Al di là della contingenza pandemica, il nostro pianeta sta attraversando un altro momento critico caratterizzato da una parte da uno sviluppo estremamente spinto delle tecnologie digitali e dall’altra dall’inadeguatezza di strumenti e uomini per far fronte ai diversi rischi che questo sviluppo comporta. Che la portata del problema sia particolarmente significativa e richieda sforzi straordinari per il suo contenimento e/o gestione, lo dimostra il recentissimo attacco a SolarWinds che ha compromesso i sistemi informatici di un numero considerevole di istituzioni statunitensi (uno dei paesi più avanzati in termini di cultura cybersecurity) senza che queste ne avessero contezza.
Cyber security, come colmare il divario tra problemi e risposte
Per poter tener testa a questi tipi di criticità sarebbe necessario disporre di una classe dirigente ben consapevole del problema e delle sue implicazioni. Purtroppo, l’attuale classe dirigente si è formata quando il problema cybersecurity era un fenomeno riservato agli addetti ai lavori e vive il problema di riflesso senza averlo adeguatamente assimilato. Il risultato: scelte di uomini nei posti chiave e di mezzi non all’altezza della sfida e una rete globale particolarmente vulnerabile. Si tratta di un problema non solo italiano ma che coinvolge, seppur in diversa misura, l’intero globo e riguarda sia il settore pubblico che quello privato (sempre fatte le dovute eccezioni). Certo è che l’Europa ed in particolare il nostro paese sono decisamente in ritardo sul tema, e proprio sulla situazione nel nostro paese vorrei soffermarmi.
Non possiamo negare che in questi ultimi anni la cybersecurity abbia ricevuto una certa attenzione anche da parte di diverse componenti della classe dirigente, ma indubbiamente la risposta non è commisurata al livello di rischio che questo tipo di minaccia sta assumendo. Il livello di rischio cyber e la portata del suo impatto stanno crescendo molto più rapidamente del corrispondente livello di consapevolezza da parte di chi questo stato di cose dovrebbe in qualche modo contrastare. Come si può ovviare a questo stato di cose, come si può colmare questo divario, che con il progredire delle tecnologie e delle applicazioni diventa sempre più critico?
La strategia generalmente adottata per cercare di dare una risposta a queste domande da parte di diversi paesi è l’erogazione di programmi “massivi” di cybersecurity awareness e l’emanazione per gli “addetti ai lavori” di linee guida, best practice, misure minime, checklist, ecc. ecc. L’efficacia di questa strategia è sotto gli occhi di tutti, il problema cybersecurity non tende a diminuire, anzi.
Rimandando il discorso sui programmi di security awareness ad un eventuale successivo contributo, credo che il problema dell’approccio basato sulle linee guida sia legato al fatto che spesso l’utenza a cui questi documenti sono rivolti non ha le risorse e le competenze per poterli mettere in pratica. Se si vuole che questo approccio generi risultati tangibili è necessario fornire a questi soggetti le risorse e le competenze necessarie a metterli in pratica. È necessario passare dalla fase in cui si dice a queste realtà cosa devono fare ad una fase in cui le si aiuta a fare. Se riuscissimo in questa “impresa” e contemporaneamente accelerare il processo di ricambio della classe dirigente riusciremmo a recuperare buona parte del gap di cui abbiamo accennato precedentemente, e potremmo anche gettare delle solide basi di relazioni, conoscenze ed esperienze su cui fondare un Istituto per la Cybersecurity. In pratica tutto questo come si traduce.
Si potrebbe per esempio istituire un piano straordinario per la messa in sicurezza delle risorse informatiche di: Ospedali, Università, Enti locali, PMI e tutti i soggetti il cui patrimonio informativo o informatico possa essere oggetto di attacchi informatici. Un progetto che potrebbe essere finanziato per esempio con il Recovery Fund. Come si sta pensando alla manutenzione (quindi sicurezza fisica) delle grandi infrastrutture viarie, di trasporto e di comunicazione è necessario pensare anche alla loro sicurezza logica e più in generale alla sicurezza logica del paese.
Obiettivi, risorse, competenze
Attenzione, non ci stiamo riferendo al solito progetto che si esaurisce con l’emissione di baseline ma di un progetto al termine del quale i sistemi informatici della stragrande maggioranza degli enti ed organizzazioni che operano sul territorio nazionale siano in grado di resistere alle forme più diffuse di attacco informatico. Questo progetto dovrà quindi prevedere accanto agli obiettivi di sicurezza logica che si vogliono perseguire anche tutte le competenze/risorse/meccanismi necessari per garantire e verificare che ogni singola realtà coinvolta, al termine del progetto abbia raggiunto gli obiettivi prefissati, favorendo al contempo il necessario trasferimento di competenze dal centro alla periferia secondo un approccio “training on the job”.
È certamente un progetto molto ambizioso e richiede quantità significative di risorse umane ed economiche. Se però lo si scala su realtà regionali o provinciali, in un arco temporale ragionevole, il progetto acquista concretezza. Se poi si introducono delle priorità in ordine alle criticità delle diverse realtà, ecco che nell’arco di qualche anno le nostre realtà “produttive” e i cittadini potrebbero utilizzare la rete con le dovute garanzie di protezione e riservatezza che oggi di fatto non esistono.
Ovviamente, la componente critica del progetto è la costituzione di un gruppo di persone in grado di esibire competenze ed esperienze significative, persone che oltre a dire abbiano dimostrato nella loro carriera anche di saper fare. Anche se non sono molto in evidenza, al nostro paese non mancano questi tipi di persone.
Per quanto riguarda il supporto economico leggo che 40 miliardi. del recovery fund saranno dedicati ai progetti di digitalizzazione: voglio augurarmi che una percentuale non esigua di questa cifra sia dedicata alla messa in sicurezza (cyber) delle infrastrutture e applicazioni, quale occasione migliore quindi per dare il via ad un grande progetto di messa in sicurezza anche del legacy, che è in genere l’anello più debole della catena?
La selezione della classe dirigente
In conclusione, vorrei tornare velocemente sul problema della selezione della classe dirigente sopra accennato. In una prospettiva di rafforzamento dell’infrastruttura di cybersecurity, non si possono sottovalutare alcune storture che si sono create nel corso degli anni nella formazione della classe dirigente del nostro paese, e che è opportuno eliminare anche se progressivamente.
La rivoluzione digitale è soprattutto una rivoluzione culturale e come tale comporta lo stravolgimento di diversi paradigmi di riferimento tra questi anche quello relativo alla selezione della classe dirigente. Nel nostro paese è ampiamente diffuso l’assunto che la classe dirigente, intendo con questa gli organi di governo, i dirigenti della pubblica amministrazione, imprenditori, direttori di aziende private, debba essere selezionata tra chi proviene da una formazione di tipo giuridico-umanistica, poiché solo una vasta cultura generale, che dovrebbe caratterizzare questo tipo di persone, fornisce la duttilità e le capacità di analisi, che servono a compiere le scelte di portata generale e di natura complessa, tipiche della classe dirigente. Questo ha fatto sì che, nel nostro paese, anche i ruoli prettamente più tecnici siano spesso ricoperti da personale con profilo non adeguato. Molto illuminante in questo senso l’intervista a Sabino Cassese recentemente apparsa. Se accanto a questo dato si aggiunge la considerazione che la selezione della classe dirigente avviene principalmente attraverso meccanismi di cooptazione o relazionali piuttosto che adottando il tanto citato, ma poco praticato, meccanismo della meritocrazia, ecco delineato il profilo di una classe dirigente che sicuramente non sta aiutando il nostro paese a competere nel panorama internazionale sul fronte della digitalizzazione, come tra l’altro evidenziato da diversi indicatori, non ultimo il DESI.
Personalmente resto dell’idea che nessuna organizzazione possa oggi permettersi nei ruoli della così detta C-suite, persone che non abbiamo una certa conoscenza dei principi di funzionamento delle tecnologie dell’informazione e della cybersecurity. Sposo sino in fondo il motto “Everybody in this country should learn how to program a computer, because it teaches you how to think” coniato da Steve Jobs nel 1995.
È quindi necessario rivedere i criteri di selezione della classe dirigente, e ridare la giusta dignità ed il giusto ruolo a chi proviene da una cultura tecnico scientifica o quantomeno a questo tipo di competenze. Se questo è vero in generale, nel caso della cybersecurity diventa ancora più cogente.
È necessario che le competenze di cybersecurity trovino l’adeguata valorizzazione nell’ambito delle diverse organizzazioni. Non ci si improvvisa esperti di cybersecurity. La cybersecurity ha i suoi strumenti e le sue metodologie che richiedono anni di studio training e aggiornamento continuo per poter essere acquisite, gestite e usate correttamente. Sono competenze che vanno opportunamente valorizzate se si vogliono incoraggiare le persone, soprattutto i giovani, ad intraprendere questo tipo di carriera. Se questo messaggio non passa, troveremo sempre meno persone interessate ad occuparsi di cybersecurity e sempre più persone impreparate a ricoprire ruoli critici.
Un passo in questo senso dovrebbe essere compiuto dalle medie/grandi organizzazioni per la valorizzazione delle figure dei responsabili della cybersecurity (CISO), che meritano in ambito aziendale un grado di autonomia almeno pari a quello dei responsabili IT (CIO). Si tratta di figure che operano con KPI complementari e meritano uguale dignità.
In tal senso, credo che la “recente” iniziativeadi AGID di istituire presso le pubbliche amministrazioni un Responsabile alla Transizione Digitale (RTD) non contribuisca a fare chiarezza sul ruolo della cybersecurity in un’organizzazione, nella fattispecie nella PA. Difatti, la stragrande maggioranza delle amministrazioni ha individuato il proprio RTD nel proprio CIO, si dà però il caso che il RTD debba anche occuparsi di pianificazione e coordinamento delle iniziative in ambito cybersecurity creando di fatto un vincolo gerarchico tra CIO e CISO a favore del primo. Non sappiamo se sia una svista o meno da parte di AGID certo è che la cosa meriterebbe un chiarimento.
Conclusioni
In conclusione, il web 2.0, l’industria 4.0, il 5G sono tutte innovazioni che possono modificare in meglio la vita di molti se saranno in grado di dare ai loro utenti le necessarie garanzie di sicurezza. La cybersecurity è il fattore abilitante e sul tema, nel panorama dei paesi più industrializzati, il nostro paese è in ritardo. In questa fase in cui tutto il mondo è in affanno possiamo provare a recuperare il tempo perduto: è necessario nei processi di selezione della classe dirigente ridare alla conoscenza e alla meritocrazia il ruolo che si meritano, ed oltremodo è necessario passare dal “raccontare la cybersecurity” a “fare la cybersecurity”.
