Notice: Undefined offset: 1 in /home/awfdywmb/public_html/wp-content/themes/Newspaper-child/loop-single.php on line 27

Notice: Trying to get property 'cat_name' of non-object in /home/awfdywmb/public_html/wp-content/themes/Newspaper-child/loop-single.php on line 27
Sicurezza

La Sicurezza Informatica delle PMI: il modello britannico soluzione per l’Italia?

sicurezza

Ogni anno, migliaia di sistemi informatici vengono compromessi. Un dato che dovrebbe far riflettere è il fatto che la maggior parte delle vittime subisce attacchi che potrebbero essere facilmente evitati e che sono condotti con software liberamente reperibili su Internet. Si tratta di uno scenario abbastanza diffuso e comune in tutte le Nazioni. Eurispes, nel Rapporto Italia 2015, ha affrontato la tematica con un approfondimento dal titolo “L’Italia e il Cyberspazio”.

A essere maggiormente colpite dagli attacchi informatici sono le Piccole e Medie Imprese (PMI), le quali spesso non affrontano adeguatamente il problema della sicurezza informatica sia per una storica assenza di cultura e sensibilità da parte dei vertici aziendali verso tale problema (il che si riflette in inadeguate dinamiche interne) sia per i ridotti budget a disposizione che scoraggiano investimenti nel settore.

Per questi motivi, le PMI diventano appetibili prede dello spionaggio industriale da parte di competitor stranieri e di gruppi criminali che compiono attacchi informatici al fine di danneggiare l’azienda, tramite estorsioni di denaro o furto di brevetti proprietari (con conseguenti ingenti danni alle imprese che si vedono saccheggiate, talvolta anche a loro insaputa, del cuore del loro business).

Se riflettiamo sul fatto che in Italia le PMI rappresentano oltre il 90% dell’industria nazionale e che esse sono a loro volte fornitrici di grandi imprese le quali, tutte, operano per lo Stato, allora iniziamo a comprendere come la tematica di garantire la sicurezza e, in definitiva, la sopravvivenza stessa di queste PMI diventa un vero e proprio interesse nazionale.

Negli ultimi tre anni il nostro Paese ha intrapreso un percorso volto a individuare prima una Strategia Nazionale per la Cyber Security e, successivamente, un vero e proprio Piano Operativo  che permetta di raggiungere gli Obiettivi Strategici fissati. Sono stati quindi compiuti passi avanti rispetto al passato, ma c’è ancora molto da fare. Uno dei prossimi passi sarà quello di produrre una dottrina di Cyber Security.

Prima di proseguire, vorrei fare una riflessione sul linguaggio: la Cyber Security. Personalmente preferisco il termine generico di Sicurezza Informatica. Atteso che, per gli addetti ai lavori, la scelta di una determinata traduzione non cambia la sostanza, c’è anche da dire che, soprattutto nella nostra realtà italiana, nel parlare di Cyber Security o Sicurezza Cibernetica si rischia, in alcuni casi, di dipingere il problema come un qualcosa di lontano, futuristico, difficilmente gestibile o comprensibile, facendoci dimenticare che spesso, invece, le minacce di cui si parla e gli attacchi che si subiscono hanno a che fare con le regole più basilari e i più comuni accorgimenti volti a garantire la Sicurezza delle Informazioni, in un’epoca dove tali informazioni sono quasi interamente digitali.

Parlare di Sicurezza Informatica potrebbe aiutare quindi a inquadrare il problema (da parte dei non addetti ai lavori) con un approccio mentale più aperto e più accessibile a tutti. La Sicurezza Cibernetica, in ultima istanza, non è altro che la Sicurezza delle Informazioni, informazioni che nella nostra epoca si muovono in reti geografiche nazionali e internazionali, o che sono contenute in dispositivi digitali, in Data Center che spesso non sono posizionati e gestiti all’interno dei confini fisici nazionali, bensì sono installati in Stati stranieri e controllati da Società estere. Dispositivi digitali e reti che stanno aumentando in quantità e dimensione ad un ritmo così frenetico da essere diventati totalmente pervasivi e quasi indispensabili in ogni gesto del nostro vivere quotidiano.

Tornando alla questione della sicurezza informatica delle PMI, nell’impegno condotto per trovare una soluzione condivisa, spesso il miglior approccio è anche il più umile, ossia quello di guardarsi intorno e vedere se e come altri Stati hanno affrontato o stanno affrontando il medesimo problema, e quali soluzioni hanno individuato e deciso di adottare.

Propongo una breve sintesi di quanto ha fatto il Governo Britannico nel cercare di aiutare le PMI a contrastare le moderne minacce informatiche. Ritengo che il modello britannico sia un ottimo strumento per diffondere la consapevolezza del problema e suggerire un approccio scientifico e strutturato, che includa quindi un metodo.

Uno degli obiettivi primari dichiarati nella Strategia Nazionale di Cyber Security del Governo Britannico è quello di “rendere il Regno Unito un luogo più sicuro per condurre business online”. Un messaggio così potente nella sua semplicità, che sintetizza il doppio beneficio offerto dalla sicurezza informatica per le Imprese: se da un lato viene garantita la protezione delle proprie informazioni, dall’altro diventa un elemento discriminante per poter condurre affari con successo, diventa cioè una vera e propria opportunità di business.

Determinare i benefici della sicurezza informatica e sapere da dove cominciare è però una sfida significativa per molte organizzazioni: per questo motivo, nel 2012 il Governo Britannico ha presentato prima la guida I 10 Passi per la Sicurezza Informatica”  e, successivamente, la guida Le Piccole Imprese: quello che c’è da sapere sulla sicurezza informatica”, il tutto al fine di incoraggiare le organizzazioni a riflettere se stessero davvero gestendo i loro rischi informatici.

In questi due documenti il Governo ha sottolineato la necessità per i dirigenti e i vertici delle aziende di prendersi carico di questi rischi e renderli parte integrante dei processi di gestione del rischio all’interno della strategia globale dell’azienda. Queste iniziative hanno ottenuto successo e guadagnato consensi ma, pur essendo state pubblicate le guide, è stato possibile riscontrare che un certo numero di controlli di sicurezza non erano comunque stati attuati, lasciando quindi le organizzazioni vulnerabili anche a potenziali attaccanti in possesso di bassi livelli di capacità tecnica.

Il Governo del Regno Unito ha ritenuto di adottare quindi uno standard organizzativo per la sicurezza informatica, come forma di tappa successiva alla citata guida “I 10 Passi per la Sicurezza Informatica”.

È nato così lo Schema che è stato denominato Cyber Essentials. Tale schema ha fatto seguito a una call for evidence, effettuata dal Governo Britannico insieme all’Industria, volta ad individuare uno standard organizzativo nella sicurezza informatica, che si è conclusa nel mese di Novembre 2013. Informazioni su questa call for evidence, incluso il documento finale, possono essere trovate al seguente link.

Lo studio condotto tra Governo ed Industria ha permesso di realizzare che nessuno degli standard organizzativi già esistenti per la sicurezza informatica soddisfaceva le esigenze dei due attori, ma è emerso anche che l’Industria era entusiasta di aiutare a sviluppare qualcosa di nuovo. Il Governo ha quindi lavorato con l’Industria per sviluppare questi nuovi requisiti, ricevendo collaborazione anche da altre organizzazioni, ordini professionali, istituzioni varie.

Il modello che è stato individuato permette alle organizzazioni, ai loro clienti e ai loro partner, di acquisire maggiore fiducia nell’esprimere delle capacità, misurabili in maniera oggettiva da terze parti, che permettano di ridurre il rischio posto dalle minacce di attacchi informatici operati da soggetti che abbiano bassi livelli di competenze tecniche. Lo schema offre un meccanismo affinché le organizzazioni possano dimostrare a clienti, investitori, assicuratori e a chiunque altro, di aver adottato queste precauzioni ritenute, appunto, essenziali.

Cyber Essentials offre solidi accorgimenti di base che qualsiasi genere di organizzazione può implementare e potenzialmente costruire. L’attuazione di queste misure può ridurre significativamente la vulnerabilità di un’organizzazione. Tuttavia, tali precauzioni non offrono la cosiddetta “pallottola d’argento” per rimuovere tutti i rischi informatici: per esempio, lo Schema non è stato progettato per affrontare gli attacchi più sofisticati, pertanto le organizzazioni che affrontano questo genere di minacce dovranno essere consapevoli di dover attuare misure aggiuntive come parte della loro strategia di sicurezza. Ciò che però fa lo Schema Cyber Essentials è quello di definire una serie precisa di controlli che garantiscono una sicurezza informatica di base e costo/efficace a favore di organizzazioni di tutte le dimensioni; un insieme di controlli che, se correttamente implementati, forniscono una protezione di base dalle forme più diffuse di minacce provenienti da Internet. Il modello, essendo stato progettato in consultazione proprio con le PMI, oltre ad essere efficace è anche realizzabile ad un basso costo.

Il processo di certificazione può condurre a due livelli di certificazione: Cyber Essentials e Cyber Essentials Plus. Le due opzioni offrono alle aziende una scelta circa il livello di sicurezza che desiderano ottenere e il costo per farlo.

È importante inoltre prendere atto che la certificazione fornisce solo un’istantanea delle pratiche di sicurezza informatica dell’organizzazione al momento della valutazione, mentre il mantenere una solida posizione di sicurezza informatica richiede misure aggiuntive come un approccio più profondo nella gestione del rischio, così come aggiornamenti costanti allo schema, come ad esempio può essere la costante installazione di patch ai bug di volta in volta individuati nei vari sistemi. Pur con questi limiti, lo Schema offre un giusto equilibrio nel poter misurare l’impegno di un’organizzazione nell’implementare dei protocolli di sicurezza informatica, grazie ad un meccanismo semplice e che richiede bassi costi.

Cyber Essentials, in poco tempo, è diventato uno dei requisiti minimi richiesti per tutti coloro che vogliono essere fornitori in contratti che prevedano la trattazione di determinate informazioni ritenute sensibili o in contratti stipulati con Enti Governativi. Dall’Ottobre 2014, nel Regno Unito, il possedere la certificazione Cyber Essentials è diventato un obbligo di legge per questo genere di fornitori.

Dovremmo quindi poter adottare un modello analogo anche noi in Italia. Quale sarebbe la soluzione più semplice e veloce? È anche la più banale: tradurre tali documenti, che sono pubblici, adattandoli in qualche modo (se proprio necessario) alla nostra realtà italiana, operare opportune modifiche normative che regolino il modello e infine applicare il tutto sostenendo questa innovazione con una adeguata campagna di informazione che rafforzi anche la consapevolezza del problema.

Non sarebbe questa la panacea delle soluzioni, ma sarebbe comunque un inizio: costituirebbe un approccio per costruire un modello che risulti essere anche scalabile, un modello che sia soprattutto efficace. In tal senso, si dovrebbe gestire al meglio la creazione e il monitoraggio degli Enti che dovrebbero poi essere gli unici autorizzati a rilasciare le certificazioni Cyber Essentials “italiane”. Per monitoraggio si intende fare in modo di evitare che si crei un semplice meccanismo di certificazione fine a se stesso, ma piuttosto un meccanismo davvero virtuoso e concretamente utile. Nel modello UK, anche il processo di accreditamento degli Enti certificatori è stato normato.

Sono convinto che in Italia saremmo capaci di produrre modelli di certificazioni analoghi e che non abbiano nulla da invidiare a quelli dei nostri amici britannici.

Per chi, nel frattempo, voglia approfondire lo studio della documentazione, consiglio innanzitutto la lettura delle due guide sopra citate (consultabili cliccando sul loto titolo).

Infine, il sito web dove è scaricabile tutta la documentazione che regola in generale lo Schema Cyber Essentials è il seguente: www.cyberessentials.org.uk

 

 

Ultime notizie
last20
Mondo

Oltre il G20: The Last20, il mondo visto dagli ultimi

The Last20 è l’iniziativa nata per portare in primo piano storie e testimonianze dai paesi collocati agli ultimi posti nel mondo per ricchezza e prestigio, in contrapposizione alla egemonia economica e politica dei Grandi del G20.
di Tonino Perna e Ugo Melchionda
last20
loot box
Economia

Loot box e gacha games: intrattenimento o gioco d’azzardo?

Loot box e gacha games sono due forme di intrattenimento virtuale e di profitto ancora non regolamentate in ambito fiscale. Utilizzate soprattutto dai giovanissimi nei giochi online, determinano una serie di microtransazioni il cui premio, o risultato, è sconosciuto, e dunque possono rientrare nel gioco d’azzardo.
di Giovambattista Palumbo*
loot box
giustizia riparativa
Giustizia

La giustizia che ripara. Nascono anche in Italia le prime città riparative

La giustizia riparativa mira a ricostruire lo strappo che un reato genera all’interno della collettività, mettendo in comunicazione e collaborazione vittima e autore del reato. A tale scopo sono nate anche in Italia delle città-laboratorio, come nel caso di Tempio Pausania, in Sardegna.
di Giuseppe Pulina
giustizia riparativa
ismea
Agricoltura

Proteggere i redditi agricoli da crisi ed eventi climatici: intervista a Camillo Zaccarini Bonelli, ISMEA

Camillo Zaccarini Bonelli, agronomo esperto di fondi comunitari in agricoltura e politica agricola comunitaria, descrive le soluzioni emerse recentemente per la gestione dei rischi in agricoltura, settore sempre più minacciato da eventi climatici estremi e crisi internazionali.
di Andrea Strata
ismea
gioco
Gioco

Giochi: rischio illegalità all’attenzione delle Regioni

Nei dati forniti dal Comitato per la prevenzione e la repressione del gioco illegale, nel periodo 2020-2021 sono state scoperte 250 sale illegali in pochi mesi, chiuse 100 bische e sequestrate 2 mila slot. Serve indagare le cause di un fenomeno in crescita, nonché sottrarre spazi alle attività illegali.
di Chiara Sambaldi e Andrea Strata
gioco
pnrr
Economia

Pnrr, raggiunti tutti gli obiettivi del primo semestre 2022

Pnrr, il nostro Paese ha raggiunto tutti i target del primo semestre 2022 stabiliti dalla Commissione Europea: 45 interventi, di cui 15 Riforme e 30 Investimenti. Il Mef ha poi inviato la richiesta di pagamento della relativa tranche alla Commissione per un totale di 21 miliardi di euro.
di Claudia Bugno*
pnrr
algoritmo antievasione
Fisco

Un algoritmo antievasione aiuterà l’azione di Agenzia delle Entrate e Guardia di Finanza

Si chiama VeRa l’algoritmo antievasione in grado di incrociare e confrontare i dati dei contribuenti per evidenziarne le irregolarità. Sarà un valido contributo alla lotta all’evasione fiscale per Guardia di Finanza e Agenzia delle Entrate, che avranno accesso ai database nel rispetto delle indicazioni del Garante della Privacy.
di Giovambattista Palumbo*
algoritmo antievasione
AFCTA
Economia

AfCTA un anno dopo: il continente africano guarda al modello Ue per il libero mercato

L’AfCTA è un accordo commerciale firmato e ratificato dalla maggior parte dei paesi africani che prevede tra gli Stati firmatari l’abbattimento dei dazi doganali e la semplificazione degli aspetti burocratico-amministrativi al fine di implementare la libera circolazione delle merci nel continente.
di ODDI EMANUELE
AFCTA
REPowerEU
Economia

REPowerEU, la transizione energetica nel nuovo scenario emergenziale

Il Piano REPowerEU è stato messo a punto dalla Commissione Europea per garantire la sicurezza energetica in Ue, accelerando al contempo la transizione verde delle fonti di energia. Il cambio di marcia è legato alla nuova emergenza energetica causata dal conflitto in Ucraina.
di Claudia Bugno*
REPowerEU
corporate warfare
Economia

Corporate Warfare: un fenomeno sottotraccia con riflessi importanti sulla collettività

La Corporate Warfare, ovvero la guerra aziendale compiuta con ogni mezzo e con le più moderne tecnologie, minaccia le sorti di imprese e settori economici, pubblici e privati, con riflessi sull’intera collettività.
di Alfonso M. Balotta
corporate warfare