Valutazione del rischio e standard: si parte da qui per mettere le basi alla cybersecurity nazionale

Adeguarsi alla direttiva Network and Information Security da parte dell’Unione Europea. E’ forse la principale preoccupazione degli addetti ai lavori in tema di cyber security. Le aspettative maggiori sono nell’area dei processi di compliance che dovrebbero riguardare i fornitori di servizi essenziali (o infrastrutture critiche), che potrebbero essere affiancati da un simile approccio nella pubblica amministrazione. E’ quanto si è potuto apprendere il 3 novembre durante il quarto incontro del gruppo di lavoro sulla Cyber Security di FPA. Si è trattato di un importante momento di confronto tra le amministrazioni, il settore privato e gli esperti, poiché a detta di tutti i partecipanti costituirebbe l’azione più rilevante per innescare un processo di evoluzione della Cyber Security nel nostro paese.

Per chiarezza, l’Italia ha già avviato un percorso di questo genere attraverso la pubblicazione del Framework Nazionale di Cyber Security nel febbraio 2016. Il Framework fornisce una indicazione di alto livello di tutte le categorie di controlli (o misure) che devono essere adottate dalle organizzazioni, indipendentemente dal settore di appartenenza, dimensioni, posizione geografica, ecc. Il framework è fortemente incentrato sul concetto di gestione del rischio (Risk Management), pertanto non fornisce in alcun modo delle misure minime, ma l’elenco completo delle misure che possono essere adottate. E’ poi compito di ciascuna organizzazione di valutare l’esposizione al rischio Cyber di ciascun proprio servizio/infrastruttura e definire quali siano le corrette contromisure da adottare, sulla base di pratiche e standard indicati nel Framework Nazionale. Valutazione del Rischio e Standard sono due ingredienti fondamentali per poter alimentare il framework e di conseguenza un processo di compliance per la PA e le Infrastrutture Critiche.

La valutazione del rischio è chiave poiché responsabilizza in modo diretto e inequivocabile il management dell’organizzazione: non vi sono misure minime decise da altri, non vi è un approccio preconfezionato. Ogni organizzazione deve comprendere a fondo i rischi a cui è esposta, comprenderne gli impatti e le possibili strategie di mitigazione. Deve comporre un piano di sicurezza che mitighi questi rischi in misura accettabile per il management. Questo lascia ovviamente molti gradi di libertà e flessibilità, ma non può che essere così: ogni organizzazione è diversa, ha le proprie peculiarità. Organizzazioni simili potrebbero prendere decisioni (consapevoli) diverse sul rischio. Per venire incontro alle organizzazioni, il Framework fornisce alcune misure ritenute prioritarie, ma si tratta solo di un suggerimento; vengono indicate come prioritarie poiché riguardano minacce globali e ad alto impatto, per cui indipendentemente dalle peculiarità dell’azienda, ci si aspetta che siano presenti in un piano di gestione della cyber security. Ad esempio l’adozione di un antivirus è una misura finalizzata a ridurre i rischi di sistemi e applicazioni infettati da codici malevoli (virus, trojan, worms, ecc.), rischi a cui sono esposte tutte le organizzazioni che dispongano di PC, Server, tablet, smartphones, smart devices, ecc.

Gli standard sono il secondo elemento chiave, poiché servono a tradurre il principio generale contenuto nel framework in indicazioni puntuali su come attuare la misura di sicurezza. Il Framework nazionale fa già riferimento ai più noti standard di mercato (ISO 27001, Cobit, ecc.), ma le organizzazioni possono adottare standard diversi da questi, come ad esempio le organizzazioni che dispongono di sistemi di controllo industriale, per le quali esistono standard diversi.

Sebbene esistano questi standard, per avviare un corretto processo di compliance, le istituzioni italiane dovrebbero fornire una indicazione puntuale sulle modalità di individuazione e selezione degli standard, poiché sarà su questi standard che verranno effettuate le verifiche di compliance. Alcuni governi preferiscono sviluppare standard propri, come ad esempio gli Stati Uniti, attraverso il NIST National Institute of Standards and Technologies, che sulla Cyber Security dedica due intere serie di Standard (Serie 800 e Serie 1800). Per l’Italia la strada più pratica è quella di aderire a standard internazionali, è la scelta più indicata per favorire l’intero mercato, poiché si tratta di standard già largamente adottati in maniera volontaria da molte aziende, anche pubbliche.

Alla luce della direttiva europea NIS, l’Italia è chiamata ora ad accelerare su una strategia nazionale per la cyber security. Sul tema FPA, in collaborazione con CorCom, organizza il 21 novembre “Cybersecurity – 360 | Summit” al quale è possibile iscriversi entro il 15 novembre cliccando qui.

Proprio su questo punto è stata portata all’attenzione dei partecipanti la decennale esperienza di una delle nostre infrastrutture critiche che dal 2006 ha adottato un processo di compliance a standard internazionali per l’intera organizzazione.

Nel caso della PA italiana invece la situazione è più confusa: ad oggi non esiste un approccio agli standard. L’Agenzia per l’Italia Digitale ha già predisposto un documento di misure minime, ma gli iter approvativi non hanno ancora portato alla loro pubblicazione. Inoltre, manca un progetto (di legge e di sostanza) per l’avviamento di un processo completo di compliance, ovvero di un processo dove oltre alle disposizioni, vi siano le indicazioni chiare per poter consentire verifiche esterne sull’adozione delle misure individuate.

Il tavolo ha convenuto che questo specifico intervento potrebbe creare un “effetto domino” positivo su tutto il paese, poiché se la PA e le Infrastrutture Critiche fossero obbligate ad adottare questo approccio, vi sarebbe immediatamente una ricaduta diretta sulle terze parti, ovvero su intere filiere di settore, andando così ad aiutare anche le piccole e medie imprese.

Tale approccio sarebbe ideale per le organizzazioni medio/grandi, ma non per le piccole. E’ stato ricordato come la stragrande maggioranza delle amministrazioni siano piccoli comuni che non dispongono di competenze di sicurezza. Il tavolo ha convenuto che il problema vada risolto a monte, attraverso una centralizzazione dei servizi informativi (in logica Cloud), questo agevolerebbe l’innalzamento del livello di sicurezza delle amministrazioni più piccole; è stato fatto notare però che molti comuni sono ancora in Digital Divide, per cui l’accentramento non è ancora possibile in maniera diffusa.

Il tavolo sta predisponendo un rapporto nel quale verranno descritte nel dettaglio le proposte individuate per il miglioramento della Cyber Security del paese e in particolare della PA. L’aspetto discusso in quest’ultimo incontro avrà una grande rilevanza nel rapporto finale.