“Le aziende sono sempre più sensibili ai temi della cybersecurity, sia perché i fatti di cronaca hanno portato questo argomento in primo piano, sia per la consapevolezza sempre più marcata che tutelare i beni aziendali vuol dire proteggere i dati e le informazioni. Da ormai qualche semestre quello che prima era un tema legato soprattutto alle grandi e grandissime aziende sta catturando l’interesse anche delle imprese più piccole, che magari hanno minore consapevolezza di tutte le tecnologie specifiche, ma la cui sensibilità verso la sicurezza sta progressivamente aumentando”. Così Andrea Maria Nicola Costa, responsabile Infrastructure solutions, Offerta It – Business & Top Clients di TIM, spiega in un’intervista a CorCom come si sta muovendo il mercato della sicurezza informatica e come si sta rapportando alle Pmi, a cui sempre più spesso sono richiesti, per non mettere a rischio i propri dati né quelli delle aziende di cui sono fornitrici, requisiti sempre più stringenti.
Costa, quali sono i principali ostacoli che le Pmi si trovano ad affrontare per mettere in piedi una strategia efficace di Cybersecurity?
Partirei dal fatto che le grandi aziende ormai mettono vincoli molto importanti sulla gestione della sicurezza Ict delle loro aziende fornitrici, e questo ha un effetto diretto su tutta la catena del valore. Ma per adottare soluzioni di sicurezza le Pmi devono affrontare due problemi principali. Il primo è che difficilmente comprano la sicurezza da sola: sarebbe come andare da un concessionario chiedendo l’airbag: ciò che si compra è la macchina, e la macchina è dotata di airbag. Allo stesso modo le Pmi comprano i servizi: quando si vende sicurezza alle aziende più piccole noi risolviamo il problema offrendo soluzioni, come nel caso di TIM Impresa Semplice e Nuvola Italiana, che nascono già sicure nell’ambito del Cloud di TIM, grazie alle difese perimetrali dei nostri data center, alle varie certificazioni, ai firewall centralizzati, tutte cose che una Pmi troverebbe grandi difficoltà a procurarsi da sola”.
Qual è il secondo problema?
Il secondo punto è il prezzo: lo spending in tecnologie informatiche delle pmi non è elevatissimo, e su questo abbiamo lavorato tantissimo nell’ultimo periodo, partendo da un’intuizione, quella di pensare alla sicurezza non più dedicata al singolo cliente on premises, ma fatta attraverso strutture centralizzate e con gran parte dell’infrastruttura condivisa. Grazie a questo siamo in grado di lanciare sul mercato soluzioni performanti, con firewall, antivirus e tutto quello che serve per la sicurezza perimetrale, ma a un costo molto contenuto, parliamo di un abbonamento di circa 25 euro al mese.
Non può esserci digital transformation senza cybersecurity. Cosa fa TIM per assicurare soluzioni a prova di hacker?
Il concetto di cybersecurity oggi riguarda due aree molto grandi: da una parte la rete e tutto ciò che viaggia nella rete, dall’altra l’informatica distribuita, quindi il cloud computing. Si tratta di due parti fondamentali del core business di TIM: partiamo da una tradizione consolidata di offerta su tutto il mercato business, dalle Pmi alle grandi e grandissime aziende pubbliche e private sul tema della sicurezza Ict perimetrale, dove per perimetro intendiamo protezione delle reti, delle Lan, del sistema di posta, dei sistemi operativi e del mobile. Un’offerta che si completa naturalmente con attività che aiutano i clienti nella predisposizione delle tecnologie adeguate, quindi attività di counseling, di assistenza, di supporto e di audit. Ma non è tutto qui, perché abbiamo un posizionamento forte sulla sicurezza dell’identità digitale, con Spid, la Pec e la firma sicura, mentre anche sulla comunicazione sicura abbiamo un centro d’eccellenza, che è la Telsy. Siamo inoltre presenti sul mercato nel campo della data protection, con le necessità di adattare il trattamento dei dati a quanto prescritto dal Gdpr (General Data Protection Regulation), il regolamento europeo che dovrà essere attuato dal 2018.
Quali sono le linee direttrici che hanno portato TIM a elaborare la propria offerta di sicurezza Ict, e che tipo di riscontro avete tra i vostri clienti business?
Stiamo pensando di estendere la filosofia del nostro approccio alla sicurezza anche al cloud, e questo consentirà alle imprese di evitare che i propri utenti vadano su siti che possano cagionare danni alle informazioni dell’azienda. La seconda direttrice è quella della data protection estesa anche ai dispositivi mobili, perché ormai sul mobile c’è l’80% della conoscenza delle persone che lavorano in un’azienda, e se queste informazioni andassero perdute sarebbe un grande problema. Non sto parlando di semplici sistemi di backup, ma di tecnologie più evolute che assicurano sia la sincronizzazione dei dati sia il backup puntuale e programmato, magari anche con delle logiche di gestione centralizzata. E poi guardiamo con interesse anche alla sicurezza di altri settori adiacenti, dall’Internet of things all’energy management, fino alle connected car.
La sicurezza oggi non è più soltanto firewall e antivirus, ma anche la capacità di sapere prevedere gli attacchi informatici e di sapere minimizzarne i danni. Cosa state facendo su questo versante?
Nel nostro Dna di gestore dei servizi di rete non possiamo fare a meno della sicurezza, e lo facciamo unendo le competenze di chi è dentro questo settore. Stiamo lavorando sulle skill, perché sempre di più la gestione di una soluzione complessa prevede anche la capacità di analizzare quello che succede nella rete, per prevenire gli attacchi, per capire prima quello che potrebbe succedere e per pensare a misure adeguate di sicurezza. Ne abbiamo avuto la prova in grandi progetti, come nel caso di Expo 2015, che ci hanno stimolato a replicare alcune soluzioni anche sul mercato, andandoci a posizionare come gestore dei security operation center delle grandi aziende.
Spesso la sicurezza informatica di un’azienda può essere messa a rischio da un comportamento incauto di un dipendente nell’utilizzo del proprio smartphone o laptop. Come si può ridurre al minimo questo genere di rischi?
Noi possiamo fare la nostra parte. Nel concreto, internamente abbiamo una cultura della security verso i nostri dipendenti, ma quello che noi facciamo per rendere consapevoli i clienti avviene sostanzialmente tramite un check-up della loro sicurezza, forti della nostra capacità di essere presenti sia su tutto il territorio sia anche su tutti i segmenti di mercato.
TIM gestisce un’infrastruttura critica per il Paese. Le vostre soluzioni sono anche il frutto dell’esperienza che avete fatto direttamente sul campo?
Se volessimo fare un’approssimazione molto vicina alla realtà, le direi che circa il 50% delle offerte che facciamo provengono sostanzialmente da un’esperienza interna “impacchettata” e industrializzata per il mercato. L’esempio è ancora una volta quello di Expo 2015: per gestire l’informatica della manifestazione abbiamo portato sul mercato le nostre piattaforme, i nostri servizi e le nostre persone.