La Sicurezza Informatica delle PMI: il modello britannico soluzione per l’Italia?

sicurezza

Ogni anno, migliaia di sistemi informatici vengono compromessi. Un dato che dovrebbe far riflettere è il fatto che la maggior parte delle vittime subisce attacchi che potrebbero essere facilmente evitati e che sono condotti con software liberamente reperibili su Internet. Si tratta di uno scenario abbastanza diffuso e comune in tutte le Nazioni. Eurispes, nel Rapporto Italia 2015, ha affrontato la tematica con un approfondimento dal titolo “L’Italia e il Cyberspazio”.

A essere maggiormente colpite dagli attacchi informatici sono le Piccole e Medie Imprese (PMI), le quali spesso non affrontano adeguatamente il problema della sicurezza informatica sia per una storica assenza di cultura e sensibilità da parte dei vertici aziendali verso tale problema (il che si riflette in inadeguate dinamiche interne) sia per i ridotti budget a disposizione che scoraggiano investimenti nel settore.

Per questi motivi, le PMI diventano appetibili prede dello spionaggio industriale da parte di competitor stranieri e di gruppi criminali che compiono attacchi informatici al fine di danneggiare l’azienda, tramite estorsioni di denaro o furto di brevetti proprietari (con conseguenti ingenti danni alle imprese che si vedono saccheggiate, talvolta anche a loro insaputa, del cuore del loro business).

Se riflettiamo sul fatto che in Italia le PMI rappresentano oltre il 90% dell’industria nazionale e che esse sono a loro volte fornitrici di grandi imprese le quali, tutte, operano per lo Stato, allora iniziamo a comprendere come la tematica di garantire la sicurezza e, in definitiva, la sopravvivenza stessa di queste PMI diventa un vero e proprio interesse nazionale.

Negli ultimi tre anni il nostro Paese ha intrapreso un percorso volto a individuare prima una Strategia Nazionale per la Cyber Security e, successivamente, un vero e proprio Piano Operativo  che permetta di raggiungere gli Obiettivi Strategici fissati. Sono stati quindi compiuti passi avanti rispetto al passato, ma c’è ancora molto da fare. Uno dei prossimi passi sarà quello di produrre una dottrina di Cyber Security.

Prima di proseguire, vorrei fare una riflessione sul linguaggio: la Cyber Security. Personalmente preferisco il termine generico di Sicurezza Informatica. Atteso che, per gli addetti ai lavori, la scelta di una determinata traduzione non cambia la sostanza, c’è anche da dire che, soprattutto nella nostra realtà italiana, nel parlare di Cyber Security o Sicurezza Cibernetica si rischia, in alcuni casi, di dipingere il problema come un qualcosa di lontano, futuristico, difficilmente gestibile o comprensibile, facendoci dimenticare che spesso, invece, le minacce di cui si parla e gli attacchi che si subiscono hanno a che fare con le regole più basilari e i più comuni accorgimenti volti a garantire la Sicurezza delle Informazioni, in un’epoca dove tali informazioni sono quasi interamente digitali.

Parlare di Sicurezza Informatica potrebbe aiutare quindi a inquadrare il problema (da parte dei non addetti ai lavori) con un approccio mentale più aperto e più accessibile a tutti. La Sicurezza Cibernetica, in ultima istanza, non è altro che la Sicurezza delle Informazioni, informazioni che nella nostra epoca si muovono in reti geografiche nazionali e internazionali, o che sono contenute in dispositivi digitali, in Data Center che spesso non sono posizionati e gestiti all’interno dei confini fisici nazionali, bensì sono installati in Stati stranieri e controllati da Società estere. Dispositivi digitali e reti che stanno aumentando in quantità e dimensione ad un ritmo così frenetico da essere diventati totalmente pervasivi e quasi indispensabili in ogni gesto del nostro vivere quotidiano.

Tornando alla questione della sicurezza informatica delle PMI, nell’impegno condotto per trovare una soluzione condivisa, spesso il miglior approccio è anche il più umile, ossia quello di guardarsi intorno e vedere se e come altri Stati hanno affrontato o stanno affrontando il medesimo problema, e quali soluzioni hanno individuato e deciso di adottare.

Propongo una breve sintesi di quanto ha fatto il Governo Britannico nel cercare di aiutare le PMI a contrastare le moderne minacce informatiche. Ritengo che il modello britannico sia un ottimo strumento per diffondere la consapevolezza del problema e suggerire un approccio scientifico e strutturato, che includa quindi un metodo.

Uno degli obiettivi primari dichiarati nella Strategia Nazionale di Cyber Security del Governo Britannico è quello di “rendere il Regno Unito un luogo più sicuro per condurre business online”. Un messaggio così potente nella sua semplicità, che sintetizza il doppio beneficio offerto dalla sicurezza informatica per le Imprese: se da un lato viene garantita la protezione delle proprie informazioni, dall’altro diventa un elemento discriminante per poter condurre affari con successo, diventa cioè una vera e propria opportunità di business.

Determinare i benefici della sicurezza informatica e sapere da dove cominciare è però una sfida significativa per molte organizzazioni: per questo motivo, nel 2012 il Governo Britannico ha presentato prima la guida I 10 Passi per la Sicurezza Informatica”  e, successivamente, la guida Le Piccole Imprese: quello che c’è da sapere sulla sicurezza informatica”, il tutto al fine di incoraggiare le organizzazioni a riflettere se stessero davvero gestendo i loro rischi informatici.

In questi due documenti il Governo ha sottolineato la necessità per i dirigenti e i vertici delle aziende di prendersi carico di questi rischi e renderli parte integrante dei processi di gestione del rischio all’interno della strategia globale dell’azienda. Queste iniziative hanno ottenuto successo e guadagnato consensi ma, pur essendo state pubblicate le guide, è stato possibile riscontrare che un certo numero di controlli di sicurezza non erano comunque stati attuati, lasciando quindi le organizzazioni vulnerabili anche a potenziali attaccanti in possesso di bassi livelli di capacità tecnica.

Il Governo del Regno Unito ha ritenuto di adottare quindi uno standard organizzativo per la sicurezza informatica, come forma di tappa successiva alla citata guida “I 10 Passi per la Sicurezza Informatica”.

È nato così lo Schema che è stato denominato Cyber Essentials. Tale schema ha fatto seguito a una call for evidence, effettuata dal Governo Britannico insieme all’Industria, volta ad individuare uno standard organizzativo nella sicurezza informatica, che si è conclusa nel mese di Novembre 2013. Informazioni su questa call for evidence, incluso il documento finale, possono essere trovate al seguente link.

Lo studio condotto tra Governo ed Industria ha permesso di realizzare che nessuno degli standard organizzativi già esistenti per la sicurezza informatica soddisfaceva le esigenze dei due attori, ma è emerso anche che l’Industria era entusiasta di aiutare a sviluppare qualcosa di nuovo. Il Governo ha quindi lavorato con l’Industria per sviluppare questi nuovi requisiti, ricevendo collaborazione anche da altre organizzazioni, ordini professionali, istituzioni varie.

Il modello che è stato individuato permette alle organizzazioni, ai loro clienti e ai loro partner, di acquisire maggiore fiducia nell’esprimere delle capacità, misurabili in maniera oggettiva da terze parti, che permettano di ridurre il rischio posto dalle minacce di attacchi informatici operati da soggetti che abbiano bassi livelli di competenze tecniche. Lo schema offre un meccanismo affinché le organizzazioni possano dimostrare a clienti, investitori, assicuratori e a chiunque altro, di aver adottato queste precauzioni ritenute, appunto, essenziali.

Cyber Essentials offre solidi accorgimenti di base che qualsiasi genere di organizzazione può implementare e potenzialmente costruire. L’attuazione di queste misure può ridurre significativamente la vulnerabilità di un’organizzazione. Tuttavia, tali precauzioni non offrono la cosiddetta “pallottola d’argento” per rimuovere tutti i rischi informatici: per esempio, lo Schema non è stato progettato per affrontare gli attacchi più sofisticati, pertanto le organizzazioni che affrontano questo genere di minacce dovranno essere consapevoli di dover attuare misure aggiuntive come parte della loro strategia di sicurezza. Ciò che però fa lo Schema Cyber Essentials è quello di definire una serie precisa di controlli che garantiscono una sicurezza informatica di base e costo/efficace a favore di organizzazioni di tutte le dimensioni; un insieme di controlli che, se correttamente implementati, forniscono una protezione di base dalle forme più diffuse di minacce provenienti da Internet. Il modello, essendo stato progettato in consultazione proprio con le PMI, oltre ad essere efficace è anche realizzabile ad un basso costo.

Il processo di certificazione può condurre a due livelli di certificazione: Cyber Essentials e Cyber Essentials Plus. Le due opzioni offrono alle aziende una scelta circa il livello di sicurezza che desiderano ottenere e il costo per farlo.

È importante inoltre prendere atto che la certificazione fornisce solo un’istantanea delle pratiche di sicurezza informatica dell’organizzazione al momento della valutazione, mentre il mantenere una solida posizione di sicurezza informatica richiede misure aggiuntive come un approccio più profondo nella gestione del rischio, così come aggiornamenti costanti allo schema, come ad esempio può essere la costante installazione di patch ai bug di volta in volta individuati nei vari sistemi. Pur con questi limiti, lo Schema offre un giusto equilibrio nel poter misurare l’impegno di un’organizzazione nell’implementare dei protocolli di sicurezza informatica, grazie ad un meccanismo semplice e che richiede bassi costi.

Cyber Essentials, in poco tempo, è diventato uno dei requisiti minimi richiesti per tutti coloro che vogliono essere fornitori in contratti che prevedano la trattazione di determinate informazioni ritenute sensibili o in contratti stipulati con Enti Governativi. Dall’Ottobre 2014, nel Regno Unito, il possedere la certificazione Cyber Essentials è diventato un obbligo di legge per questo genere di fornitori.

Dovremmo quindi poter adottare un modello analogo anche noi in Italia. Quale sarebbe la soluzione più semplice e veloce? È anche la più banale: tradurre tali documenti, che sono pubblici, adattandoli in qualche modo (se proprio necessario) alla nostra realtà italiana, operare opportune modifiche normative che regolino il modello e infine applicare il tutto sostenendo questa innovazione con una adeguata campagna di informazione che rafforzi anche la consapevolezza del problema.

Non sarebbe questa la panacea delle soluzioni, ma sarebbe comunque un inizio: costituirebbe un approccio per costruire un modello che risulti essere anche scalabile, un modello che sia soprattutto efficace. In tal senso, si dovrebbe gestire al meglio la creazione e il monitoraggio degli Enti che dovrebbero poi essere gli unici autorizzati a rilasciare le certificazioni Cyber Essentials “italiane”. Per monitoraggio si intende fare in modo di evitare che si crei un semplice meccanismo di certificazione fine a se stesso, ma piuttosto un meccanismo davvero virtuoso e concretamente utile. Nel modello UK, anche il processo di accreditamento degli Enti certificatori è stato normato.

Sono convinto che in Italia saremmo capaci di produrre modelli di certificazioni analoghi e che non abbiano nulla da invidiare a quelli dei nostri amici britannici.

Per chi, nel frattempo, voglia approfondire lo studio della documentazione, consiglio innanzitutto la lettura delle due guide sopra citate (consultabili cliccando sul loto titolo).

Infine, il sito web dove è scaricabile tutta la documentazione che regola in generale lo Schema Cyber Essentials è il seguente: www.cyberessentials.org.uk

 

 

Ultime notizie
nessuno escluso
Giustizia

“Nessuno escluso “, la Costituzione all’interno delle carceri

Grazie al progetto “Nessuno escluso “ la Costituzione arriva all’interno delle carceri. I detenuti potranno avere accesso a testi specifici su argomenti normativi e costituzionali. Lo scopo è rendere i detenuti partecipi del proprio percorso attraverso una una maggiore comprensione del sistema giudiziario italiano.
di redazione
nessuno escluso
turismo
Turismo

Il turismo italiano in mani straniere, il Fisco ci rimette 2 miliardi di euro ogni anno

Il turismo italiano è in gran parte in mani straniere: i primi gruppi italiani Th Resorts e Gruppo Una si posizionano solo al 7° e 8° posto. Ciò determina una perdita per il Fisco di 2 miliardi ogni anno, e non solo: come cittadini perdiamo gran parte dei benefici del turismo, assumendone al 100% le ricadute negative.
di Osservatorio sulle Politiche fiscali dell’Eurispes
turismo
informazione
Informazione

È davvero finita l’era della carta stampata? L’informazione tra Social media e IA

Un paio di decenni fa ci si chiedeva come la Rete avrebbe cambiato l’informazione; oggi, la stessa domanda si pone nei confronti dell’IA. Ma il dato più evidente, tra tutti, è il cambiamento nella fruizione di notizie: calano le vendite dei quotidiani cartacei, cresce la percentuale di chi legge notizie online, o addirittura attraverso i Social Network.
di Roberta Rega*
informazione
scuola
Intervista

″Ricostruire il ruolo sociale degli insegnanti”, intervista al Presidente Luciano Violante su scuola e istruzione

Il Presidente Luciano Violente dialoga su scuola e istruzione nel dibattito intrapreso dall’Osservatorio dell’Eurispes sulle Politiche educative. Tra le priorità individuate c’è la ricostruzione del ruolo sociale degli insegnanti, con una retribuzione più alta e valutazioni periodiche sul loro operato.
di Massimiliano Cannata
scuola
matrimoni misti
Società

Immigrazione: in crescita i matrimoni misti in Italia

I matrimoni misti testimoniano una società italiana sempre più multietnica. Nel 2022 sono il 15,6% dei matrimoni totali, 3 su 4 sono tra italiani e spose straniere, provenienti soprattutto dall’Unione europea e dall’Europa centro-orientale. Le unioni miste sono diffuse soprattutto al Nord e al Centro, meno al Sud.
di Raffaella Saso*
matrimoni misti
quoziente familiare
Fisco

Quoziente familiare e incentivi alla natalità

Il quoziente familiare potrebbe figurare nella prossima legge di Bilancio, al fine dichiarato di dare più risorse a chi ha figli. L’evoluzione della giurisprudenza e della società dimostra infatti che l’attuale modello impositivo non è in grado di tutelare una società in cui i figli sono ormai merce sempre più rara.
di Giovambattista Palumbo*
quoziente familiare
furti
Criminalità e contrasto

Furti e borseggi su autobus, treni e metro, un trend in crescita dal 2021

Furti in metropolitana, autobus e treni: il Report del Servizio Analisi Criminale documenta nel tempo e nella geografia tali reati che affliggono i mezzi pubblici. Roma è prima per furti in metropolitana, seguita da Milano, mentre i furti in treno avvengono soprattutto nelle province di Milano, Roma e Firenze.
di redazione
furti
overtourism
Turismo

Overtourism, serve un piano nazionale a lungo termine

L’overtourism è una realtà che sta modificando piccole e grandi città in Italia e nel mondo. La soluzione ai flussi eccessivi di turisti non sta nelle delibere amministrative dei singoli Enti locali, ma va cercata in un piano strutturale a lungo termine, di respiro nazionale, contro la svendita dei nostri centri storici al turismo “mordi e fuggi”.
di Osservatorio sulle Politiche fiscali dell’Eurispes
overtourism
Europa

Immaginare un’Europa a due velocità

Il 6° incontro del Laboratorio Europa dell’Eurispes, coordinato dal Prof. Umberto Triulzi, si è svolto a Roma lo scorso luglio Tra i...
di redazione
turismo
Turismo

L’industria del turismo non va combattuta ma difesa dalle degenerazioni

Il nostro Paese è tra i più visitati, con un’offerta che va dal turismo culturale, a quello balneare, montano, e finanche religioso ed eno-gastronomico. Una risorsa che va guidata e difesa dalle degenerazioni, per un settore che ha fatto registrare 851 milioni di presenze nel 2023, con un impatto economico di oltre 84 miliardi di euro.
di Osservatorio sulle Politiche fiscali dell’Eurispes
turismo