Cybersecurity & Digital Trust

A cura di Valentina Sapuppo

Introduzione

Negli ultimi tempi l’importanza del ruolo ricoperto dalla cybersecurity è sempre più evidente a fronte dei numerosi attacchi informatici sferrati in tutto il mondo. Il triste scenario bellico russo-ucraino ha messo in evidenza la potenza distruttiva della cyber-war e, certamente, i numerosi attacchi DDoS e ransomware hanno fatto aprire gli occhi ai più che non si erano ancora accorti che, in un mondo quasi totalmente digitalizzato, è necessario proteggere le porte di accesso per non far entrare a casa propria i pirati digitali.

I numerosi report pubblicati dalle maggiori autorità del settore, sulle tipologie di attacco e gli scenari più colpiti, trasmettono un messaggio importante: è necessario sviluppare sempre più Digital Trust, ponendola come obiettivo primario delle moderne strategie di business di cybersecurity a tutela di tutte le parti interessate, Clienti, Fornitori e Autorità.

In questo articolo illustreremo come mai il ruolo della cybersecurity è così importante nella costruzione di una società digitale sempre più sicura, una società digitale che opera nel Web 3.0 e che si affaccia al 6G networks e a nuovi metaversi.

Perchè sviluppare una Digital Trust è così importante?

Tra i concetti di business più ambiti vi è certamente la resilienza e la fama del brand.

Per le aziende, oggi, non è così semplice garantire il proprio ruolo in un mercato digitale così rischioso. Non sono poche le notizie di aziende molto note che subiscono attacchi informatici e che vedono minata la propria immagine all’esterno e il tutto impatta sulla crescita del business.

Sviluppare la fiducia digitale verso Clienti, Fornitori e Autorità è, quindi, uno dei più ambiti obiettivi delle aziende moderne.

Come fare allora? Nel mondo delle certificazioni ISO/IEC, uno dei requisiti mandatori prescritto è che le aziende - che vogliono accreditarsi secondo uno schema piuttosto che un altro - devono dimostrare di garantire il soddisfacimento delle aspettative delle parti interessate.

Proteggere i dati dei propri clienti o dei propri consumatori genera fiducia. Tutto questo è possibile, però, se le aziende dimostrano di essere capaci di gestire il proprio sistema all’insegna della sicurezza delle informazioni. Così facendo, le aziende si aprono al mondo in cui operano, comunicando all’esterno le proprie politiche di fiducia digitale, garantendo, di conseguenza, la propria reputazione. La gestione del rischio informatico da minacce sempre più sofisticate e vulnerabilità, infatti, può essere soddisfatta solamente se le logiche di business dimostrano un forte interesse nella creazione e nella reale attuazione di una strategia di cybersecurity e di business continuity.

A fronte, però, di tutte accortezze più brillanti è chiaro che il rischio informatico non potrà essere mai annullato del tutto. Nonostante ciò, piani di formazione continua, erogati a tutti i livelli, possono certamente supportare la lotta al fattore umano. Infatti, sviluppare awareness e sensibilizzare tutti gli attori dei processi aziendali è certamente una scelta vincente per mantenere fiducia delle parti interessate.

Strategie di Business a supporto della Digital Trust

Mitigare attivamente una vastità indefinita di rischi digitali non è una sfida semplice.

Data breach o data leack, attacchi ransomware o DDoS, sono alcuni esempi frequentemente registrati di difficili lesson learned. Questi alcuni dei motivi per cui è davvero importante sviluppare un concreto e robusto programma proattivo di Information Security a supporto della Digital Trust.

La Threat Intelligence funge da strumento molto utile per comprendere le motivazioni, gli obiettivi e i comportamenti di attacco già subito dagli attori del mercato digitale. Inoltre, l’adozione di best practice e di auto-assessment - come quelli strutturati seguendo gli schemi del CSF NIST o del framework SOC 2, pubblicato dall’American Institute of Certified Public Accountants – AICPA - o l’implementazione di sistemi di gestione ISO/IEC 27001:2022, sono senza dubbio efficaci meccanismi di rinforzo delle politiche e delle procedure operative, realizzati o irrobustiti a valle di un rapporto sui controlli rilevante per la sicurezza, la disponibilità, l’integrità dell’elaborazione delle informazioni, della riservatezza o della data protection e della governance delle informazioni.

Anche l’Unione Europea mette al centro della propria strategia di cybersecurity la Digital Trust.

Infatti, il Digital EU Programme “Shaping Europe’s digital future” si propone lo scopo di rinforzare la protezione delle infrastrutture digitali europee a tutela dei cittadini e per il miglioramento continuo della sicurezza dei prodotti e dei servizi digitali.

Con la creazione dell’European Cybersecurity Competence Centre and Network – ECC la Commissione Europea si propone di “unire la sicurezza informatica europea”.

Infatti, grazie alla collaborazione con i 27 National Coordination Centres - NCCs si persegue l’obiettivo di “promuovere l’eccellenza della ricerca e la competitività dell’Unione nel campo della sicurezza informatica”, nonché di aumentare la capacità e la competitività in ambito IT.

The EU Cybersecuity Strategy: l’impegno dell’europa per la realizzazione del “Digital europe programme for europe’s Digital Transition and Cybersecurity”

È necessario attendere di essere assoggettati a obblighi normativi o, piuttosto, la scelta migliore, nelle logiche di business, è quella di creare un sistema di gestione e sviluppare un concreto e robusto programma proattivo di Information Security a supporto della Digital Trust?

Nel 2022 la Commissione europea e l’Alto Rappresentante dell’Unione per gli affari esteri e la politica di sicurezza hanno presentato una nuova strategia dell’UE in materia di sicurezza informatica. Una chiara presa d’atto della massiva digitalizzazione della società. Nel manifesto, infatti, leggiamo che “l’UE si impegna a sostenere questa strategia attraverso un livello di investimenti senza precedenti nella transizione digitale dell’UE nei prossimi sette anni. Questo quadruplicherebbe i livelli precedenti di investimento.”

Il 24 marzo 2023 la Commissione Europea ha adottato due programmi di lavoro pluriennali per la realizzazione del Digital EU Programme for Europe’s Digital Transition and cybersecurity - DEP per il biennio 2023/2024, con i quali ha stanziato finanziamenti per 1,3 miliardi di euro, di cui 553 milioni di euro già disponibili nel 2023 per supportare investimenti strategici nel decennio digitale europeo. Il programma vanta il pregio di perseguire il rafforzamento delle capacità digitali critiche dell’Unione, mettendo al centro le aree centrali dello sviluppo digitale europeo, quali la “protezione del clima e dell’ambiente, dei dati, dell’intelligenza artificiale, del cloud, della sicurezza informatica, delle competenze digitali avanzate.” Il DEP è valido anche per PMI e per le start-up non soggette alla disciplina della Direttiva NIS2 e del Cyber Resilience Act – CRA.

Inoltre, la Commissione europea ha creato il Cybersecurity Atlas, una “piattaforma di gestione della conoscenza per mappare, categorizzare e stimolare la collaborazione tra esperti europei di sicurezza informatica a sostegno della strategia digitale dell’UE”. In questa, tra i network pilot projects segnaliamo il Progetto CONCORDIA, ECHO, SPARTA and CyberSec4Europe dal quale è nato l’European Cyber Competence Network.

Conclusioni

In questo articolo abbiamo illustrato i motivi per cui il ruolo della cybersecurity è così importante nella costruzione di una società digitale sempre più sicura. La costruzione della Digital Trust è uno degli obiettivi primari delle aziende moderne che perseguono il fine di soddisfare le aspettative delle parti interessate. Inoltre, abbiamo visto come la condivisione di obiettivi di sicurezza informatica è al centro della strategia europea. Security Zero Trust, trasparenza, interoperabilità, resilienza, sicurezza delle informazioni e data protection sono alcune delle parole chiave che dominano il tema trattato. In un mondo sempre più interconnesso è necessario, pertanto, che le aziende prendano decisioni importanti per rendere sempre più affidabili propri prodotti e servizi, dimostrando di saper gestire le informazioni e i rischi IT, all’insegna delle logiche di cyber governance e di risk e vulnerability management.