La Sicurezza Informatica delle PMI: il modello britannico soluzione per l’Italia?

sicurezza

Ogni anno, migliaia di sistemi informatici vengono compromessi. Un dato che dovrebbe far riflettere è il fatto che la maggior parte delle vittime subisce attacchi che potrebbero essere facilmente evitati e che sono condotti con software liberamente reperibili su Internet. Si tratta di uno scenario abbastanza diffuso e comune in tutte le Nazioni. Eurispes, nel Rapporto Italia 2015, ha affrontato la tematica con un approfondimento dal titolo “L’Italia e il Cyberspazio”.

A essere maggiormente colpite dagli attacchi informatici sono le Piccole e Medie Imprese (PMI), le quali spesso non affrontano adeguatamente il problema della sicurezza informatica sia per una storica assenza di cultura e sensibilità da parte dei vertici aziendali verso tale problema (il che si riflette in inadeguate dinamiche interne) sia per i ridotti budget a disposizione che scoraggiano investimenti nel settore.

Per questi motivi, le PMI diventano appetibili prede dello spionaggio industriale da parte di competitor stranieri e di gruppi criminali che compiono attacchi informatici al fine di danneggiare l’azienda, tramite estorsioni di denaro o furto di brevetti proprietari (con conseguenti ingenti danni alle imprese che si vedono saccheggiate, talvolta anche a loro insaputa, del cuore del loro business).

Se riflettiamo sul fatto che in Italia le PMI rappresentano oltre il 90% dell’industria nazionale e che esse sono a loro volte fornitrici di grandi imprese le quali, tutte, operano per lo Stato, allora iniziamo a comprendere come la tematica di garantire la sicurezza e, in definitiva, la sopravvivenza stessa di queste PMI diventa un vero e proprio interesse nazionale.

Negli ultimi tre anni il nostro Paese ha intrapreso un percorso volto a individuare prima una Strategia Nazionale per la Cyber Security e, successivamente, un vero e proprio Piano Operativo  che permetta di raggiungere gli Obiettivi Strategici fissati. Sono stati quindi compiuti passi avanti rispetto al passato, ma c’è ancora molto da fare. Uno dei prossimi passi sarà quello di produrre una dottrina di Cyber Security.

Prima di proseguire, vorrei fare una riflessione sul linguaggio: la Cyber Security. Personalmente preferisco il termine generico di Sicurezza Informatica. Atteso che, per gli addetti ai lavori, la scelta di una determinata traduzione non cambia la sostanza, c’è anche da dire che, soprattutto nella nostra realtà italiana, nel parlare di Cyber Security o Sicurezza Cibernetica si rischia, in alcuni casi, di dipingere il problema come un qualcosa di lontano, futuristico, difficilmente gestibile o comprensibile, facendoci dimenticare che spesso, invece, le minacce di cui si parla e gli attacchi che si subiscono hanno a che fare con le regole più basilari e i più comuni accorgimenti volti a garantire la Sicurezza delle Informazioni, in un’epoca dove tali informazioni sono quasi interamente digitali.

Parlare di Sicurezza Informatica potrebbe aiutare quindi a inquadrare il problema (da parte dei non addetti ai lavori) con un approccio mentale più aperto e più accessibile a tutti. La Sicurezza Cibernetica, in ultima istanza, non è altro che la Sicurezza delle Informazioni, informazioni che nella nostra epoca si muovono in reti geografiche nazionali e internazionali, o che sono contenute in dispositivi digitali, in Data Center che spesso non sono posizionati e gestiti all’interno dei confini fisici nazionali, bensì sono installati in Stati stranieri e controllati da Società estere. Dispositivi digitali e reti che stanno aumentando in quantità e dimensione ad un ritmo così frenetico da essere diventati totalmente pervasivi e quasi indispensabili in ogni gesto del nostro vivere quotidiano.

Tornando alla questione della sicurezza informatica delle PMI, nell’impegno condotto per trovare una soluzione condivisa, spesso il miglior approccio è anche il più umile, ossia quello di guardarsi intorno e vedere se e come altri Stati hanno affrontato o stanno affrontando il medesimo problema, e quali soluzioni hanno individuato e deciso di adottare.

Propongo una breve sintesi di quanto ha fatto il Governo Britannico nel cercare di aiutare le PMI a contrastare le moderne minacce informatiche. Ritengo che il modello britannico sia un ottimo strumento per diffondere la consapevolezza del problema e suggerire un approccio scientifico e strutturato, che includa quindi un metodo.

Uno degli obiettivi primari dichiarati nella Strategia Nazionale di Cyber Security del Governo Britannico è quello di “rendere il Regno Unito un luogo più sicuro per condurre business online”. Un messaggio così potente nella sua semplicità, che sintetizza il doppio beneficio offerto dalla sicurezza informatica per le Imprese: se da un lato viene garantita la protezione delle proprie informazioni, dall’altro diventa un elemento discriminante per poter condurre affari con successo, diventa cioè una vera e propria opportunità di business.

Determinare i benefici della sicurezza informatica e sapere da dove cominciare è però una sfida significativa per molte organizzazioni: per questo motivo, nel 2012 il Governo Britannico ha presentato prima la guida I 10 Passi per la Sicurezza Informatica”  e, successivamente, la guida Le Piccole Imprese: quello che c’è da sapere sulla sicurezza informatica”, il tutto al fine di incoraggiare le organizzazioni a riflettere se stessero davvero gestendo i loro rischi informatici.

In questi due documenti il Governo ha sottolineato la necessità per i dirigenti e i vertici delle aziende di prendersi carico di questi rischi e renderli parte integrante dei processi di gestione del rischio all’interno della strategia globale dell’azienda. Queste iniziative hanno ottenuto successo e guadagnato consensi ma, pur essendo state pubblicate le guide, è stato possibile riscontrare che un certo numero di controlli di sicurezza non erano comunque stati attuati, lasciando quindi le organizzazioni vulnerabili anche a potenziali attaccanti in possesso di bassi livelli di capacità tecnica.

Il Governo del Regno Unito ha ritenuto di adottare quindi uno standard organizzativo per la sicurezza informatica, come forma di tappa successiva alla citata guida “I 10 Passi per la Sicurezza Informatica”.

È nato così lo Schema che è stato denominato Cyber Essentials. Tale schema ha fatto seguito a una call for evidence, effettuata dal Governo Britannico insieme all’Industria, volta ad individuare uno standard organizzativo nella sicurezza informatica, che si è conclusa nel mese di Novembre 2013. Informazioni su questa call for evidence, incluso il documento finale, possono essere trovate al seguente link.

Lo studio condotto tra Governo ed Industria ha permesso di realizzare che nessuno degli standard organizzativi già esistenti per la sicurezza informatica soddisfaceva le esigenze dei due attori, ma è emerso anche che l’Industria era entusiasta di aiutare a sviluppare qualcosa di nuovo. Il Governo ha quindi lavorato con l’Industria per sviluppare questi nuovi requisiti, ricevendo collaborazione anche da altre organizzazioni, ordini professionali, istituzioni varie.

Il modello che è stato individuato permette alle organizzazioni, ai loro clienti e ai loro partner, di acquisire maggiore fiducia nell’esprimere delle capacità, misurabili in maniera oggettiva da terze parti, che permettano di ridurre il rischio posto dalle minacce di attacchi informatici operati da soggetti che abbiano bassi livelli di competenze tecniche. Lo schema offre un meccanismo affinché le organizzazioni possano dimostrare a clienti, investitori, assicuratori e a chiunque altro, di aver adottato queste precauzioni ritenute, appunto, essenziali.

Cyber Essentials offre solidi accorgimenti di base che qualsiasi genere di organizzazione può implementare e potenzialmente costruire. L’attuazione di queste misure può ridurre significativamente la vulnerabilità di un’organizzazione. Tuttavia, tali precauzioni non offrono la cosiddetta “pallottola d’argento” per rimuovere tutti i rischi informatici: per esempio, lo Schema non è stato progettato per affrontare gli attacchi più sofisticati, pertanto le organizzazioni che affrontano questo genere di minacce dovranno essere consapevoli di dover attuare misure aggiuntive come parte della loro strategia di sicurezza. Ciò che però fa lo Schema Cyber Essentials è quello di definire una serie precisa di controlli che garantiscono una sicurezza informatica di base e costo/efficace a favore di organizzazioni di tutte le dimensioni; un insieme di controlli che, se correttamente implementati, forniscono una protezione di base dalle forme più diffuse di minacce provenienti da Internet. Il modello, essendo stato progettato in consultazione proprio con le PMI, oltre ad essere efficace è anche realizzabile ad un basso costo.

Il processo di certificazione può condurre a due livelli di certificazione: Cyber Essentials e Cyber Essentials Plus. Le due opzioni offrono alle aziende una scelta circa il livello di sicurezza che desiderano ottenere e il costo per farlo.

È importante inoltre prendere atto che la certificazione fornisce solo un’istantanea delle pratiche di sicurezza informatica dell’organizzazione al momento della valutazione, mentre il mantenere una solida posizione di sicurezza informatica richiede misure aggiuntive come un approccio più profondo nella gestione del rischio, così come aggiornamenti costanti allo schema, come ad esempio può essere la costante installazione di patch ai bug di volta in volta individuati nei vari sistemi. Pur con questi limiti, lo Schema offre un giusto equilibrio nel poter misurare l’impegno di un’organizzazione nell’implementare dei protocolli di sicurezza informatica, grazie ad un meccanismo semplice e che richiede bassi costi.

Cyber Essentials, in poco tempo, è diventato uno dei requisiti minimi richiesti per tutti coloro che vogliono essere fornitori in contratti che prevedano la trattazione di determinate informazioni ritenute sensibili o in contratti stipulati con Enti Governativi. Dall’Ottobre 2014, nel Regno Unito, il possedere la certificazione Cyber Essentials è diventato un obbligo di legge per questo genere di fornitori.

Dovremmo quindi poter adottare un modello analogo anche noi in Italia. Quale sarebbe la soluzione più semplice e veloce? È anche la più banale: tradurre tali documenti, che sono pubblici, adattandoli in qualche modo (se proprio necessario) alla nostra realtà italiana, operare opportune modifiche normative che regolino il modello e infine applicare il tutto sostenendo questa innovazione con una adeguata campagna di informazione che rafforzi anche la consapevolezza del problema.

Non sarebbe questa la panacea delle soluzioni, ma sarebbe comunque un inizio: costituirebbe un approccio per costruire un modello che risulti essere anche scalabile, un modello che sia soprattutto efficace. In tal senso, si dovrebbe gestire al meglio la creazione e il monitoraggio degli Enti che dovrebbero poi essere gli unici autorizzati a rilasciare le certificazioni Cyber Essentials “italiane”. Per monitoraggio si intende fare in modo di evitare che si crei un semplice meccanismo di certificazione fine a se stesso, ma piuttosto un meccanismo davvero virtuoso e concretamente utile. Nel modello UK, anche il processo di accreditamento degli Enti certificatori è stato normato.

Sono convinto che in Italia saremmo capaci di produrre modelli di certificazioni analoghi e che non abbiano nulla da invidiare a quelli dei nostri amici britannici.

Per chi, nel frattempo, voglia approfondire lo studio della documentazione, consiglio innanzitutto la lettura delle due guide sopra citate (consultabili cliccando sul loto titolo).

Infine, il sito web dove è scaricabile tutta la documentazione che regola in generale lo Schema Cyber Essentials è il seguente: www.cyberessentials.org.uk

 

 

Ultime notizie
sicurezza pmi
Intervista

Cybersicurezza: le PMI devono cambiare approccio e investire nelle competenze

Sicurezza e PMI, secondo Mario Di Luzio, Chief Marketing Officer di Tinexta Cyber, bisogna colmare il gap nell’ambito della cyber security. La chiave sta nel semplificare e rendere accessibili le procedure e le tecnologie per mettere in sicurezza le imprese, sia pubbliche che private, di piccole o grandi dimensioni.
di Massimiliano Cannata
sicurezza pmi
Futuro

Intelligenza Artificiale e Naturale, la sfida alla scuola e all’Università

L’Intelligenza Artificiale (AI) è una delle invenzioni più impattanti di sempre sull’Uomo, rispetto alla quale scuola e università devono adeguarsi per sfruttarne al meglio le potenzialità. Bisogna generare menti adatte al futuro attraverso un sistema scolastico capace di dotare la mente di strumenti concettuali nuovi e adeguati.
di Alberto Mattiacci*
Società

Social network e smartphone: una rivoluzione con effetti collaterali

Secondo i dati emersi dall’indagine Eurispes, i Social network più utilizzati sono WhatsApp (73,9%), Facebook (67,5%), Telegram (34,4%) e Twitter (25,9%). Preoccupa l’uso generalizzato dello smartphone a letto, mentre si guida o si cammina per strada, diffuso a tutte le età ma soprattutto tra i giovani.
di redazione
violenza sessuale
Criminalità e contrasto

Violenza sessuale, un reato in crescita negli ultimi 10 anni

La violenza sessuale in tutte le sue forme è un reato che negli ultimi 10 anni è cresciuto del 40% secondo il Servizio Analisi Criminale. Il reato coinvolge sempre più vittime e autori minorenni, sopratutto nella violenza di gruppo. Ma il dato in crescita potrebbe essere anche frutto di una maggiore propensione a denunciare tali reati.
di redazione
violenza sessuale
automotive
Innovazione

Settore automotive, una spinta verso innovazione e transizione verde

Il futuro della filiera automobilistica italiana va ripensato alla luce delle necessità dettate dalle transizioni verde e digitale. Nel settore automotive saranno, dunque, inscindibili i temi dell’innovazione e della sostenibilità ambientale e sociale per garantire competitività alle imprese nazionali.
di Claudia Bugno*
automotive
carceri abruzzo
Diritti umani

Carceri Abruzzo, carenza di operatori sanitari ma alte le ore settimanali per psicologi e psichiatri

La paura per i primi contagi da Covid-19 nelle celle sovraffollate ha drammaticamente posto l’accento sul tema della salute tra i detenuti italiani. Per...
di redazione
carceri abruzzo
Mezzogiorno e Germania Est
Mezzogiorno

Mezzogiorno e Germania Est: un confronto sempre attuale

“Mezzogiorno e Germania Est: un confronto” è il lavoro pubblicato dall’Eurispes per Rubbettino Editore su un parallelismo storico-economico da sempre evocato, quello tra la ex DDR e il Meridione d’Italia. Il lavoro evidenzia che gli investimenti nelle infrastrutture sono indispensabili ma non sufficienti per lo sviluppo delle zone più arretrate.
di redazione
Mezzogiorno e Germania Est
smart working
Lavoro

Chi si ricorda dello Smart Working?

Lo Smart Working è stato strategico per il mondo del lavoro durante la pandemia, e ha cambiato le abitudini di vita e lavoro di milioni di lavoratori e lavoratrici nel mondo. Ma oggi i tempi sono maturi per una riflessione più ampia sulle sue implicazioni e potenzialità.
di Renato Fontana*
smart working
pnrr
Europa

PNRR, individuare efficaci programmi d’investimento

Nella fase di piena attuazione dei diversi PNRR europei, l’efficace realizzazione dei programmi d’investimento può rappresentare un indicatore importante delle condizioni di salute economica degli stati membri e dell’Unione nel suo complesso.
di Claudia Bugno*
pnrr
formazione dei docenti
Formazione

Insegnanti e formazione, alla ricerca di nuove competenze: tra precariato e nuove prospettive

La formazione dei docenti mira a fornire una migliore offerta formativa per gli studenti, non solo in ambito strettamente didattico ma anche in termini di interculturalità, inclusione, educazione digitale. Ma sugli obiettivi prefissati dal Piano per la formazione dei docenti pesa il precariato strutturale della Scuola italiana.
di marialuisa pinna
formazione dei docenti