L’Agenzia per la Cybersecurity Nazionale ha varato le metriche per misurare il raggiungimento degli obiettivi della strategia nazionale e del piano implementativo del 2022: i KPI (Key Performance Indicator) sono contenuti nel Manuale operativo di attuazione della Misura #82 reso pubblico dall’ACN.
Indice degli argomenti
Come sono strutturati gli indicatori di misurazione
Gli obiettivi sono stati suddivisi in tre quadranti relativi agli anni 2023-2025 e i primi trenta sono stati calendarizzati per il 2023 inserendoli nella dicitura “quick win”. Al contrario di quanto farebbe supporre tale definizione, ossia un obiettivo di veloce realizzazione che renda subito visibile l’impegno dell’organizzazione, questi obiettivi sembrano essere assolutamente di rilievo per capire come daremo seguito all’impianto organizzativo, normativo e di rapporto pubblico privato della cyber security italiana.
Viene poi fornito un Gantt anche per tutti gli altri obiettivi fino al 2026.
I primi obiettivi sui quali troviamo indicate metriche di valutazione della performance sono collegati al CVCN (Centro di Valutazione e Certificazione Nazionale), alle certificazioni di prodotto e agli schemi europei. Dunque, c’è sensibilità a fornire chiare indicazioni su come applicare le norme create in relazione agli acquisti di tecnologia ICT.
Gli schemi di certificazione vengono poi indicati come un obiettivo del 2025 per quanto riguarda lo sviluppo e la valutazione della efficacia. Le metriche sono tutte condivisibili e oggettive e riguardano obiettivi raggiungibili e misurabili.
Come ACN interpreterà i propri obiettivi
Attraverso le metriche di misura si comprende anche come ACN intenda interpretare i propri obiettivi. Per esempio, si propone un KPI relativo alla quantità di PMI che avranno adottato certificazioni di cyber security (senza definire se di processo o di prodotto, ma la differenza sarà proprio in questa fascia).
Le metriche sono anche pensate per misurare la “moralsuasion” che ACN riuscirà a produrre verso le grandi e medie aziende italiane e verso le PA centrali e locali. Si misureranno attività e risultati in tutti questi ambiti interpretandoli come spunti di ragionamento sull’efficacia e l’efficienza delle attività della Agenzia.
Sembra un ottimo metodo per razionalizzare il controllo sulle proprie attività, con un monitoraggio continuo, e il controllo sul raggiungimento degli obiettivi, con delle misure intermedie di soddisfazione e completamento.
Utili indicatori per il potenziamento del perimetro cyber
Le metriche sono tutte oggettive, mirate a contare prodotti o risultati tangibili che diano una contezza precisa dell’andamento del fenomeno legato al raggiungimento dell’obiettivo.
Ogni obiettivo, nel documento italiano definiti “Misure” ha da due a quattro metriche con relativi Key Performance Indicator, quindi avremo almeno due, talvolta quattro indicatori per comprendere il reale o parziale raggiungimento degli obiettivi.
Occorre ricordare che questo documento contiene solo i KPI: le misure erano già state definite nel 2022 come parti del piano implementativo della strategia nazionale. Non era quindi questa la sede per tornare sui principi o rivedere gli obiettivi, ma per dare contezza al Paese su come si intende perseguirli e misurarli.
La strategia cyber nel contesto internazionale
Il documento arriva contemporaneamente alla pubblicazione della strategia di cyber security USA e subito dopo la pubblicazione della Relazione del DIS al Parlamento per il 2022. Quest’ultima fa notare come i target pubblici siano diminuiti nel 2022 dopo il grande boom degli anni di pandemia. Analogamente, la criminalità è tornata ad essere alla radice del 47% degli attacchi, contro uno scarno 14% in epoca di pandemia. Resta inalterata la percentuale di attività statuali di cyber espionage e diminuisce l’attivismo. Il malware continua ad essere l’arma preferita, insieme con i domini malevoli.
Il 53% delle attività malevole si attesta sulla acquisizione di vantaggi economici o strategici.
La strategia USA, dal canto suo, è basata su cinque facili pilastri che riguardano gli obiettivi di protezione (le infrastrutture critiche), lo smantellamento della minaccia, i driver di sicurezza nel mercato, gli investimenti per un futuro resiliente e la collaborazione internazionale. Spiccano due concetti: una consapevolezza di complessità da fronteggiare dovuta alla centralizzazione del Governo Federale rispetto alla distribuzione della minaccia e delle attività e l’urgenza di rendere anche i produttori di SW responsabili della non sicurezza.
Conclusioni
Con questo quadro persistente di fronte a noi, dobbiamo accogliere l’elenco delle metriche oggettive di misura della implementazione e della realizzazione della strategia cyber nazionale come un atto doveroso e consapevole verso un Paese più sicuro.