Quali sono le azioni da programmare e quali vantaggi si ottengono dal progettare una strategia consapevole di sviluppo digitale?
Prima di rispondere, partiamo dal fatto che la sicurezza cibernetica nel nostro Paese è tornata, nelle ultime settimane, prepotentemente alla ribalta, sia per gli attacchi informatici perpetuati verso strutture pubbliche e private, che per le azioni e le reazioni istituzionali che sono tuttora in corso.
L’emergenza cibernetica in Italia ha messo in allerta il sistema di sicurezza nazionale, anche a causa della guerra in Ucraina, come recentemente dimostrato con gli attacchi a siti di istituzioni italiane rivendicati dal collettivo hacker Killnet.
Il governo, di tutta risposta, si è dimostrato pronto a spingere sull’acceleratore con la prima strategia onnicomprensiva per la cybersicurezza italiana, approvando un documento con 85 obiettivi che, fino al 2026, costituiranno la roadmap per la sicurezza digitale italiana.
Azioni governative coerenti con quanto già le istituzioni a livello europeo hanno evidenziato con la Direttiva NIS, il provvedimento che uniforma dal 2018 il livello di sicurezza informatica per gli operatori essenziali degli stati membri, che però merita una revisione.
Nonostante siano passati solo quattro anni, lo scenario attuale geopolitico è fortemente mutato, e benché l'Agenzia Nazionale per la Cybersecurity e l'infrastruttura in materia di Perimetro di Sicurezza Nazionale Cibernetica (PSNC) abbiano sicuramente contribuito a garantire la continuità delle infrastrutture a rischio del Paese, ora ci si è resi conto che l'Italia non è un paese "digitalmente indipendente".
E proprio per queste ragioni, in base al recente "decreto Ucraina", le Pubbliche Amministrazioni devono sostituire i prodotti di sicurezza informatica forniti da provider legati alla Russia, perché non più in grado di garantire aggiornamenti e soluzioni tempestive a causa della guerra, per prevenire pregiudizi alla sicurezza delle reti, dei sistemi informativi e dei servizi informatici pubblici.
Su questo presupposto, ad esempio, l'Agenzia ha emesso un comunicato che impone a tutte le PA di non utilizzare Kaspersky come antivirus, e ciò è solo l'ultima conferma di una colonizzazione digitale in corso da decenni: basti pensare al tanto discusso progetto di un cloud, nazionale prima ed europeo poi, che fatica, a più di un anno dalla sua discussione, a prendere forma.
Non solo gas ed energia, quindi, ma anche per le forniture digitali l'Italia ha dimostrato di aver bisogno di affidarsi ad altri paesi.
Dipendenza tecnologica, soprattutto informatica, che non è una nuova problematica, dato che se ne discute sin dai tempi appena successivi alla scomparsa di Adriano Olivetti.
Un processo di "digitalizzazione indipendente e responsabile" avrebbe saputo garantire una maggior sicurezza sia dei sistemi sia dei dati, grazie alla scelta di strumenti affidabili e certificati?
In parte. Sono necessarie anche altre componenti, come di seguito evidenziamo.
Ad esempio, le previsioni normative in materia di Perimetro di Sicurezza Nazionale Cibernetica, richiedono ai soggetti inclusi nel perimetro (e presto ai loro fornitori) una mappa della loro architettura informatica e la certificazione dei prodotti e delle componenti da parte di enti accreditati (CVCN e Agenzia stessa), anziché indicare dapprima a quali standard le infrastrutture sotto esame debbano attenersi.
Da tempo ormai il diritto "insegue" gli sviluppi tecnologici, oggi però è richiesta una lungimiranza utile per costruire un'ossatura digitale efficiente, sicura e socialmente responsabile verso persone e tessuto socio-economico.
Se un obiettivo di questo tipo continua a rimanere quasi utopico nel settore pubblico, dal settore privato si può e si deve mandare un segnale, anche alla luce della stretta cooperazione che deve accompagnare settore pubblico e privato secondo lo spirito che ha promosso la Direttiva NIS stessa.
Le azioni da programmare
Diamo per scontato che oggi progettare un'architettura aziendale sicura ed efficace sia possibile, e che le imprese investano in analisi dei processi e sulla formazione delle persone prima ancora che su componenti, tecniche e sistemi utilizzati a garanzia di una sicurezza digitale.
Sappiamo che tutti hanno una visione orientata a delle scelte consapevoli e finalizzate ad una miglior conservazione dei dati dei propri clienti, ma ciò su cui spesso non si pone l'attenzione, è la garanzia di un ritorno in termini di brand-reputation e posizionamento delle aziende sul mercato delle scelte fatte in questa direzione.
Però ci sono degli elementi che fanno la differenza...
Come l'educazione al cambiamento, lo sviluppo di una capacità nelle persone di una visione olistica, d'insieme e dialogante tra fattori fondamentali per creare ambienti di lavoro sicuri.
E soprattutto l'attenzione al mitigare la "dipendenza digitale".
Solo in questo modo sarà realizzabile una cultura d'impresa del rischio che si diffonde nei gangli delle organizzazioni pubbliche, private e del tessuto socio-economico del Paese.
Oppure meglio continuare a mettere il carro davanti ai buoi ?
Pensiamo proprio di no, ecco perché ci interessa conoscere chi ha programmato le azioni indicate, per diffondere e rendere visibile il cambiamento in atto, scrivici.