Assumersi rischi fa parte del business e, come ricorda Maxwell Maltz (Chirurgo, Autore e promotore del self-help), la differenza tra un uomo di successo e un fallito spesso non la fanno le diverse capacità ma il coraggio di scommettere sulle proprie idee, assumersi rischi calcolati ed agire. Per le imprese vuol dire essere in grado di gestire i rischi: pesarli, mitigarli, eventualmente trasferirli. Aiutare le aziende nella valutazione dei rischi è in genere un’attività per consulenti, più o meno specializzati: rischio economico, di mercato o di altra natura. Un caso a parte è il rischio legato alla sicurezza digitale delle informazioni, che può rovinosamente influire sul futuro e la sopravvivenza stessa dell’azienda, per cui la capacità di capire, valutare e rimediare a questi rischi diventa cruciale.
=> Sicurezza digitale: gestione del rischio e sviluppo
A questo proposito abbiamo intervistato il Professor Roberto Baldoni, Direttore del centro Cyber Intelligence e Information Security dell’Università di Roma “La Sapienza” e del Laboratorio Nazionale di Cybersecurity del CINI, che recentemente ha presentato il Framework Nazionale per la Cybersecurity pensato e realizzato per aiutare le aziende nella valutazione del rischio cyber.
Lo strumento
Il Framework spiega come affrontare la cyber security con un approccio omogeneo, per ridurre i rischi legati alle minacce. Quanto proposto è intimamente legato all’analisi del rischio stesso e non a standard tecnologici.
Il documento è basato su un altro strumento metodologico, il “Framework for Improving Critical Infrastructure Cybersecurity” emanato dal NIST (che opera per la prevenzione dei rischi alle infrastrutture critiche) ma ampliato e attualizzato per il contesto italiano – pur rimanendo conforme all’impostazione originale – per rappresentare una guida per la Piccola Media Impresa italiana volta a incrementare il livello di awareness sulla cyber security con raccomandazioni per il top management. La conformità al Framework del NIST è stata garantita dall’organismo stesso.
Validazione
Frutto di mesi di lavoro di un team di esperti e accademici, il documento è stato poi oggetto di consultazione pubblica per un ulteriore raffinamento, correzione di eventuali errori e integrazione di suggerimenti e migliorie. Nonostante fosse in roadmap un test a campione tra le PMI, la consultazione pubblica ha avuto la priorità e, su 550 proposte di emendamenti, ne sono stati recepiti 350. Il risultato è un documento condiviso con tutta la comunità di security italiana. La partecipazione di grandi player come ENI ed ENEL ha permesso di recepire esigenze tipiche delle aziende, ad esempio la condivisione di approccio con i fornitori, mentre la presenza di tre delle “big four”, KPMG, Deloitte, e PricewaterhouseCoopers ha garantito una ulteriore validazione da parte di chi lavora costantemente sul territorio accanto alle PMI.
Alcuni test case sono comunque in corso con piccole imprese per sperimentare il grado di adottabilità anche se naturalmente l’Accademia si presta temporaneamente a questo task. Il Framework infatti è pensato per una auto-implementazione che favorisce sia l’awareness sia la corretta gestione della privacy dei dati aziendali. Il timore legato alla privacy dei dati è infatti ancora oggi il principale ostacolo all’avvio di analisi di valutazione del rischio da parte di società di security esterne all’azienda stessa, che pur se specializzate non possono contare sulla relazione di “trust” che rappresenta una premessa obbligata. L’auto-valutazione risolve questo scoglio inziale ed è anzi favorita da una apposita guida composta di regole fra cui le più importanti sono venti.
=> Industria 4.0 e cyber security aziendale
Il Framework è immediatamente applicabile anche da organismi istituzionali poiché, anche se la contestualizzazione è stata orientata alle PMI, nulla osta che Agid o altre entità possano ricontestualizzarlo nella Pubblica Amministrazione o nelle grandi imprese.
Obiettivi
Il sottosegretario Minniti, durante il convegno di presentazione, ha sottolineato i tre principali obiettivi del Framework: semplificare, aumentare la consapevolezza e tutelare il patrimonio dell’azienda. Il Prof. Baldoni li spiega in modo esteso:
- il modello metodologico consente la semplificazione perché fornisce una guida da seguire per valutare il rischio in azienda.
- il Framework consente la crescita di consapevolezza perché è strutturato per essere presentato ad un CDA o comunque al Top Management fornendo una valutazione chiara e comprensibile.
- Infine si opera per la tutela, perché seguendo le regole del Framework ed i suoi controlli, si capiscono i rischi e si possono risolvere per meglio proteggere gli asset strategici e operativi dell’azienda.
Per il futuro
Il comparto assicurativo, solitamente coinvolto nelle fasi di “trasferimento del rischio” sta maturando specifici prodotti assicurativi ritagliati sul rischio cyber, ovvero sul rischio legato alla sicurezza delle informazioni. In questo momento le compagnie assicuratrici sono a valle del Framework, che comunque potrebbe contribuire allo sviluppo dei diversi punti di vista sul tema dell’assicurazione contro il rischio.
Il Framework è oggi uno strumento maturo, perfettibile, ma anche un “documento vivo” che necessita di manutenzione perché nel tempo cambiano le minacce. Tutte le categorie devono costantemente essere aggiornate secondo gli sviluppi della minaccia. A tal proposito, ad Aprile Baldoni sarà negli U.S. per discutere il modello stesso di revisione del framework. Nonostante l’ovvio ma impari confronto con il Governo Obama, che stanzia 19 miliardi di dollari per la cybersecurity rispetto ai 135 milioni di euro italiani, è importante sottolineare il confronto con i paesi europei quali la Francia con un miliardo di euro per i prossimi 4 anni e lo stanziamento ingente dell’UK e un a roadmap iniziata già sette anni fa, che evidenziano comunque come in Italia si abbia un budget molto basso rispetto alle esigenze nazionali. Soprattutto, ai fini della tutela dell’economica italiana, Baldoni auspica un impegno economico pluriennale, mantenuto nel tempo, che possa conferire certezza di risorse per almeno cinque anni, sull’esempio di grandi nazioni europee.
Adozione
Una qualsiasi PMI anche alle “prime armi” in materia di sicurezza può implementare il framework autonomamente seguendo tabelle e relative linee guida di implementazione strutturate per categorie ad alta priorità. Senza bisogno di specifico background, si può affrontare la sezione 6.4 e valutare il livello di rischio esistente, avviando le decisioni per abbassare il livello di rischio fino al limite accettabile e contemporaneamente decidendo per il rafforzamento delle difese in azienda rispettando il profilo di rischio target. Sicuramente nella fase di lavoro dedicato alla protezione saranno necessari skill specifici di risk management e di security che devono essere erogati da esperti del settore.
Nel sito dedicato all’iniziativa è possibile scaricare il documento e la presentazione del prof. Baldoni che ne specifica obiettivi e finalità.
