Vittorio Massone

Professionisti

Vittorio Massone: Cybersecurity e Covid

19 Giu , 2020  

L’approfondimento di Vittorio Massone, manager con un’esperienza consolidata in ambito internazionale nel settore delle Telecomunicazioni, dei Media/Entertainment, del digitale, dei servizi industriali, del Government e dell’Automotive, sulla cybersecurity nei mesi della pandemia

Da qualche anno si parla molto di cybersecurity ed ancora di più in questi ultimi mesi di emergenza. La destabilizzazione creata dal virus e soprattutto il diffusissimo lavoro da casa (smart o meno) hanno creato le condizioni ideali per i cyber criminali per aumentare gli attacchi. Basta un solo loophole, un solo punto debole, e questo può anche essere remoto, non necessariamente centrale al sistema. Inoltre, la rapidissima evoluzione dell’artificial intelligence ha aumentato a dismisura la potenza di fuoco degli attaccanti – Google sta bloccando qualcosa come 18 milioni di mail “maliziose” al giorno, soprattutto di “phishing” e più dei due terzi di queste sono generate da macchine (bot, trolls, etc.) e non da persone. Questo vuole anche dire che gli attacchi sono random, indiscriminati, per cui nessuno può sentirsi al sicuro.

Il fenomeno più devastante è quello del ransomware, ove i criminali inducono con l’inganno a far scaricare un software maligno (“malware”) che fa una encryption dei dati aziendali. Dopodiché minacciano di bloccare tutto a meno che non venga pagato un riscatto (“ransomware”) entro un certo numero di ore in cambio della chiave di decriptazione. Ovviamente pagamenti in cryptocurrencies. Nella versione più recente di questo crimine, i dati prima di venire criptati vengono copiati altrove, in modo che anche se l’azienda ha dei sistemi di back up perfettamente funzionanti (e quindi può più o meno facilmente switchare sul back up ed evitare il blocco aziendale), deve comunque pagare per non vedere i dati propri e dei propri clienti venduti sul mercato, con danni reputazionali, sanzioni e rischi di class actions enormi. Per finire, spesso viene comunque venduta sul mercato nero la chiave ed il percorso di accesso che i criminali hanno utilizzato per il “breach”, ad uso e consumo di altri gruppi criminali.

Tale è la portata del fenomeno e la gravità dei potenziali danni, che la cybersecurity è diventata un tema chiave per i CEO e i Board. Questo crea il primo tipo di problema, cioè una mancanza di competenze e di “readiness” di molte aziende, laddove le decisioni chiave vengono prese. I consulenti di riferimento della “C-suite” si stanno attrezzando, ma non sono ancora interlocutori credibili su questi temi. Il panorama è ovviamente molto diverso da azienda ad azienda e da settore a settore, essendo alcune aziende ed alcuni settori ormai molto più preparati della media nel difendersi da questi attacchi. Il secondo problema è legato alla ricerca di soluzioni con puri strumenti tecnologici. Ovviamente la tecnologia è fondamentale, ma è soltanto con un approccio coerente agli aspetti di Persone, Processi e Tecnologia che si può affrontare il problema.

L’aspetto umano è spesso quello più trascurato: il dipendente che clicca sull’attachment che scarica il malware, e che magari poi per paura o per ignoranza non dà l’allarme alle strutture competenti; il dipendente dell’amministrazione che riceve una mail dall’Amministratore Delegato (in verità un falso ma sofisticato messaggio generato attraverso AI) e che bypassando tutte le procedure ed autorizzazioni procede a effettuare un pagamento ad un fornitore chissà dove, in realtà un criminale. Questi fenomeni hanno poco a che vedere con la tecnologia e molto con aspetti di cultura aziendale, di awareness. Ultimamente, questi approcci “umani” si sono sofisticati, con persone reali che sotto le mentite spoglie di un Tech Support di un fornitore o di una banca, creano un rapporto di fiducia con il nostro funzionario, inducendolo nell’arco di magari settimane a cambiare parametri, dare informazioni chiave, di fatto lasciare inconsapevolmente aperta la porta ai malfattori. Questo tra l’altro richiama la necessità che anche I nostri fornitori di prodotti e servizi siano adeguatamente protetti, altrimenti il punto debole sfruttato per un attacco potrebbero essere proprio loro. Nonostante si adottino sempre più sistemi di supply chain integrate, non è di frequente che si vede un cliente effettuare un audit – o anche solo un survey – sui propri fornitori.

Con l’AI usato per i “deep fake”, questo incrocio di comportamento umano – processi sarà ancora più importante: è già ora possibile ricreare sinteticamente in maniera molto credibile la voce di un Amministratore Delegato o di un CFO – a breve anche l’immagine, con AR/VR – che dà istruzioni ad un funzionario di effettuare certe operazioni.

Ovviamente gli aspetti tecnologici sono comunque fondamentali, a partire dall’architettura stessa dei sistemi informativi, la configurazione delle connessioni remote, la robustezza dei sistemi di identificazione e accesso, i sistemi di malware detection e di intrusione, sistemi di analisi e testing costante dei possibili failure points. Fondamentale qui è l’analisi del “cyber security debt”, come sotto insieme del technological debt, cioè di interventi già identificati e considerati necessari ma che per motivi di allocazione di risorse e budget vengono scadenzati nel tempo. Vi sono qui due considerazioni chiave: 1) la prioritizzazione degli interventi va fatta in base al rischio e al potenziale danno. Non si può difendere tutto, importante quindi una scelta consapevole – basata su parametri di business, non tecnologici – di cosa è più sensibile. 2) una allocazione di risorse e budget adeguati ai rischi. Potrebbero dimostrarsi gli investimenti a più alto ROI mai fatti in azienda. Questo tema va doppiamente menzionato in questo periodo di crisi economica e finanziaria in quanto sarà tentazione comune a molte aziende, soprattutto di medie dimensioni ma non solo, di rinviare questo tipo di “costi” di IT, che ricadono di fatto tra le spese “discrezionali”.

La consapevolezza qui è che il problema non potrà mai essere risolto al 100%, ma che bisogna costantemente studiare, imparare e migliorare per poter stare un passo avanti (o almeno non troppi passi indietro) rispetto ai criminali. Non aiuta, da questo punto di vista, che le aziende comprensibilmente non siano molto disponibili a fare “information sharing” quando vengono attaccate, e condividere una analisi post-mortem di cosa è andato storto e come rimediare. La stessa collaborazione internazionale tra governi non è così funzionante come in altri campi, cosa che è ovviamente fondamentale in quanto queste organizzazioni criminali sono spesso basate fuori dai confini nazionali ed europei.

Aziende

Complex transformations and digital revolution, an insight into Vittorio Massone’s expertise

5 Mag , 2020  

Vittorio Massone is an expert manager who held positions of great responsibility during his career, in particular in the fields of digital transformation and business advisory. With team “diversity” and digital innovation at the heart of his managerial vision, the manager is currently the Director and Vice President of Alkemy S.p.A.

The newly appointed Director and Vice President of Alkemy S.p.A., Vittorio Massone

After many successes achieved in the fields of telecommunications, media/entertainment, industrial services, government, and automotive, and several complex transformations which he led brilliantly, Vittorio Massone currently collaborates with important traditional companies in the development of digital transformation processes, and with “digital natives” ones to support them in growth and development. Recently he has undertaken a new professional challenge in the digital innovation sector: in February 2020, indeed, he has become the new Director and Vice President of Alkemy S.p.A., an Italian leading company in the digital innovation of large and medium-sized companies’ business model. With a specific focus on Business and Corporate Development, Vittorio Massone will help the company to support the business activities of the high-level clients Alkemy S.p.A. works with, providing his valuable contribution in addressing the challenges deriving from the recent transition of the company to the STAR segment of Borsa Italiana’s Main Market. The professional life of the new Director and Vice President of Alkemy S.p.A. boasts more than 25 years of experience gained in the field, and gave him the opportunity to work with high-level clients, both in Italy and abroad. The complex operations in which he was involved during his career include the turnaround of Seat Pagine Gialle between 1997 and 2001, the acquisition of Virgilio/Matrix in 1999, and the turnaround of Poste Italiane between 2002 and 2008.

Vittorio Massone’s professional experiences and top-level roles

The career of Vittorio Massone started in 1989 at Klopman Textile Industry (Burlington Group), where he served as Business Analyst. His following experience was at Value Partners, a management consulting firm which he joined as an Associate. In 1994 he moved to Bain & Company, where he continued his career to hold positions of increasing responsibility: he was, indeed, Manager (1995), Partner (1999), and then Director (2004). The roles he held grew in importance and relevance over time, leading him to gain deep experience in the advisory business in the fields of telecommunications, media/entertainment, digital, industrial services, government, and automotive, as well as being involved in complex operations in the functional areas of strategy, organization, merger and acquisitions, customer experience, operational improvement, and procurement. During those years, he worked with clients the likes of Walt Disney, Rai, Consip, Sviluppo Italia (currently Invitalia), Coni Servizi, Gruppo Espresso, and Il Sole 24 Ore. After managing the acquisition of Virgilio/Matrix (1999), the turnaround of Seat Pagine Gialle (1997-2001), and the turnaround of Poste Italiane (2002-2008), he moved to Johannesburg in 2010 to join Bain & Company Africa as a Managing Partner. He helped the company to achieve market leadership and has been the leading figure for Bain & Company Africa until 2018. While in Africa, he supported the creation of a team of 200 people particularly skilled in the digital field. He is Member of YPO, the Premier Leadership Organization of Chief Executive Officers, with approximately 28,000 members. Vittorio Massone graduated in Economics with full marks at the Sapienza University of Rome (1989), and obtained a Master in Business Administration at the Bocconi University of Milan (1992).

,