La Cyber Security in Italia non è ancora una priorità diffusa, rimane prerogativa di un gruppo ancora troppo ristretto di amministratori, direttori e funzionari pubblici e privati. La sensibilizzazione generale è in forte aumento, complici i numerosi incidenti internazionali e le posizioni assunte da governi e istituzioni. Purtroppo la Cyber Security è un obiettivo estremamente complesso da raggiungere, per certi versi più complesso della salute pubblica o i grandi cambiamenti climatici.
Il parallelismo non è casuale: salute e benessere sono una componente fondamentale di qualsiasi società, proprio come è diventata fondamentale la dimensione digitale. Il benessere non è una condizione che si ottiene prendendo una pillola: è la somma di migliaia di fattori che vanno dall’ambiente all’alimentazione, dalla cultura alle relazioni sociali, dal movimento fisico allo stress. La sicurezza della dimensione Digitale presenta fattori simili, aumentati dalla tecnologia sia in potenza che in velocità. E’ chiaro che un problema di tale complessità non può che essere indirizzato con strategie e piani complessi che permeano l’intero tessuto economico e sociale di un paese. Tali cambiamenti non avvengono per singole azioni individuali, ma sono il risultato di politiche strategiche portate avanti con coerenza e costanza nel tempo. Un lusso che quasi nessun governo si può permettere in un momento tormentato e ricco di problemi più immediati da comprendere e dagli effetti più visibili.
Detto ciò, è evidente che non esista una ricetta sicura, ma ci sono alcuni ingredienti fondamentali sui quali l’Italia si dovrà concentrare. Innanzi tutto l’impegno politico, che necessità di una classe politica che comprenda il tema e lo consideri una priorità. L’attenzione c’è, abbiamo alcuni membri del nostro parlamento che hanno dimostrato di avere a cuore il tema, ma sono ancora troppo pochi per poter sostenere scelte politiche importanti e di lungo respiro. Abbiamo bisogno di un coordinamento esecutivo sempre più efficace: sono recenti gli annunci del primo ministro e del ministro dell’interno relativamente a una riorganizzazione del modello di governo della sicurezza dello spazio cibernetico, rimettendo mano al modello definito con il DPCM del 24/1/2013. Non bisogna farsi però illusioni: una evoluzione del modello organizzativo porterà benefici, ma non sarà sufficiente. Per altro non c’è stata ancora notizia dell’utilizzo dei 150 milioni di euro assegnati alla cybersecurity dalla Legge di Bilancio, in attesa di decreti del Mef e di un più ampio piano operativo di stanziamento di questi fondi in progetti specifici.
Per la maturità, abbiamo bisogno di ulteriori ingredienti di base.
Nell’ambito dell’amministrazione pubblica è necessario disporre del personale competente: le competenze di Cyber Security sono rare, il processo di assunzione di personale specializzato è inesistente, come i meccanismi per formarlo e tenerlo. Tranne alcuni casi isolati, non esistono meccanismi che favoriscano l’entrata di personale specializzato direttamente dalle università (premesso che le università sfornano un numero troppo basso di esperti, chiunque è oggi in cerca di personale sa quanta fatica si fa a trovare specialisti). Estremamente positivo l’esempio portato da Diego Piacentini, il quale è riuscito a costruire rapidamente un team di giovani esperti provenienti direttamente dal mercato.
Lato settore privato, i problemi sono simili, ma con soluzioni diverse. Innanzi tutto è fondamentale responsabilizzare il top management. Se nella sostanza, i consigli di amministrazione sono già responsabili della Cyber Security (vedi art. 7.C.1 del Codice di Autodisciplina di Borsa Italiana), nei fatti l’attenzione è ancora molto bassa se non assente. Fanno eccezione qualche grande azienda/infrastruttura critica, che hanno adottato modelli di governo estremamente avanzati (anche sul fronte internazionale). Uno studio di Deloitte, condotto sulle aziende FTSE100 in UK, mostra che nonostante l’87% delle aziende interviste ritenga i rischi Cyber una priorità, solo il 5% ritiene di avere le competenze adatte nel Consiglio. E parliamo di UK, dove il governo tramite Royal Holloway University of London ha iniziato a formare la dirigenza sulla Cyber (al tempo Information Security) più di 30 anni fa.
Infine, è importante proseguire sull’attività di regolamenti e compliance, avviata con il lancio del Framework Nazionale, puntando sul creare linee guida e quadri di riferimento per tutti i settori critici (difesa, banche/finanza, energia, trasporti, telecomunicazioni, ecc.).
