centre inglese rappresenta un modello al quale ispirarti, per le iniziative tese a fare incontrare domanda e offerta di servizi di security.
Key4biz. In Italia manca una vera e propria “scuola” di formazione alla cybersecurity, eppure siamo tra i Paesi più colpiti e soffriamo la carenza di specialisti italiani del settore. Come si fa a colmare questo gap?
Domenico Cavaliere. L’Università degli Studi di Milano con il corso di laurea triennale, a Crema, in ‘Sicurezza dei Sistemi e delle Reti Informatiche’ crea specialisti ricercatissimi e che trovano immediatamente lavoro. Altre università italiane hanno lanciato o stanno lanciando programmi simili. È fondamentale dare a questi giovani e a quelli provenienti da altre facoltà (Informatica, Ingegneria, ecc.) o da esperienze professionali (gestione di sistemi e reti) l’opportunità di fare esperienze concrete, ad esempio analizzando eventi sicurezza all’interno dei Security Operations Centre o inserendosi nei gruppi che fanno collaudi di sicurezza.
Key4biz. Emaze si occupa di cybersecurity attraverso tre aree operative. Qual è, esattamente, il vostro approccio?
Domenico Cavaliere. L’approccio Emaze integra tre aree: 1) il collaudo di sicurezza di reti, applicazioni e apparati per ricercare i punti deboli da correggere (penetration test), 2) l’analisi di eventi di sicurezza, di log e di malware all’interno dei Security Operation Centre (SOC) e 3) lo sviluppo di software per l’automazione dei compiti di sicurezza, quali ad esempio il controllo delle configurazioni di router, firewall e altri apparati di rete, oppure la protezione della navigazione Internet degli utenti residenziali o small office. Avere queste tre aree sotto lo stesso tetto rappresenta un importante vantaggio competitivo.
Key4biz. Nella cybersecurity le soluzioni devono essere personalizzate. Per fare ciò occorrono non solo competenze, ma anche indipendenza dai global vendor. In questo caso indipendenza e autosufficienza diventano valori da difendere e questa è la linea da voi adottata. Quanto costa mantenere una linea di condotta così impegnativa?
Domenico Cavaliere. I grandi fornitori globali di sicurezza hanno una grossa capacità di marketing e riescono a far spendere alle aziende molti soldi in tecnologia. L’aumento degli incidenti nonostante l’aumento della spesa dimostra però che la tecnologia da sola non è sufficiente. Servono infatti, a mio avviso, anche persone qualificate e processi efficienti. Per Emaze, essere indipendenti dai vendor significa poter aiutare i clienti a spendere i budget di security nel modo più efficace possibile, anche a costo di rinunciare a una fonte di ricavi.
Key4biz. In una società di cybersecurity come la vostra il personale è un valore fondamentale. Come avviene la selezione dei dipendenti? Da quali aeree attingete e a quale tipo di training li sottoponete?
Domenico Cavaliere. La selezione del personale è basata su approfonditi colloqui attitudinali condotti da specialisti di risorse umane, oltre a quelli tesi ad accertare le competenze tecniche. A tutti viene poi richiesta la verifica dei carichi pendenti. I principali canali di provenienza sono le università (anche per i tirocini pre-laurea), i social network, gli eventi di security (es. HackInBo) e il passaparola. Emaze è nota come un’azienda che ha sempre formato giovani talenti, alcuni dei quali oggi occupano posizioni di rilievo come security manager di grossi gruppi in Italia e all’estero.
Key4biz. Emaze ha un’attività internazionale significativa con il cuore nei due centri di ricerca di Trieste e Udine. Quanto conta la vocazione alla Ricerca in un settore in continua evoluzione come quella della sicurezza cibernetica?
Domenico Cavaliere. L’attività dei laboratori di Trieste e Udine è estremamente importante per migliorare la sicurezza dei clienti. Non è pensabile utilizzare strumenti manuali per combattere degli attaccanti che utilizzano computer o reti di computer: la ricerca è indispensabile per seguire o anticipare le minacce. I laboratori hanno rilasciato negli ultimi anni strumenti di protezione dei PC e di analisi delle minacce emergenti (Threat Intelligence) venduti ai clienti in Italia e che stiamo presentando a potenziali clienti in Europa e Sud-Est asiatico. Stiamo sperimentando tecnologie di Machine Learning e Blockchain che nei prossimi anni giocheranno un ruolo molto importante per la security.
Key4biz. Come si posiziona l’Italia sul mercato internazionale della cybersecurity: vantiamo una tradizione, siamo capaci di exploit isolati o rischiamo di essere follower?
Domenico Cavaliere. Nonostante alcune eccellenze e pur avendo individualità validissime, a mio avviso, giochiamo un ruolo di secondo piano rispetto ad altri paesi (di certo sono avanti a noi Israele, USA, Singapore, UK e altri). La scarsa consapevolezza del rischio informatico da parte delle aziende clienti non favorisce la crescita di aziende di security e il mancato sviluppo del settore del Venture Capital impedisce alle start-up di emergere.
Key4biz. L’Italia destina ancora poche risorse economiche al settore, in questo siamo in controtendenza rispetto al resto d’Europa, secondo lei perché?
Domenico Cavaliere. La situazione italiana è variegata, il grosso della spesa è concentrato nelle grandi aziende, soprattutto operanti in settori regolamentati (telecomunicazioni, banche, trasporti, reti di distribuzione dell’energia) che sono mature dal punto di vista della security. Invece le PMI – che rappresentano la spina dorsale dell’economia italiana – non hanno sufficiente consapevolezza del rischio informatico, pur essendo molto esposte al rischio di furto di proprietà intellettuale. Penso in particolare ai settori della farmaceutica, del lusso e alle eccellenze italiane nella meccanica e nell’aerospaziale. Queste aziende hanno bisogno di aumentare giudiziosamente la spesa in security e un’azienda italiana di medie dimensioni come Emaze può essere per loro un buon partner di security.
