Gli aspetti che riguardano la sicurezza informatica sono condizione indispensabile per minimizzare e contenere gli effetti dei cyber-attacchi. Tuttavia, non si può prescindere dalla capacità di mettere in atto misure di protezione in rapporto alla tipologia e al valore dei dati che un’organizzazione – pubblica o privata – è tenuta a proteggere.
Le attività di risk management e il tema della cybersecurity vanno infatti guardati da una più ampia prospettiva, di sostenibilità e responsabilità sociale. In sintesi, la sicurezza deve prevedere una vera e propria strategia di Data Governance: quest’ultima non può essere vista soltanto come una componente accessoria.
Secondo il nostro punto di vista è questa la strada maestra per impostare policy di cybersecurity efficaci. Gli obiettivi devono tutelare brand e reputazione delle aziende, ma soprattutto le identità e la privacy digitale di persone e cittadini.
Non è un percorso a senso unico: come dimostrano gran parte delle azioni destabilizzanti portate a termine dal crimine informatico, non ultimo il caso dell’attacco al CED della Regione Lazio, ad emergere in tutta la sua portata è sempre e comunque il tema della consapevolezza, che deve essere condiviso e compreso da tutte le parti coinvolte, fornitori dei servizi e utenti, in tutte le loro declinazioni.
In tema di cybersecurity quanto finora realizzato dalle aziende non ha affrontato con sufficiente impegno il punto di debolezza primario di un qualsiasi sistema di difesa: il fattore umano. Ovviamente, la consapevolezza non si può normare: spetta alle aziende diffondere conoscenza e know-how su regole e comportamenti sociali e lavorativi che possano contribuire alla definizione di una Data Protection associata a principi di sostenibilità intesi nella loro più ampia accezione.
Forse qualcosa sta cambiando. Il 4 agosto è stata pubblicata in Gazzetta Ufficiale la Legge di conversione del DL “Cybersicurezza”, dando vita ufficialmente all’Agenzia Italiana per la Cybersicurezza, completando finalmente la strategia di cyber-resilienza nazionale già definita all’interno della disciplina sul Perimetro Nazionale di Sicurezza Cibernetica di cui abbiamo dato più volte notizia.
L’obiettivo dichiarato da fonti governative è quello di accrescere il livello di consapevolezza, sia nel settore pubblico che in quello privato, sui rischi e sulle minacce informatiche. Ma la mancanza di una cultura del rischio legato a questi temi, a qualsiasi livello, può essere una backdoor impossibile da proteggere, e dare luogo ad attacchi e vulnerabilità altrettanto impossibili da evitare.
Consapevolezza non significa solo avere una vaga percezione del rischio e adottare best practices per minimizzarlo, questa è soltanto la componente “misurabile” in termini di danni evitati. Per una consapevolezza effettiva, serve diffondere una cultura non soltanto per quello che i dipendenti non devono fare, ma anche e soprattutto trasmettere le capacità per comprendere quello che stanno proteggendo.
Solo con una visione completa e responsabile sul valore – e non solo sui rischi – dell’operare nell’infosfera digitale, le persone saranno in grado di prendere le decisioni migliori, in modo autonomo e in breve tempo anche per sventare un possibile attacco.
Il governo ha dunque scelto di accelerare con la creazione dell’Agenzia per la Cybersicurezza Nazionale (ACN) – anche alla luce dei recenti avvenimenti – identificandola come autorità di riferimento nazionale e attribuendole “personalità giuridica di diritto pubblico ed è dotata di autonomia regolamentare, amministrativa, patrimoniale, organizzativa, contabile e finanziaria”.
Nei considerando del DL, si capisce bene il perché di questa improvvisa accelerazione: la necessità di attuare al più presto il Piano Nazionale di Ripresa e Resilienza, che vede 620 milioni destinati dalla cybersecurity, e di tradurre in termini pratici le ambizioni di digitalizzazione nazionali garantendo un adeguato livello di sicurezza sono state le due ragioni che hanno spinto alla creazione dell’ACN in tempi brevi.
Le funzioni dell’Agenzia
L’ACN, nella maggior parte delle sue funzioni, opera in forza di una delega dal Presidente del Consiglio. Tra le funzioni delegate, l’Agenzia:
– Esercita le funzioni di Autorità nazionale in materia di cybersecurity a tutela degli interessi nazionali e delle funzioni essenziali dello Stato da minacce cibernetiche;
– Sviluppa le capacità nazionali di prevenzione, monitoraggio, rilevamento e mitigazione per far fronte agli incidenti, dotandosi del supporto del CSIRT nazionale e del CVCN;
– Contribuisce all’innalzamento dei livelli di sicurezza dei sistemi ICT dei soggetti inclusi nel Perimetro di Sicurezza Nazionale Cibernetica;
– Ha il compito di predisporre la strategia nazionale di cybersecurity;
– Coordina le attività dei soggetti pubblici coinvolti in materia di cybersicurezza a livello nazionale;
– Promuove la realizzazione di azioni comuni volte ad assicurare la sicurezza del Paese.
Ancora, l’Agenzia sarà “Autorità nazionale competente e punto di contatto unico in materia di sicurezza delle reti e dei sistemi informativi, per le finalità di cui al decreto legislativo NIS, a tutela dell’unità giuridica dell’ordinamento, ed è competente all’accertamento delle violazioni e all’irrogazione delle sanzioni amministrative previste dal medesimo decreto”.
Infine, l’ACN sarà Autorità Nazionale di Certificazione, al pari del CVCN, e assume tutti i compiti in materia di certificazione della sicurezza cibernetica e relativi alla realizzazione del Perimetro di Sicurezza Nazionale Cibernetica in precedenza attribuiti al MiSE.
L’agenzia, nei primi mesi del suo operato, catalizzerà quindi su di sé tutta una serie di operazioni e compiti che fino a questo momento sono stati frammentati tra ministeri e altre agenzie: ma sarà davvero in grado di diffondere consapevolezza e responsabilità dentro e fuori dalle organizzazioni?
Richiedi il download del primo quaderno di ReD OPEN per scoprire quali sono le minacce più diffuse e come difenderti.
Foto di Pete Linforth da Pixabay