Cinque azioni per una nuova cybersecurity: decolla il dibattito tra gli addetti
E’ necessario costituire, all’interno delle pubbliche amministrazioni centrali e locali, una organizzazione in grado di gestire la sicurezza delle informazioni e delle infrastrutture. Tale obiettivo può essere raggiunto ove si adotti il Framework Nazionale per la Cyber Securiy
14 Aprile 2016
Gabriele Faggioli, avvocato Partners4innovation, presidente Clusit, Associazione Nazionale per la Sicurezza Informatica
Realizzare uno scambio sinergico di esperienze e dandone evidenza in una mappatura puntuale; proporre alleanze e collaborazioni al fine di superare gli ostacoli allo sviluppo di risposte innovative in materia di cybersecurity, ma anche valutare la disponibilità delle risorse rispetto agli obiettivi prefissati.
Questi gli obiettivi sul tavolo del Cantiere “Sicurezza Digitale”, avviato da FPA sotto la guida del docente della Sapienza Roberto Baldoni, che ha coinvolto esperti di sicurezza informatica, referenti di alcune fra le più importanti PA centrali, in un confronto su come rispondere all’esigenza di costituire, all’interno delle pubbliche amministrazioni centrali e locali, una organizzazione in grado di gestire la sicurezza delle informazioni e delle infrastrutture.
Tale obiettivo come ha spiegato Baldoni, può essere più agevolmente raggiunto ove si adotti, in modo
massiccio il “Framework Nazionale per la Cyber Security” che, per le sue
caratteristiche intrinseche, permette sia di “valutare in modo semplice le capacità cyber di una organizzazione”
sia “
di definire una roadmap verso una
capacità cyber adeguata
”.
E’ un impegno di lungo termine, che richiede la collaborazione di molteplici parti. per questo motivo sono preziose le opportunità di confronto, che proseguiranno con l’iniziativa CantieriPA- il prossimo incontro sarà il 28 aprile- per poi sfociare all’interno della grande manifestazione annuale ForumPA (24-26 maggio).
Finora sono emersi questi cinque macro temi, che saranno sviluppati e ampliati nelle prossime occasioni. E non solo durante i nostri incontri ma anche nel dibattito che sta maturando tra gli addetti ai lavori.
- la necessità di condivisione delle informazioni e di quindi giungere a un patrimonio comune di conoscenza;
- la necessità di razionalizzare l’organizzazione della pubblica amministrazione, con in primo luogo i data center, che sono inutilmente frazionati, moltiplicati, inutilmente costosi e impossibili da gestire in modo sicuro;
- l’importanza di considerare la sicurezza come un investimento e come precondizione indispensabile per garantire la competitività del nostro sistema produttivo non essendo in alcun modo possibile accettare rischi oltre soglie predeterminate e prevalutate in termini di impatto potenziale;
- la imprescindibile esigenza di sviluppare e mantenere nel tempo un’alleanza tra mondo accademico, settore pubblico e imprenditoria privata che risulti molto più evoluta, articolata ed efficace rispetto alle relazioni “puntiformi” oggi esistenti;
- promuovere la cultura della sicurezza e accrescere la consapevolezza del rischio cyber sia da parte della dirigenza pubblica, che sconta spesso un pesante deficit di competenze digitali, sia da parte di cittadini imprese. In particolare, è stata sottolineata l’importanza di portare cultura, formazione e informazione anche nelle scuole e fin dalle medie per permettere ai giovani di comprendere fin dai primi anni di utilizzo delle tecnologie l’importanza della comprensione dei rischi che tale utilizzo inevitabilmente comporta.
Diverse considerazioni anche sulla rilevanza della variabile legale che, soprattutto nel mondo privato, negli ultimi quindici anni è stata spesso la leva che ha portato le aziende a dotarsi di misure di sicurezza maggiormente efficaci. Pur essendo paradossale che i rischi e i possibili impatti non vengano ancora percepiti nonostante l’evidenza di ciò che sta accadendo anche in termini di fatti di cronaca, appare ancora evidente come nei settori di mercato a maggiore regolamentazione in termini di sicurezza informatica i budget a disposizione inevitabilmente aumentano.
Sarà quindi interessante valutare, nel corso dell’iniziativa, se effettivamente la leva normativa potrà essere utilizzata ulteriormente rispetto a quanto già fatto al fine di maggiormente spingere le pubbliche amministrazioni a dotarsi di misure di protezione adeguate rispetto ai rischi che oggi vengono corsi.
Non vi è peraltro dubbio che la comprensione dei rischi che corrono perlomeno le infrastrutture critiche e la prossima pubblicazione del nuovo Regolamento UE in materia di protezione dei dati personali che, come noto, punta fortemente l’attenzione sulla politica della sicurezza, sull’analisi dei rischi, sulla valutazione di impatto e, per le pubbliche amministrazioni, sul data protection officer, non potranno che comportare, rapidamente, l’adozione di nuovi paradigmi di approccio alla sicurezza informatica.
Al termine del ciclo di incontri del Cantiere, verrà prodotto un documento di “advocacy” rivolto ai decisori politici, con indicazioni puntuali di linee guida finalizzate a rimuovere i freni alla effettiva adozione di politiche di sicurezza informatica, proporzionate ai rischi che le pubbliche amministrazioni oggi corrono.