Cybersecurity, l'emergenza e il valore aggiunto

La sicurezza come valore aggiunto, un obiettivo da perseguire partendo da un'assunzione di responsabilità e consapevolezza: c'è molto lavoro da fare.
Cybersecurity, l'emergenza e il valore aggiunto
La sicurezza come valore aggiunto, un obiettivo da perseguire partendo da un'assunzione di responsabilità e consapevolezza: c'è molto lavoro da fare.

Per capire quanto ci sia bisogno di familiarizzare con il concetto di cybersecurity e con i relativi strumenti si può partire da un esempio concreto. Terna, gestore della rete di distribuzione dell’energia nel paese, riceve ogni giorno migliaia di tentativi di attacco, azioni messe in atto da soggetti esterni nel tentativo di individuare una vulnerabilità nel sistema di protezione per violarlo e sottrarre dati o comprometterne la stabilità. Una minaccia che, in scala, potenzialmente interessa ogni singola realtà, professionale e non.

Cybersecurity

Si inizia a parlarne in modo concreto oggi, anche in conseguenza di una necessità che sempre più assume i connotati di un’urgenza, ma il bisogno di nuovi layer di sicurezza è vecchio tanto quanto il processo di transazione verso l’integrazione tra il mondo offline e quello online. I dati che una volta erano custoditi all’interno di postazioni scollegate dalla grande Rete ora vengono affidati a server remoti, collocati in data center talvolta dall’altra parte del mondo. Non è dunque difficile capire da dove prenda vita il bisogno di proteggere le informazioni nel loro percorso, durante la loro trasmissione e una volta distribuite.

Emergenza e percezione del rischio

Per Juncker, presidente della Commissione Europea, quella relativa alla cybersecurity è la seconda emergenza che interessa il vecchio continente, dopo il cambiamento climatico e prima dell’immigrazione. Spesso le minacce prendono di mira la buona fede. Un tentativo di phishing colpisce proprio laddove non vi è una corretta percezione del rischio, dove la soglia di attenzione è pericolosamente bassa. Ecco perché, il primo step da compiere, è di tipo formativo e culturale: è necessario educare l’utente, metterlo al corrente dei pericoli che lo potrebbero interessare, fornendogli così gli strumenti adatti a individuali e riconoscerli. Non si commetta però l’errore di pensare che la cybersecurity possa essere delegata al fai-da-te: occorre far affidamento su soluzioni collaudate, solide e certificate.

Un nemico vicino e invisibile

L’approccio può non essere facile, soprattutto per coloro che hanno poca confidenza con termini quali innovazione e digitalizzazione. Vengono qui in aiuto iniziative di natura sia pubblica sia privata: il Framework Nazionale per la Cybersecurity pubblicato da CIS-Sapienza in collaborazione con CSNL (Cyber Security National Lab) offre le linee guida necessarie per individuare eventuali criticità e intervenire dove necessario, ottimizzando così anche i costi. Produttori hardware e software house mettono invece sul tavolo le loro competenze, per strutturare soluzioni personalizzate. Le due cose, va sottolineato, non si escludono a vicenda.

Se qualcosa di buono si può trarre dalla traumatica esperienza vissuta con ransomware come WannaCry è che il pericolo è sempre dietro l’angolo, spesso latente. Prendiamo in prestito le parole di Roberto Baldoni (direttore CSNL) pronunciate dal palco del Samsung Business Summit 2017.

Il tuo peggior nemico si trova a 100 ms da te.

Da questa consapevolezza si può partire per muovere il primo passo nella giusta direzione, così da non farsi trovare impreparati. Siamo all’alba di un’era in cui sempre più la gestione dei dati verrà affidata alle piattaforme cloud, agli algoritmi del machine learning e dell’intelligenza artificiale. Ignorare il cambiamento non servirà a frenarlo o impedirlo, anzi, predispone ad esserne travolti.

Quello nella direzione della cybersecurity dev’essere un percorso di sistema, da affrontare insieme, in cui ogni protagonista gioca un ruolo fondamentale, dalle realtà pubbliche a quelle private. Un solo anello debole rischia di comprometterne l’integrità collettiva. Per questo aziende e PA devono parlare lo stesso linguaggio, obiettivo perseguito nel nostro paese proprio con il Framework Nazionale citato poc’anzi.

La sicurezza come valore aggiunto

Ai produttori è affidato il compito di creare dispositivi e soluzioni con un approccio di tipo Security by Design, ovvero in grado di garantire un elevato livello di protezione fin dal day one, senza costringere l’utilizzatore a rincorrere patch e aggiornamenti correttivi solo dopo che una minaccia si è manifestata individuando e sfruttando una vulnerabilità. Alle imprese è invece delegata la responsabilità di non sottovalutare il rischio e, ancor più, di formare i propri team in modo tale da comprendere che la sicurezza è un valore aggiunto, non un peso. Solo così, attraverso una sinergia, sarà possibile affrontare le sfide che si pongono all’orizzonte in un’ottica lungimirante.

Ti consigliamo anche

Link copiato negli appunti