Una vera cyber resilienza all’interno delle organizzazioni può essere garantita solo in presenza di determinate condizioni: innanzitutto occorrono processi di cyber security strutturati, in quanto il continuo aumento di attacchi informatici sta duramente mettendo alla prova la resilienza degli assett organizzativi.
In secondo luogo, serve tra i responsabili della sicurezza un’adeguata consapevolezza di tali processi che va sfruttata in ottica di prevenzione di qualunque evento informatico avverso.
A questi elementi va aggiunta la cooperazione tra le diverse aziende che forniscono e gestiscono i sottosistemi di un sistema tecnologico, affinché configurino i propri apparati garantendo aderenza agli stessi standard di sicurezza e dunque interoperabilità.
In ultimo, ma non certo per importanza, la certificazione degli apparati e la conformità agli standard internazionali.
Indice degli argomenti
Costruire un processo di trustability
Va costruito quindi un processo di trustability che, per citare un intervento del Direttore del Centro di Valutazione e Certificazione Nazionale, sia come un fossato attorno a un castello, dove le porte e le pusterle rappresentano i possibili accessi malevoli che minano la cyber resilienza delle nostre reti.
Questo processo comprende certificazioni e conformità ma anche continui test e monitoraggio e centra gli obiettivi che sta implementando nell’ultimo anno la nostra agenzia per la cyber security nazionale.
Il processo di trustability va garantito attraverso diversi step di cooperazione tra aziende fornitrici di uno stesso sistema ICT e/o di una stessa rete. Quindi prevenzione e resilienza vanno di pari passo con la cooperazione, nazionale e internazionale, vista la disomogeneità dei sistemi componenti le varie reti.
L’importanza di standard di sicurezza condivisi
Gli standard di sicurezza condivisi sono necessari come base per garantire la resilienza di apparati, reti e sistemi complessi.
L’approccio a standard che utilizzavamo all’inizio degli anni 2000 per i protocolli di rete, i quali dovevano essere a standard proprio per garantire la comunicazione tra gli utenti, va ora riutilizzato per rendere le stesse reti resilienti e quindi sicure.
Gli standard internazionali hanno il grande vantaggio di essere il miglior esempio di cooperazione tra stakeholder, a vantaggio degli utenti finali oltre a garantire competizione e innovazione tecnologica prevenendo, tra l’altro, rischi di interoperabilità tra componenti di rete sempre più disomogenei, vista la globalizzazione inevitabile della manifattura.
Standard e certificazioni “adattabili” ai contesti
Gli standard sono quindi fondamentali per garantire una piattaforma comune di resilienza delle reti ma sono una condizione necessaria e non sufficiente.
È utile, infatti, che standard e certificazioni non siano localizzati nel contenuto ma adattabili ai diversi contesti. Questa è la direzione recentemente adottata nelle linee guida metodologiche del Centro di Valutazione e Certificazione Nazionale.
L’obiettivo, a mio avviso, è di comporre in tempi rapidi una White List di prodotti che possano avere una garanzia di sicurezza nel mercato di riferimento.
Questa può essere un’implementazione di un concetto avanzato di sovranità digitale: laboratori locali ma certificazioni internazionali.
Le certificazioni cyber devono rispettare corrette e differenziate analisi di rischio ma prevedere anche tempi certi. Alcuni approcci europei, mi riferisco alla EN17640, che prevede 60 giorni di certificazione, possono rappresentare il giusto compromesso per coniugare le esigenze di time-to-market con la qualità di certificazione.
