sicurezza

Cybersecurity, i prossimi passi del Framework per proteggere le aziende

Un bilancio dopo un anno e una finestra sul futuro. L’adozione procede, ma lenta sulla PA, per il Framework elaborato dal Cis-Sapienza. E che ora dorà essere aggiornato. In più, a marzo nascerà uno strumento semplificato a misura di ogni azienda che voglia diventare cybersicura

Pubblicato il 18 Gen 2017

Luca Montanari

Università Sapienza di Roma

sicurezza-140405160428

A circa un anno dalla presentazione del Framework Nazionale per la Cybersecurity, il Centro di ricerca di cyber intelligence e information security della Sapienza (CIS-Sapienza) ha tirato le somme, approfittando dell’enorme numero di esperti, stakeholder e ricercatori riuniti a Venezia per la prima conferenza italiana sulla sicurezza informatica (ITASEC2017), in corso fino al 20 gennaio 2017.

Nel panorama estremamente impreparato e a corto di finanziamenti pubblici dedicati, costituito dall’impresa e la PA italiana, è emerso che le aziende che si occupano di consulenza di sicurezza, hanno adottato a pieno lo strumento e ne sta traendo i massimi benefici.

Il Framework, pubblicato il 4 febbraio 2016, rappresenta un linguaggio comune in grado di agevolare, se non di permettere, il dialogo tra attori diametralmente opposti, siano questi all’interno dell’organigramma delle imprese o delle pubbliche amministrazioni (ad esempio tecnici e dirigenti), sia organizzazioni vere e proprie in corso di collaborazione o di appalti di fornitura.

In un anno sono state diverse le aziende, tra piccole medie e grandi, che hanno manifestato interesse all’utilizzo e che effettivamente hanno iniziato a utilizzarlo, ma il numero è decisamente ancora insufficiente. Nonostante i diversi riconoscimenti nazionali e internazionali che il Framework ha ottenuto (se ne parla in seguito), il processo di adozione e di permeazione nel mondo dell’impresa e della PA è estremamente lento. La lentezza è dovuta a un paio di fattori, il primo è la mancanza di consapevolezza, awareness, del rischio che si corre; il secondo, neanche a dirlo, è rappresentato dai soliti soldi, i costi della sicurezza, estremamente certi a fronte di rischi incerti. Incerti sì, ma sempre più probabili.

Entrambi questi fattori vengono schiaffeggiati in questi giorni, il primo dallo scandalo causato dal malware Eye pyramid, a quanto pare un malware semplice, maldestro ed errato, ma efficace quanto basta per svegliare un po’ tutti, di nuovo, e sottrarre dati critici per la Nazione. Il secondo fattore dagli attacchi DDoS di nuova generazione (es. quello basato sul malware Mirai condotto contro DynDNS), di potenza tale da bloccare quasi tutta una nazione enorme per ore. Cosa succederebbe se questi DDoS spostassero la mira verso asset strategici, ad esempio, nelle transazioni economiche? Si perderebbero milioni in poche ore.

L’Italia si è spostata dallo zero assoluto qualche anno fa con il decreto Monti prima, la strategia nazionale subito dopo e con il Framework Nazionale. Adesso bisogna premere sull’acceleratore, investire ed investire molto, non quanto gli Stati Uniti, impensabile, ma almeno una buona frazione (la metà?) di quanto stanno facendo Francia, Germania, Regno Unito, le quali viaggiano nell’ordine (almeno) del miliardo di euro. Il cyber risk è attualmente il rischio numero uno per tutte le nazioni.

Parte degli investimenti devono imperativamente andare a supportare il mantenimento e l’aggiornamento del Framework. Nato da così poco, già così vecchio: deve già recepire in tempi brevissimi l’avvento del General Data Protection Regulation (GDPR) della UE, la direttiva sulla sicurezza delle reti e dei sistemi informativi nell’Unione (detta comunemente NIS sempre della UE), le Misure Minime di Sicurezza Informatica per le PA emanate dall’Agenzia per l’Italia Digitale (AgID), l’aggiornamento del Framework core del NIST, condiviso con il Framework Italiano, già pubblicato in bozza ed atteso a breve.

Tutto questi aggiornamenti si sono resi necessari in meno di 12 mesi. È quindi chiaro che il Framework non può continuare ad essere sviluppato e mantenuto grazie ad opera volontaria, spinta dal bene per la collettività, premiata solo dai ringraziamenti e dalle citazioni.

Alcuni di questi riconoscimenti meritano di essere sottolineati.

Una delle cose più importanti per la Nazione è stato il lavoro fatto da AgID nel creare la corrispondenza tra le misure minime e il Framework. Questo permetterà, non appena tali misure diventeranno obbligatorie in qualche maniera, la diffusione rapida del Framework nella PA. Purtroppo la strada per ottenere questo è lunga.

Altro evento, ancora più recente, è la citazione al nostro Framework da parte del report sulla cyber security readiness dell’Italia da parte del Potomac Institute for Policy Studies. Il report mette il Framework allo stesso piano della strategia nazionale.

La collaborazione con in National Institute for Standards and Technology (NIST) statunitense è motivo di orgoglio per l’accademia Italiana che, a valle della presentazione del Framework è stata invitata sia presentarlo presso il NIST a Washington che a partecipare come panelist nel corso del workshop di aggiornamento del Framework NIST. Tale collaborazione è stata rafforzata proprio a Venezia nel corso di ITASEC2017, dove il NIST ha partecipato con un keynote.

Merita citazione anche il lavoro fatto da ForumPA nel gestire i cantieri della PA digitale, uno di questi, il cantiere Sicurezza Digitale, dedicato proprio al Framework.

Questo resoconto dell’anno trascorso non può che terminare con uno sguardo verso il futuro. Il CIS-Sapienza è infatti già al lavoro su un ulteriore strumento volto a spingere ancor di più l’adozione del Framework. Tale strumento sarà presentato il prossimo 2 marzo e costituirà il Cybersecurity Report del 2016. Consta di 15 controlli di sicurezza estremamente semplici, essenziali, tratti dal Framework e ulteriormente semplificati. Tali controlli sono pensati per agevolare la micro e piccola impresa italiana, nonché la piccola PA, a gestire il rischio cyber in autonomia. Servono inoltre per indurre coloro che si accorgono di necessitare di più a non fermarsi ai 15 controlli ma ad allargare i propri orizzonti e adottare il Framework Nazionale. Il CIS ha messo in consultazione pubblica tali controlli e lo saranno fino al 3 febbraio, gli interessati possono fornire la propria opinione su www.cybersecurityframework.it/csr2016.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati