Simon Maurer è Lead Auditor e responsabile per la norma ISO/IEC 27001 presso l’Associazione Svizzera per Sistemi di Qualità e di Management (SQS). SQS è il più importante ente di certificazione in Svizzera per i sistemi di gestione della sicurezza delle informazioni in conformità a tale norma. Maurer vanta un'esperienza pluridecennale a livello dirigenziale nel settore dell'informatica e, oltre a svolgere la sua attività in SQS, fornisce consulenza alle aziende sulla sicurezza delle informazioni.
Abbiamo rivolto a Simon Maurer alcune domande sulle sue attività in SQS.
Com'è approdato alla posizione di responsabile di prodotto e Lead Auditor presso SQS?
Ero direttore di un'azienda informatica che SQS certificò. In quell'occasione capii cosa significasse costruire un nuovo sistema di gestione. Incontrai diversi auditor, i quali un giorno mi chiesero se fossi interessato a un'attività di audit. Decisi quindi coraggiosamente di mettermi in proprio – e finora non me ne sono mai pentito. Anni fa il mio superiore presso SQS mi chiese di assumere anche la responsabilità di prodotto per la norma ISO/IEC 27001 sui sistemi di gestione della sicurezza delle informazioni, e io accettai. È un'attività davvero stimolante in un contesto molto dinamico.
Quali sono stati gli sviluppi degli ultimi anni in tema di pericoli per la sicurezza informatica?
L'informatica sta attraversando una fase di profondi cambiamenti. Molte aziende vogliono passare al cloud, ma necessitano ancora di un'infrastruttura informatica locale. In questo modo accrescono notevolmente la complessità delle loro piattaforme operative e con essa anche i rischi. Un classico esempio è quando l'inventario degli strumenti informatici utilizzati non viene gestito con cura adeguata e, di conseguenza, vengono trascurati importanti aggiornamenti di sicurezza. Se poi vi è un accesso a Internet, gli hacker sfruttano queste vulnerabilità. Inoltre, lo sviluppo dei software diventa sempre più complesso, e ciò accresce il rischio che in fase di test non vengano rilevate delle lacune. Se queste vulnerabilità sono presenti nell'ambito di soluzioni utilizzate a livello mondiale, migliaia di clienti possono essere hackerati contemporaneamente.
Quali sviluppi prevede nel campo della sicurezza informatica?
L'intelligenza artificiale (IA) è certamente il più importante megatrend. Viene utilizzata sul fronte degli attacchi informatici anche da chi non è esperto di programmazione, ad esempio per creare malware o scrivere e-mail di phishing perfettamente formulate. Ma l'IA trova impiego anche sul fronte della difesa, ad esempio per rilevare tempestivamente anomalie nella rete. A tale proposito, sto osservando inoltre un forte aumento dell'attività di regolamentazione, in particolare nell'UE, ma anche in Svizzera, ad esempio con la nuova legge sulla sicurezza delle informazioni. Per le aziende ciò comporta anche un considerevole aumento della complessità.
Che vantaggi offre l'implementazione della norma ISO/IEC 27001 per le organizzazioni?
Questa norma recepisce le attuali «best practice» in materia di sicurezza delle informazioni. Alla nuova versione, pubblicata a fine 2022, hanno lavorato esperti di tutto il mondo, compresi noi in Svizzera. Chi implementa e certifica nella propria azienda un sistema di gestione basato su questa norma può essere certo di disporre di una protezione di base nettamente maggiore. I rischi vengono rilevati in modo proattivo e trattati con interventi adeguati. In particolare l'informatica viene rafforzata con diverse misure. In caso di incidente, l'azienda è preparata e riesce a contenere l'impatto e ridurre al minimo i conseguenti danni. I collaboratori vengono costantemente sensibilizzati e sanno come gestire questo tema.
Qual è il ruolo della gestione del rischio in relazione alla norma ISO/IEC 27001?
Si tratta di un elemento centrale della sicurezza delle informazioni. Chi conosce i propri valori da proteggere («asset») e i rischi ad essi correlati è in grado di gestirli in modo proattivo.
Quali misure preventive possono adottare le aziende per proteggersi dalla criminalità informatica?
Per una migliore sicurezza delle informazioni occorre una serie di azioni coordinate. Da analisi empiriche sugli incidenti informatici emerge che in oltre l'80 per cento dei casi l'intervento individuale è stato decisivo per l'esito dell'incidente. È quindi opportuno investire nella preparazione dei collaboratori.
La certificazione secondo la norma ISO/IEC 27001 rappresenta sicuramente la «via maestra». La creazione, l'impiego e la certificazione del sistema di gestione della sicurezza delle informazioni possono garantire che le «best practice» internazionali siano integrate in modo ottimale nell'azienda.
Un metodo più semplice per farsi un'idea delle possibili misure da adottare è consultare il sito cybernavi.ch. Si tratta di un tool da noi sviluppato per la Information Security Society Switzerland (ISSS).
Vi sono buone prassi o raccomandazioni utili per le aziende riguardo alla gestione delle minacce alla sicurezza informatica?
Restare vigili, informarsi e prevenire! I cybercriminali non conoscono principi etici e stanno attaccando, ad esempio, le grandi cliniche, come avvenuto in Germania lo scorso Natale. Non importa quale azienda si trovi in una situazione di vulnerabilità - il furto di dati e il sabotaggio consentono di estorcere denaro alle vittime.
Nome
Simon Maurer
Posizione / Azienda
Lead Auditor, responsabile di prodotto per la sicurezza delle informazioni, consulente, membro del Consiglio di amministrazione
Descrizione dell’azienda in 3 frasi
L'Associazione Svizzera per Sistemi di Qualità e di Management (SQS) è·il maggiore fornitore di servizi di valutazione e certificazione in Svizzera. Tra i suoi circa 9000 clienti figurano gruppi, PMI, autorità e organizzazioni della società civile. Fondata nel 1983, SQS è stata una delle prime imprese al mondo a operare in questo settore. Conta più di 184 collaboratori in Svizzera, Francia e Italia, nonché oltre 290 auditor esterni.
Sito aziendale
Contatto
