La sicurezza come investimento possibile anche per le piccole e medie imprese, è questa la vera novità del rapporto sulla cybersecurity del 2016
Il rapporto pubblicato con cadenza annuale è giunto alla sua quarta edizione grazie al contributo di esperti ed aziende private come Huawei, Microsoft, Kaspersky, ed HPE.
Il documento include per la prima volta 15 controlli di sicurezza considerati come essenziali dagli autori e che sono integrati da un guida alla loro implementazione.
Come illustrato dal professor Roberto Baldoni, direttore del Laboratorio nazionale di Cyber security, e di recente nomina a coordinatore del Comitato nazionale per la ricerca in cyber security, questi controlli sono il frutto di un lavoro iniziato anni addietro quando si decise di adottare un framework comune in materia cyber security che si potesse adattare alla realtà Italiana.
Fu preso a riferimento il Framework for Improving Critical Infrastructure Cybersecurity pubblicato dal NIST (NIST: National Institute of Standards and Technology), un lavoro in continua evoluzione proprio per la dinamicità della problematica trattata. Lo scenario delle minacce cibernetiche è infatti caratterizzato da rapidi mutamenti ed è quindi necessario monitorare e seguire tale evoluzione con un team di esperti affinché si possano applicare le necessarie contromisure per la salvaguardia delle infrastrutture del nostro paese.
E proprio il tema della salvaguardia degli “asset” del paese è uno dei nodi principali che ha portato alla genesi del lavoro che stiamo ora discutendo, ovvero il rapporto “Italian Cyber Security Report 2016”.
Il Framework Nazionale per la Cybersecurity e le PMI
Il Framework Nazionale per la Cybersecurity pubblicato all’inizio del 2016 seppure prezioso per aziende medio grandi ed operatori di infrastrutture critiche nazionale, si è dimostrato di difficile adozione da parte delle PMI che tuttavia rappresentano la struttura portante dell’economia del paese.
È un dato di fatto che le piccole imprese siano bersaglio facile per varie categorie di attori malevoli, ma al contempo detengono una porzione significativa di quel know-how che rappresenta un asset strategico per la nostra nazione.
Come più volte sottolineato se il “sistema Italia”, e quindi gli aspetti di cyber security, deve muoversi in maniera organica, occorre diffondere cultura in materia cyber security per far si che persino le piccole imprese possano migliorare la propria postura di sicurezza ed aumentare la resilienza complessiva del nostro paese dinanzi all’incessante azione delle minacce cibernetiche.
Un sistema di PMI vulnerabili ed esposte alle minacce cibernetiche è equiparabile ad una emorragia in un organismo apparentemente sano, che diviene quindi punto di ingresso per altre minacce e porta alla lenta distruzione dell’apparato complessivo.
Ecco quindi che si decide di lavorare ad un set minimo di controlli che possa rispondere a queste esigenze, un insieme di regole derivate dal Framework nazionale per la cyber security, ma che si rivolge alle piccole, medie e micro imprese.
In realtà il rapporto si rivolge ad organizzazioni di qualunque dimensione che tuttavia non hanno una struttura interna dedicata alla cybersecurity.
I 15 controlli essenziali per la sicurezza presentati dal report (e i loro costi)
Nel rapporto quindi troviamo i 15 controlli essenziali riportati nella seguente tabella:
Cybersecurity, quanto mi costi?
È lecito chiedersi quanto costa ad un’impresa l’implementazione di tali controlli. Non amo fornire questo genere di dati perché si prestano a manipolazioni ed alimentano spesso sterili discussioni, tuttavia essendo state fornite delle stime ritengo doveroso condividerle.
Paliamo di un costo iniziale di 2.700 euro per una piccola impresa ed una spesa annua di mantenimento di circa 7.800 euro. Il costo sale per una media impresa che spenderà circa 4.650 euro di costi iniziali e 19.800 euro di costi annui.
Per i più tali cifre potrebbero sembrare comunque esose per le imprese, tuttavia considerando un arco temporale di 3-5 anni, possiamo da subito valutare l’entità del risparmio economico potenziale.
Pensiamo ad esempio al danno medio stimato a cui le aziende andrebbero incontro in un quinquennio che è stato stimato in circa 175mila, i costi ipotizzati in applicazione dei controlli sarebbero del 75% più bassi per le micro imprese, e del 41% per le medie rispetto al danno stimato.
La sicurezza come investimento
La vera novità del rapporto è questa: pensare alla sicurezza come a un investimento. Un cambio culturale che deve accompagnare la crescita del paese.
Ritorniamo al rapporto, ed alla sua struttura. Per ciascuno dei controlli è fornita una “guida all’applicazione dei controlli” ovvero una sezione che descrive il controllo, fornisce esempi di incidenti noti, e soprattutto che mette evidenzia le corrispondenze con i controlli presenti nel Framework Nazionale di Cyber Security.
Non aggiungo altro credo valga la pena leggere il rapporto “2016 Italian Cybersecurity Report”, l’invito a tutti è quello di prendere in seria considerazione gli aspetti di sicurezza del nostro sistema informativo di cui ciascuno di noi è custode spesso inconsapevole.
Chiudo con la frase pronunciata dal direttore generale del Dis, il prefetto Alessandro Pansa, nel corso della cerimonia di presentazione del rapporto: “Per entrare nella modernità dobbiamo mettere in sicurezza il paese anche nel cyberspace”. Non credo ci sia altro da aggiungere.
