Cybersecurity Summit: competenze cercasi

I temi delle competenze in materia digitale e di sicurezza informatica, il ricorso alla esternalizzazione per la gestione informatica dei dati e ai servizi di cybersecurity specializzati, sono stati affrontati nel corso del Cybersecurity Summit dedicato alla “nuova cybersecurity nazionale alla prova dei fatti” organizzata da Digital 360. La giornata mirava all’aggiornamento sulle minacce ed attacchi verso le aziende, all’analisi delle norme e delle misure di sicurezza in corso e al confronto sulla efficacia della nuova strategia nazionale, per determinare i miglioramenti auspicabili. Sono emerse difficoltà ma anche spunti per il futuro della sicurezza per grandi aziende e PMI.

Alla ricerca delle competenze mancanti

È stato Gabriele Faggioli, presidente Clusit, ad evidenziare per primo come manchino le giuste competenze nella sicurezza informatica e come sia necessario che l’università si prodighi per aumentare la preparazione, le competenze e gli skill in questo ambito: gli attacchi sono in progressivo aumento, come pure le vittime, le aziende fanno fatica a trovare professionisti davvero preparati.

In particolare è stato evidenziato come siano necessarie competenze specializzate interne aziendali capaci di tenere sotto controllo tutti i servizi. I fondi in Italia per investimenti digitali e di security non sono moltissimi: per il futuro, la spinta normativa europea del GDPR (General Data Protection Regulation) che responsabilizza verso i dati digitali, sembra obbligare l’azienda grande e piccola verso l’esternalizzazione per i servizi tecnologici di tipo cloud, mantenendo solo una componente di controllo interna costituita da figure professionali preparate e competenti.

Secondo Marco Ramilli di Yoroi, però, appoggiarsi ad un team esterno significa anche fruire della competenza di quel team per altri ambiti in cui lavora: elemento che accresce la capacità di reazione. Il difensore, poi, deve restare umano perché non ci si dovrebbe affidare solo ai sistemi automatizzati.

Per Pierluigi Paganini, ENISA, la sicurezza è ancora percepita come un costo e si taglia in tempi di crisi, anche perché manca la percezione a livello manageriale dell’importanza degli investimenti in questo settore anche per difendere la propria immagine e salvaguardare gli interessi aziendali. La preparazione specializzata dovrebbe interessare anche la categoria dei manager. Da non sottovalutare anche la necessità di comprendere le nuove tecnologie disponibili: i sistemi AI e di machine learning potrebbero essere inseriti nel supporto alle decisioni che prende un essere umano, ma è importante capirne vantaggi e limiti. Infine parlando di riqualificazione applicata al campo cyber, Paganini sottolinea come nel campo informatico-digitale e della sicurezza informatica si debba intraprendere un percorso a tappe di formazione e lo studio non finisca mai: è necessaria la volontà di restare aggiornati.

Un cambio di paradigma

Quel conta è soprattutto il quadro nel quale si muovono le aziende. Vincenza Bruno Bossio, membro dell’intergruppo parlamentare Innovazione della Camera dei Deputati, ha citato l’art.35 della nuova legge di stabilità che prevede l’istituzione di una fondazione e scuola di alta formazione per la cybersecurity: servono anche fondi per finanziare questa alta formazione e sembra ne sia stato previsto lo stanziamento. Michele Slocovitch, docente dell’università Bocconi, ha posto l’accento sull’annosa diatriba di chi forma i formatori: per il futuro la preparazione è garantita da iniziative come il Cyberchallenge, il programma italiano di addestramento introduttivo alla cybersecurity dedicato ai giovani delle superiori e agli studenti universitari.

Il punto di vista del mondo produttivo è facilmente riassumibile nelle posizioni di Alberto Tripi, delegato per la Cybersecurity in Confindustria: le aziende da sole non ce la fanno e serve una risposta sistemica, ha sostenuto nel corso del convegno. Il rischio per le aziende è molto alto perché la cattiva reputazione che si accompagna all’attacco subíto rende l’azienda vulnerabile a campagne avverse da parte dei concorrenti: interessante in questo senso l’iniziativa organizzata da Assolombardia, che per poche centinaia di euro assiste le aziende sul territorio per l’analisi di rischio e per le azioni a seguire. Confindustria punta a replicare questo modello, sostenendo le organizzazioni territoriali per predisporre al proprio interno gli opportuni servizi alle imprese.

L’obiettivo è anche far comprendere come l’attuale tecnologia imponga un cambio di concezione dei metodi di difesa: i dati non sono più centralizzati in un singolo server, bensì distribuiti in decine di dispositivi presenti in azienda, ha sottolineato Stefano Volpi di Symantec. La vecchia idea della difesa perimetrale non risulta più calzante, occorre puntare a salvaguardare le informazioni ovunque si trovino. 

Il contesto normativo: presente e futuro

Il nuovo regolamento europeo sulla data protection, il GDPR, l’adeguamento futuro alla direttiva europea NIS e il nuovo regolamento e-privacy italiano, sono i temi che tengono banco tra gli addetti ai lavori. Su questo tema Corrado Giustozzi, esperto di sicurezza di Agid e per il CERT della PA, ha chiarito e sottolineato come GDPR sia immediatamente vigente senza bisogno di essere recepito da legge nazionale: il 2018 è il termine per l’adozione delle misure. Per l’Italia è solo questione di armonizzare la legge vigente sui dettagli, ma le iniziative per adottare le nuove regole devono essere subito avviate.

Le leggi europee sono generalmente percepite come un “inasprimento normativo” e ci si adegua per compliance, senza valutare la profondità dell’impatto sulla sicurezza per i dati che richiede di analizzare progettare e realizzare una infrastruttura informatica. In altri paesi, dove esisteva un processo già avviato mediante una roadmap, la GDPR ha ricevuto un’accoglienza decisamente diversa: mancare questi obiettivi costituisce un possibile svantaggio anche per la competitività dell’intero Paese.