Cyber Security Readiness: nasce un progetto di sistema per le PMI
A cura di Rocco Mammoliti
Il progetto PMI e Cyber Security Readiness, che ci vede impegnati insieme alla Direzione dei Servizi Innovativi e Tecnologici di Unindustria, il Competence Center 4.0 esprime un principio essenziale: dobbiamo impegnarci ad essere facilitatori del cambiamento per favorire la costituzione di un ecosistema produttivo integrato, costruito sulla centralità della sicurezza, concepita come valore condiviso. La solidarietà è, infatti, il collante di un impianto di protezione degli asset che deve svilupparsi nel superamento di vetuste convinzioni. Tutti gli stakeholders devono sentirsi coinvolti nella definizione di standard di protezione delle infrastrutture critiche e delle reti di connessione, non c’è un “grande” e un “piccolo”, spazi e distanze sono abbattute nel tempo fluido dell’essere digitale. Per essere all’altezza delle sfide può risultare determinante affinare delle partnership tra attori pubblici e privati, che deve avere come protagonista quel fitto tessuto di PMI, che esprime da sempre l’ossatura economica del paese. L’innovazione tecnologica prima di essere praticata va compresa e governata attraverso il concorso di una molteplicità di saperi; ingegneri, giuristi, scienziati, umanisti devono operare fianco a fianco per rispondere al bisogno di protezione di istituzioni, cittadini e imprese.
La parola inglese Readiness letteralmente vuol dire “pronti”, ma come e a che cosa verrebbe da chiedersi? Non risulta produttivo alcun posizionamento statico in attesa di eventi critici, calamità, possibili incidenti informatici, essere pronti oggi vuol dire saper mettere in campo capacità di sviluppare una corretta governance del rischio e di prevenzione delle vulnerabilità. “Siamo sulla stessa barca” la metafora pronunciata in “Fratelli tutti”, l’Enciclica profetica di Papa Francesco che teorizza l’”ecologia integrale” come valore fondante della convivenza umana, diventa un mantra anche per il nostro “umile” lavoro quotidiano, orientato a garantire la sicurezza individuale e collettiva che passa attraverso il corretto funzionamento delle reti e della connettività a tutti i livelli. Siamo una “comunità di destino” nel mondo globalizzato, la linea di progresso che siamo chiamati a tracciare come classe dirigente manageriale e politica, non può ignorare la corresponsabilità come termine essenziale cui bisogna rifarsi per raggiungere risultati visibili. D’altra parte chi vorrebbe abitare una “casa” insicura, fatta di strumenti malfunzionanti esposta a manomissioni di diversa natura? Certamente nessuno, la “casa” dell’uomo del nostro tempo è l’intero pianeta che vogliamo attraversare con la serenità, che accompagna il desiderio della scoperta, della ricerca, dell’analisi che ha permesso all’individuo di imboccare la via del progresso e alla storia di camminare verso il futuro.
La sicurezza da vincolo a opportunità
Troppo spesso si è portati a considerare la sicurezza un costo, un adempimento, un peso da sostenere malvolentieri per imprenditori già vessati da una densità normativa e regolativa non facile da interpretare. Richiamerei a questo proposito uno scritto illuminante del filosofo della complessità Mauro Ceruti “Il vincolo e la possibilità”. La cyber security è una possibilità che diviene opportunità, perché consente alle organizzazioni di migliorare i livelli di performance e di efficienza. La sicurezza aiuta il business, consentendo alle aziende di reggere i ritmi della competitività, non scordiamolo mai. Il percorso formativo “a tappe” che stiamo definendo nei dettagli, conferma che la sicurezza è un tendere verso, non si potrà mai raggiungerla in assoluto. La “postura” di cyber security di cui tanto si parla, è un fattore identitario in divenire, che non ha nulla di scontato. Nostro obiettivo è quello di dare un navigatore alle imprese, non ci sono certezze in un campo delicato per definizione, c’è bisogno di un orientamento forte, di individuare un percorso di senso che possa indirizzare con oculatezza risorse e investimenti.
Il primo appuntamento di formazione sarà dedicato non a caso al rapporto tra sicurezza e terze parti, proprio in ragione dell’avvertita necessità di allargare il perimetro di osservazione, che non ha più “recinti” limitati, nella dimensione virtuale. Sono, infatti, tante le sfide che dovremo affrontare a partire dalla certificazione che va sburocratizzata. È possibile fare knowledge sharing, risparmiando tempo e denaro prezioso, soprattutto evitando sovrapposizioni dannose. Sotto questo aspetto può risultare utile ripensare l’organizzazione, per disegnare un ecosistema delle imprese, (torno sul concetto espresso all’inizio) capace di interpretare un modello capitalistico basato sulla pratica di una “vigilanza intelligente”.
Linee guide delle strategie di Cyber Security
Quattro sono le direttrici fondamentali che Poste Italiane ha fissato per definire le strategie di sicurezza informatica: prevenzione dei rischi, educazione all’uso degli strumenti tecnologici, centralità della ricerca, attitudine all’innovazione. Un player di queste dimensioni custodisce asset strategici per il Paese che giustificano l’adozione di misure di difesa eccezionali, sostenute da investimenti proporzionali alla propria esposizione nel mondo dei servizi digitali. Organizzazione, persone, regole, tecnologie, controlli e miglioramento continuo contribuiscono ognuno per la propria parte a mitigare continuamente il rischio di attacchi cyber, inclusi quelli attuati sfruttando i ransomware, che ormai occupano sistematicamente le pagine dei giornali. Come se non bastasse si fa strada il metaverso, una rivoluzione paragonabile all’avvento di Internet. Siamo chiamati a disciplinare gli aspetti della sicurezza informatica anche su questo delicato terreno: pensiamo alle sfide dell’AI, di cui ancora oggi non conosciamo l’esatta geografia come nemmeno le direttrici dello sviluppo.
Phishing, smishing, insieme a sofisticate tecniche di social engineering vengono sempre più messi in atto per rubare le credenziali di milioni di utenti. Nell’orizzonte mutante di questa che Luciano Floridi ha definito “infosfera”, una condizione in cui reale e virtuale si mescolano in maniera inscindibile diventa importante progettare e realizzare attività di education & awareness svolgendo nel contempo un monitoraggio sistematico anti-frode e anti-abuso, da implementare sfruttando lo strumento dei Big-Data Analytics e l’IA. La cyber-hygiene deve configurarsi come l’ambiente entro cui l’ecosistema della sicurezza dovrà evolvere.
Cyber resilienza come termine critico
Cyber-resilienza è il termine critico mutuato dalla fisica, su cui vorrei in conclusione insistere. In particolare la resilienza applicata alle organizzazioni produttive indica la capacità di attuare strategie e interventi volti ad anticipare, proteggere, resistere e recuperare una situazione di equilibrio il più rapidamente possibile dopo un attacco di qualsiasi entità. Poste Italiane adotta un sistema per la prevenzione, gestione e contenimento dei rischi ICT e conseguentemente degli incidenti informatici molto capillare e avanzato, che consente di presidiare i canali digitali, i sistemi e le infrastrutture ramificati sul territorio, gli operativi in mobilità, i data center e i sistemi di comunicazione, con una particolare attenzione agli elementi di business-continuity.
Ecco che la centralità del fattore umano torna ad imporsi. In ragione di questa consapevolezza abbiamo avviato diversi cantieri sulla Cyber Security Readiness in coerenza con i dettami del regolamento DORA, che riguardano molteplici aspetti di governo e gestione del rischio ICT, quali: l’aggiornamento delle librerie e delle contromisure di sicurezza, la rivisitazione delle metodologie di Analisi del Rischio e di valutazione della minaccia cyber, la ridefinizione dei ruoli e delle responsabilità di ciascun presidio interno, attraverso l’introduzione dei principi di Security by Design, rilevata a tutti i livelli, fino a garantire un elevato grado di formazione degli specialisti di sicurezza, dei dipendenti e dei vertici aziendali. È questa la strada maestra che dobbiamo imboccare, nell’orizzonte mutante dell’information society, che obbliga tutti a non abbassare mai il livello di attenzione sulle molteplici trasformazioni che segnano la contemporaneità.