Come si è sviluppata la tua carriera finora?
Dopo la scuola ho iniziato un tirocinio come montatore elettricista. Il mio obiettivo era diventare ingegnere elettronico dopo la maturità professionale, ma poi le cose sono andate diversamente. Durante la maturità professionale mi sono imbattuto nell’interessante annuncio su un nuovo corso di studi della scuola universitaria di Lucerna incentrato sull’informatica economica. Così ho fatto il mio ingresso nel settore dell’informatica. Dopo aver studiato a tempo pieno, ho maturato le mie prime esperienze di lavoro presso la Roche Diagnostics di Rotkreuz nel ruolo di System Engineer. Quattro anni dopo ho deciso di conseguire un master in Information Security. Una volta conseguito il master, prima di approdare in AMAG tre anni fa ho affrontato una nuova sfida professionale nel ruolo di responsabile della sicurezza informatica presso il Cantone di Lucerna e il Canton Argovia.
Com’è la tua routine lavorativa quotidiana in veste di CISO?
Trovo che il mio lavoro di CISO sia variegato. Si potrebbe paragonarlo a quello di un vigile del fuoco (una volta ne facevo parte). Trascorro la maggior parte della giornata a elaborare diversi concetti, progetti, direttive, requisiti e norme di sicurezza. Allo stesso tempo, accompagniamo molti progetti e cerchiamo di integrare al loro interno il tema della sicurezza delle informazioni il prima possibile. Ciò che ricorda i vigili del fuoco è il continuo reagire agli allarmi lanciati dai nostri sistemi di monitoraggio della sicurezza. Quello che accade in questi casi è ogni volta una sfida con cui l’intero reparto Security deve confrontarsi quasi settimanalmente. L’obiettivo è quello di impedire o arginare l’avanzata degli hacker e della loro volontà di distruzione. Inoltre, il mio compito è decidere quali sistemi devono essere disattivati o disconnessi da Internet e in che misura per evitare fughe di dati e, ad esempio, la codifica completa dei nostri sistemi AMAG. Questi sono i momenti in cui il personale può essere limitato nel loro lavoro quotidiano e nell’utilizzo dei nostri strumenti informatici.
Quali misure adottate per promuovere la consapevolezza e la prevenzione?
Cerchiamo di abbinare le misure tecniche di sicurezza alla consapevolezza e alla sensibilizzazione e, laddove possibile, di formare il personale e insegnare loro perché utilizziamo determinati sistemi di sicurezza. Inoltre, i nostri collaboratori e le nostre collaboratrici sono i migliori sensori per il rilevamento precoce di cui disponiamo. Se riconoscono per tempo gli attacchi di social engineering o di phishing e ce li segnalano, gli hacker hanno difficoltà. Il tedesco Sebastian Klipper, autore di testi tecnici in materia, ha colto il nocciolo della questione: «Al centro di ogni considerazione in materia di sicurezza si collocano le azioni e le omissioni delle persone.» Credo che, in quasi tutti gli attacchi informatici di successo, le une o le altre abbiano offerto all’hacker la possibilità di attaccare un sistema.
In AMAG abbiamo la fortuna di avere un reparto di comunicazione attivo che, insieme al Security Office, promuove il tema della Security Awareness tra il personale. Abbiamo già introdotto le seguenti misure per contrastare la criminalità online:
- Ogni due settimane Troy e Trixie, due personaggi creati da AMAG, sensibilizzano il personale sul tema della sicurezza informatica e mostrano come proteggere i propri dati con prudenza e attenzione.
- Hoxhunt, il simulatore di phishing introdotto alla fine del 2021, allena il personale nella gestione delle e-mail di phishing in modo giocoso.
- Il personale viene regolarmente informato sui pericoli legati alla criminalità online mediante conferenze, promozioni ed eventi in Intranet.
Con riferimento alle misure, a quale aspetto attribuisci l’importanza maggiore?
Mi piace affidarmi alle persone. Molti degli accorgimenti che possiamo adottare nella vita privata dobbiamo adottarli anche in AMAG:
- Usare il buonsenso
- Essere sospettosi (ha senso che io abbia ricevuto questa e-mail?)
- Utilizzare le password in base alla criticità dell’applicazione o del sistema
- Separare il più possibile l’attività lavorativa dalla vita privata
- Prestare attenzione e avere il coraggio di effettuare una segnalazione alla sicurezza!