La necessità di progettare strategie per mettere al riparo Pubbliche Amministrazioni e aziende dai rischi legati a possibili attacchi informatici non è una “nuova emergenza”, ma quasi. Nell’ultimo rapporto Clusit gli attacchi gravi nel 2021 sono aumentati del 10% rispetto all’anno precedente, un quinto in Europa, mentre per lo X-Force Threat Intelligence Index 2022 di Ibm il 47% degli incidenti nel nostro Paese ha colpito l’industria manifatturiera, un dato raddoppiato rispetto a quello globale del 23,2%.
La situazione si è complicata con l’avvio del conflitto russo-ucraino che usa anche armi informatiche, dimostrando che la cybersecurity è un tema centrale per l’intera società. Per questo è particolarmente vero quello che dice Alfonso Fuggetta, del Cefriel-Politecnico di Milano: «Non si possono progettare interventi mirati a mettere al sicuro le infrastrutture informatiche in emergenza. La cybersecurity è un processo e come tale va gestito in modo continuativo».
Per il Cefriel le sfide da vincere sono tre: la comprensione delle minacce alla sicurezza informatica; la promozione della cultura cyber anche verso i non specialisti; la riduzione del rischio cyber lavorando anche sul fattore umano. E queste sfide sono declinate in 10 punti:
1) Consapevolezza. La comprensione del rischio effettivo e potenziale è la leva che servirebbe a PMI, grandi imprese e Pubbliche Amministrazioni per definire priorità di investimento nella protezione del proprio patrimonio informativo aziendale.
2) Strategia. Sviluppare la giusta visione di insieme (ad esempio, chiedersi se con lo smart working sistematico dei dipendenti si sono aggiunte falle di sicurezza e dove).
3) Visione olistica. Guardare alla sicurezza informatica come un processo non come un prodotto, agendo in modo sostenibile e decidendo dove investire nel modo corretto le proprie risorse economiche.
4) Pianificazione. Le imprese dovrebbero agire con un approccio di lungo termine e, al contempo, eseguire interventi quick-win.
5) Interdisciplinarità. Per aumentare la resilienza ai rischi cyber occorre interdisciplinarità, perché il cybercrime stesso agisce con attacchi che si basano sull’amalgama di molte discipline.
6) Elemento umano. Azioni di awareness per chi può subire un attacco cyber, di training e learning by doing per chi deve difendere l’azienda e per chi deve decidere, avendo un piano formativo strutturato e sostenibile, in cui il Ciso sia “interconnesso” con l’azienda e le figure apicali.
7) Allenamento. Testare le difese aziendali, preparare il team di Security Incident Response e stimolare la sua “memoria muscolare” (l’agilità cognitiva) in situazioni di stress.
8) Sostenibilità. Parlare di sostenibilità della cybersecurity non significa riferirsi agli aspetti energivori, ma approcciare la tematica in termini di sostenibilità di governance, tecnologica, economica, di processo, umana e di conoscenze.
9) Comunicazione. Necessario ottimizzare la comunicazione tra i gruppi dirigenziali, i comitati consultivi, i team di leadership esecutiva, i CISO, le vittime, anche utilizzando la stampa ed i canali social. Un compito che spesso affronta il CISO stesso, senza una specifica preparazione.
10) Aggiornamento costante delle competenze.
Occorre tenere allineate ed aggiornate le competenze di un gran numero di figure professionali, con tecniche di formazione ed apprendimento efficaci. Insomma occorre un programma di azioni di breve, medio e lungo termine, basato sulle best practice cyber ma calato in modo sartoriale sulla propria realtà perché ogni azienda presenta rischi specifici.