Il Framework nazionale di cyber security – il primo documento italiano che definisce la metodologia (e non la tecnologia) che un’azienda (grande o piccola che sia) può seguire per rendere più sicura la sua infrastruttura informatica di pubblico e privati – è stato presentato il 4 febbraio nell’aula magna dell’università La Sapienza di Roma, alla presenza di esponenti di tutte le realtà del Paese interessate: governo, accademia, aziende, istituzioni, militari, stampa (il testo è disponibile online).
ECONOMIA È CYBERSPAZIO
Oggi economia e cyberspazio – si è detto durante l’evento – sono parole con significati diversi, la loro distanza varia a seconda della ragione del mondo in cui ci si trova, ma ogni giorno questi termini si avvicinano e fra qualche anno saranno sinonimi nel dizionario che declina la morfologia del futuro. Lo sanno bene negli Usa, dove da pochi giorni il presidente Usa Barack Obama ha annunciato che l’informatica sarà insegnata nelle scuole elementari “per fare in modo che la nuova generazione di studenti americani abbia le competenze per far prosperare il Paese in un’economia digitale”. Sviluppare la cyber security nella Penisola significa dunque anche far crescere l’economia nazionale e proteggere gli interessi nazionali: nel cyberspazio non c’è distinzione tra pubblico e privato, civile e militare; il dualismo è intrinseco.
A COSA SERVE?
Per venire incontro a queste esigenze di sicurezza nasce il documento realizzato dal Centro di cyber intelligence della Sapienza (diretto dal professor Roberto Baldoni – nella foto) e dal Cini, il Cyber security national lab. Il Framework permette infatti di valutare la propria cyber postura, ovvero lo stato attuale dell’azienda o dell’ente, e li indirizza verso quello che dovrebbe essere l’obiettivo di sicurezza minima da raggiungere, indicando tutti i passaggi da compiere per mitigare il rischio di perdere parte del suo valore (reputazione, brevetti, interruzione, eccetera). Il tutto contestualizzato all’interno del quadro normativo nazionale ed arricchito da linee guida per migliorare la sicurezza nel cyberspazio. La protezione del cyberspace è condizione necessaria per la prosperità economica, le nazioni che non avranno gli strumenti per intercettare questa rivoluzione saranno preda delle altre. Nel Framework viene suggerita un’idea in particolare: la protezione cyber viene considerata uno standard per valutare la caratura di un Paese o di un’impresa.
UN MANUALE PER LE AZIENDE
In parole povere il documento è un insieme di regole da seguire, su base volontaria, per migliorare in modo strutturato la sicurezza informatica aziendale: una serie di indicazioni (non legate a standard tecnologici) che offrono gli strumenti e le procedure a disposizione per soggetti pubblici e privati che sono sempre più esposti al rischio di attacchi informatici. Da questo punto di vista, il Framework altro non è che uno strumento di auto analisi di un’organizzazione.
NON SOLO PER AZIENDE ICT
Il testo, realizzato sull’esempio di quello americano e adattato all’Italia, è stato descritto come uno strumento dinamico, un documento “vivo”, che può e deve essere aggiornato nel tempo, perché il cyberspazio cambia a grande velocità. Si rivolge a tutte quelle aziende che hanno da perdere nella guerra cyber, non solo quelle ICT, anzi specialmente a quelle non ICT. In questo contesto, le aziende italiane sono un ghiotto bersaglio perché il loro vantaggio competitivo è spesso l’idea originale, la proprietà intellettuale, il segreto industriale; proprio quelle risorse che più facilmente di altre si prestano ad essere rubate attraverso la Rete (emblematico il caso di un’azienda australiana che, a distanza di pochi mesi da un incidente informatico, ha ricevuto in assistenza i suoi prodotti contraffatti sul mercato cinese).
ESEMPI PRATICI
Il Framework raccoglie decine di regole (attualmente 98) che devono essere poi contestualizzate all’interno di un determinato ambito. Ad esempio nel campo aerospaziale potrebbe bastare solo un sottoinsieme (perché alcune potrebbero essere considerate ridondanti), quelle rilevanti possono essere individuate (ad esempio dai regolatori di settore) nell’esperienza specifica del settore che le vuole utilizzare. A questo punto l’azienda che opera nel settore aerospaziale verifica ognuna di quelle regole e valuta se hanno una priorità alta, media o bassa e le applica (seguendone la priorità) con il livello di maturità che ritiene più vicino alla sua realtà quotidiana ed all’investimento che può realizzare. Il Framework è quindi anche una “lingua comune” che potrà semplificare le interazioni tra aziende, generando un’accelerazione dell’economia del Paese.
A CHI SI RIVOLGE
Il Framework si rivolge a più soggetti: innanzitutto le piccole e medie imprese, che rappresentano la spina dorsale del Paese, ma anche alle grandi imprese, alle infrastrutture critiche, ai regolatori di settore, alla pubblica amministrazione. Fornisce un quadro comune a diverse autorità che disciplinano il campo, in modo da poterlo regolamentare in modo coerente (Garante della Privacy, AGID, PCM, eccetera). In questo modo sarà possibile incastonare le varie regolamentazioni dei diversi operatori nazionali in un’unico quadro, evitando sovrapposizioni ed operando in modo omogeneo.