Il Centro di Ricerca Cis (Cyber Intelligence and Information Security) dell’Università degli Studi di Roma “La Sapienza” diretto dal professor Roberto Baldoni ed il Consorzio Interuniversitario Nazionale per l’Informatica (Cini) hanno pubblicato un framework nazionale di cyber security.
CHI HA PARTECIPATO
Si è da poco conclusa la consultazione pubblica ed è prevista per il 4 febbraio la presentazione ufficiale e la consegna del documento al governo. Il documento ha richiesto diversi mesi di lavoro ed ha avuto il supporto della presidenza del Consiglio dei ministri e ha visto la partecipazione di un alcune aziende, tra le quali Aon, Deloitte, Enel, Eni, Hermes Bay, Kpmg, Intellium, Pwc e Microsoft e di un gruppo di attori istituzionali come il Mise (Ministero dello Sviluppo Economico), Garante della privacy e Agid (Agenzia per l’Italia Digitale). Il testo è stato poi aperto al contributo di tutti gli operatori ed ai cittadini che hanno voluto contribuire ad emendare il Framework Nazionale all’interno di una consultazione pubblica che è terminata il 10 Gennaio scorso, con l’obiettivo di ottenere un documento altamente condiviso tra pubblico e privato.
LO SCOPO DEL DOCUMENTO
Lo scopo dichiarato del documento è quello di offrire alle organizzazioni pubbliche e private, piccole, medie e grandi, un approccio omogeneo per affrontare la cyber security, al fine di ridurre il rischio legato alla minaccia cyber. Il framework parte dal documento “Framework for Improving Critical Infrastructure Cybersecurity” emanato (a seguito di un executive order del presidente Usa Barack Obama per aumentare la resilienza delle infrastrutture critiche statunitensi) dal National Institute of Standards and Technology del governo americano (Nist), ma è stato ampliato ed attualizzato al contesto italiano. Il Framework nazionale si pone l’obiettivo di offrire una guida per incrementare il livello di cyber security per la piccola e media impresa italiana ed offre raccomandazioni per il management di grandi aziende e infrastrutture critiche su come organizzare al meglio i processi di cyber security risk management.
COSA C’È SCRITTO
Il framework vuole fornire un linguaggio comune per esprimere e classificare in maniera omogenea i rischi cyber. Offre riferimenti documentali certi per i vari ambiti anche riferimenti ad obblighi normativi italiani, ad esempio, per le Pubbliche amministrazioni quelli riportati dal Cad (Codice dell’amministrazione digitale). L’approccio non è legato a standard tecnologici, ma all’analisi del rischio. Nella prima parte si delinea un quadro del panorama italiano, si chiariscono i concetti di base e si fornisce un guida per l’applicazione in base alla dimensione di impresa. Nella seconda si arriva al nocciolo del framework e si contestualizza nella realtà italiana con alcune raccomandazioni per le infrastrutture critiche Infine, nella terza parte, vengono esposti lo scenario di applicazione, il mercato delle polizze assicurative, il contesto normativo italiano e gli aspetti pertinenti a pubbliche amministrazioni e settori bancario e finanziario.
A COSA SERVE
L’adozione del framework è volontaria e permette all’organizzazione di aumentare la propria resilienza verso attacchi informatici e di proteggere le proprietà intellettuali. Il framework rappresenta anche una operazione di consapevolezza sulla minaccia cyber, probabilmente la maggiore sino ad ora in Italia verso il settore pubblico e privato ed in particolare verso le alte sfere dirigenziali di queste organizzazioni, con il chiaro obiettivo di fare uscire il rischio cyber dai dipartimenti di Information Technology e di farlo sbarcare dentro i consigli di amministrazione. Per questo anche il linguaggio usato è volutamente non tecnico.