Come si costruisce la fiducia nelle società complesse minimizzando le componenti di un rischio che è sempre più sistemico?
«Le organizzazioni sono sempre state abituate a effettuare un’analisi dei rischi molto legata al proprio business. Dopo avere verificato quali sono le minacce, le vulnerabilità e gli impatti, calcolano il rischio e solo allora decidono quanto investire per proteggersi sulla base di un’analisi costi-benefici» – afferma Alessandra Vitagliozzi, security advisor competer center manager di Maticmind. Le aziende mirano pertanto alla protezione del business facendo delle analisi volte al proprio beneficio. «Ma questo oggi non è più sufficiente, perché la correlazione che esiste tra il proprio business e i vari interlocutori che concorrono al suo funzionamento spinge a pensare al rischio sistemico, cioè a un rischio finalizzato a rilevare e quantificare i problemi di sicurezza che possono generare effetti malevoli, diffusi o consequenziali, in funzione delle catene di relazione sistemiche che intercorrono tra diversi attori di un ecosistema cibernetico e informatico. Gli effetti malevoli diffusi sono, per esempio, le conseguenze di un virus tra aziende che utilizzano lo stesso sistema, mentre per consequenziale si intende l’effetto domino generato ad esempio da una interruzione di un servizio correlato ad altri servizi» – spiega Vitagliozzi.
IL RISCHIO SISTEMICO
Per valutare il rischio sistemico informatico e di cybersecurity è necessario sviluppare nuove metodologie e un approccio nuovo, che non deve essere rivolto alla sola valutazione del rischio potenziale per un singolo servizio o per una singola organizzazione ma deve definire una mappa sistemica dei servizi e di come sono correlati tra di loro, in maniera tale da riuscire a comprendere l’impatto complessivo di una determinata minaccia. «Questo è possibile solo se tutti gli attori mettono a fattor comune le informazioni, cosa piuttosto difficile, anche all’interno della stessa Organizzazione. Bisogna pertanto sottoscrivere dei protocolli di intesa – dice Alessandra Vitagliozzi – e dimostrare che lo scambio di informazioni è un valore aggiunto, consapevoli che la sicurezza al cento per cento non esiste e che dobbiamo necessariamente accettare il rischio. Maticmind ama definirsi il sarto delle metodologie, nel senso che non usa le metodologie che si trovano sul mercato ma le disegna appositamente per ciascun cliente in funzione della sua complessità, del settore merceologico, del livello di maturità, dell’ambito, ecc. In tutte le metodologie di analisi viene definita una soglia del rischio potenziale o effettivo e, in funzione di questa, del rischio accettabile. Ma posizionare l’asticella non è facile». L’analisi fornisce una fotografia del livello del rischio, quindi una valutazione “statica”. Maticmind suggerisce di guardare gli elementi che modificano il rischio (minacce e vulnerabilità) valutando anche il rischio dinamico. Purtroppo, la percentuale di aziende che fanno risk analysis è molto bassa. Secondo i dati 2021 dell’Osservatorio del Politecnico di Milano, solo il 38 per cento delle imprese gestisce il rischio cyber. I pericoli quindi aumentano, soprattutto in tema phishing. «La spesa in cybersecurity è aumentata ovunque, tuttavia l’Italia è all’ultimo posto tra i paesi del G7 nel rapporto spesa per cybersecurity e PIL» – sottolinea Vitagliozzi.
«Il CISO deve essere indipendente dalla direzione IT e rispondere direttamente all’amministratore delegato per non avere conflitti di interesse e occuparsi della sicurezza delle informazioni e non solo della sicurezza informatica»
L’AGENZIA PER LA CYBERSICUREZZA NAZIONALE
L’adozione del D.L. 14 giugno 2021 n. 82 ha ridefinito l’architettura nazionale cyber e istituito l’Agenzia per la Cybersicurezza Nazionale (ACN) a tutela degli interessi nazionali nel campo della cybersicurezza. L’ACN rappresenta l’Autorità nazionale per la cybersecurty e assicura il coordinamento tra i soggetti pubblici coinvolti nella materia. Nello specifico, promuove la realizzazione di azioni comuni volte a garantire la sicurezza e la resilienza cibernetica necessarie allo sviluppo digitale del Paese. Persegue il conseguimento dell’autonomia strategica nazionale ed europea nel settore del digitale, in sinergia con il sistema produttivo nazionale, nonché attraverso il coinvolgimento del mondo dell’università e della ricerca. Favorisce specifici percorsi formativi per lo sviluppo della forza lavoro nel settore e sostiene campagne di sensibilizzazione oltre che una diffusa cultura della cybersicurezza. Secondo Alessandra Vitagliozzi è importante che nel settore vengano introdotte delle norme precise. «Le organizzazioni si stanno dimostrando piuttosto aperte e disponibili, ma con un evidente gap fra aziende e pubblica amministrazione». Un altro dato: nel 2021, varie ricerche riscontrano che poco più del 40 per cento delle organizzazioni aveva un CISO.
CISO E FORMAZIONE
Il direttore della sicurezza informatica (CISO – chief information security officer) è la figura aziendale che sviluppa una strategia aziendale in grado di proteggere adeguatamente i beni d’informazione e le tecnologie aziendali. «Il CISO non deve stare all’interno della direzione IT ma deve essere indipendente, altrimenti fa solo sicurezza informatica. Per essere efficace, un chief information security officer deve invece rispondere direttamente all’amministratore delegato», sottolinea Vitagliozzi. L’ACN sta sensibilizzando positivamente il settore, dove tuttavia perdura una carenza di professionisti esperti. Il Piano nazionale di ripresa e resilienza (PNRR) prevede un investimento di 1,5 miliardi di euro in favore degli ITS. Si tratta di uno stanziamento notevole di risorse, finalizzato al raggiungimento di una serie di obiettivi entro il 2026: aumentare il numero degli Istituti Tecnici Superiori e degli studenti che li frequentano, rafforzare le strutture e i laboratori, investire sulle competenze dei docenti.
L’investimento, che rientra nella missione “Istruzione e ricerca” del Piano, comprende anche la creazione di una piattaforma digitale nazionale per permettere agli studenti di conoscere le offerte di lavoro rivolte espressamente a loro. Nel 2022 ha anche preso il via la riforma ITS. La legge, che contiene la riforma dei percorsi post diploma per formare tecnici specializzati, è stata pubblicata il 26 luglio 2022 e il decreto che distribuisce le risorse tra le regioni è stato firmato il mese successivo, il 26 agosto 2022. «La riforma degli Istituti Tecnici Superiori cambia l’organizzazione, l’offerta formativa e ribattezza tali Enti come “ITS Academy”, ovvero Istituti Tecnologici Superiori. Si tratta di un primo importante passo avanti, tenuto conto che per formare una persona occorrono molti anni» – commenta Vitagliozzi.
SECURITY RISK MANAGEMENT
Maticmind offre servizi e soluzioni di cyberesecurity oggi fondamentali per garantire la continuità operativa delle attività aziendali in vari ambiti. Per esempio, è presente in importanti società del settore bancario e della pubblica amministrazione. E ancora: per un’azienda del settore energetico, Maticmind ha studiato una soluzione personalizzata che rispetta la compliance “country per country”. Per vari enti del comparto sanità ha applicato una metodologia di analisi del rischio di information security e privacy e per un’autorità portuale ha elaborato un approccio che inserisce il rischio sistemico nel complesso delle valutazioni.