Intervento Carlo Mauceli a International Business Forum: le nuove frontiere dell'IT in Puglia" 7 - 8 novembre 2019 - Grand Hotel Masseria Santa Lucia di Ostuni. Carlo Mauceli, National Digital Officer, MICROSOFT

1. Il Cyber Risk – Impatti, Valutazioni, Dinamiche e
Consapevolezza
Carlo Mauceli
CTO Microsoft Italia
carlomau@microsoft.com

14. Le aziende, pubbliche o private, si configurano come entità aperte e sono al centro di una
molteplicità di ecosistemi che le aiutano a condurre i propri processi di business e al
contempo ad essere più resilienti ed adattarsi meglio ai cambiamenti del mercato.
L’ecosistema dei partner è coinvolto in segmenti sempre più importanti dei processi di
business: gestisce i dati dei nostri clienti ed ha credenziali di accesso ai nostri sistemi core;
è su questo fronte che si gioca una buona parte della sicurezza del business.
L’intera filiera dei fornitori/partner va inserita all’interno del processo di ICT Risk
Management

15. Da una ricerca della società BlackDuck emerge che il 96% di un campione di applicazioni
analizzato ha componenti open source e il 67% di queste ha vulnerabilità spesso note da
anni. Ne consegue una maggiore vulnerabilità. Il fatto è che spesso l’introduzione del sw
open source risponde a logiche di puro saving e molto spesso i committenti non sono
nemmeno consapevoli di avere così tanto open source nei loro software.
Una buona governance delle tecnologie e in particolare dell’utilizzo del software open
source è una componente fondamentale di qualsiasi possibile approccio di sicurezza che
non possiamo pensare di continuare a pagare il prezzo di capex continuamente decrescenti
con un incremento costante delle vulnerabilità e quindi del rischio

16. Il costante aggiornamento degli strati del software di sistema sui
quali le applicazioni basano il loro funzionamento, è condizione
fondamentale per ridurre le vulnerabilità e, di conseguenza, la
superficie esposta ad un potenziale attaccante.

17. L’adozione del cloud pubblico in modo ragionato e governato è una delle possibilità da considerare con
attenzione, soprattutto riguardo ai controlli di sicurezza da attivare e alla condivisione delle responsabilità sul
tema con il/i cloud service provider utilizzando un approccio bimodale che garantisca la coesistenza del
vecchio con il nuovo durante la transizione.
La chiave è l’adozione di nuove piattaforme e metodologie di sviluppo (DevOps) in grado di accorciare
drasticamente i tempi di delivery garantiti dall’approccio tradizionale (waterfall) al prezzo di una profonda
ridefinizione di strumenti, processi e ruoli che pone a chi si occupa di security la sfida di disegnare controlli
di sicurezza che siano efficaci anche in questo nuovo scenario.

18. Flusso di Sicurezza
Microsoft makes security a priority at every step,
from code development to incident response.
Global, 24x7 incident
response service that
works to mitigate the
effects of attacks and
malicious activity.
Incident
Response
Defense in Depth
Defense in Depth
Approach across all
cloud services from
Physical to app/data
layers.
Security Development
Lifecycle (SDL)
Company-wide,
mandatory development
process that embeds
security into every phase
of development process.
Threat Intelligence
Extensive threat
intelligence gathering,
modelling, analysis and
controls incorporated
into systems.
Identity and Access
Focus on Identity
Controls and tools
including mitigation of
internal threat
throughout stack
including operations.
Dedicated security expert
“red team” that simulate
real-world attacks at
network, platform, and
application layers, testing
the ability of Azure to detect,
protect against, and recover
from breaches.
Assume Breach
Simulation

21. User browses to a
website
Opens
attachment
Clicks on a URL
+
Exploitation
& Installation
Command
& Control
Brute force account or
use stolen account credentials
User account
compromise &
persistence
Attacker
attempts lateral
movement
Privileged
account
compromised
Domain
compromise &
persistence
Attacker accesses
sensitive data
Exfiltrate data
Cloud Identity Protection
Identity protection &
conditional access
Cloud App Security
Extends protection & conditional
access to other cloud apps
Behavioral Analysis
Identity protection &
conditional access
Identity protection
Attacker collects
reconnaissance and
configuration data
Advanced Threat
Protection
Zero day protection
Endpoint Protection
Prevent, detect, investigate, and respond to advanced threats.

22. • La “sicurezza totale” non è una categoria realizzabile
• Contesto complesso
• Una fetta del rischio cyber non può essere mitigato
• Definizione di nuove strategie: accettare, eliminare, trasferire
• Tolleranza al rischio e coesistenza
Serve una solida roadmap europea che sia parte di una “call to action” globale rivolta ad istituzioni, imprese
e industria specializzata per un impegno ad accettare la sfida del cyber risk (e vincerla).
Una comunità accetta le sfide che ha di fronte proprio perché non sono semplici, perché ci
danno l’occasione di mettere a frutto il meglio delle nostre capacità e del nostro impegno.

23. https://www.ictsecuritymagazine.com/articoli/la-cybersecurity-vista-dalla-
prospettiva-di-un-telcooperator/
https://www.ictsecuritymagazine.com/articoli/infrastrutture-critiche-
interdipendenze-analisi-deglieffetti-domino/
https://it.wikipedia.org/wiki/Legge_di_Moore
https://en.wikipedia.org/wiki/The_Shadow_Brokers
https://clusit.it/rapporto-clusit/
https://nvd.nist.gov/vuln-metrics/cvss
https://cve.mitre.org/

24. Q & A