Analisi

Italian Cyber Security Report 2016: “Siamo inconsapevoli custodi della sicurezza del paese”

La sicurezza come investimento possibile anche per le piccole e medie imprese, è questa la vera novità del rapporto sulla cybersecurity del 2016

Il 2 marzo è stato presentato l’Italian Cyber Security Report 2016 realizzato dal Cis-Sapienza e dal Laboratorio Nazionale di Cyber Security-Cini.
Il rapporto pubblicato con cadenza annuale è giunto alla sua quarta edizione grazie al contributo di esperti ed aziende private come Huawei, Microsoft, Kaspersky, ed HPE.
Il documento include per la prima volta 15 controlli di sicurezza considerati come essenziali dagli autori e che sono integrati da un guida alla loro implementazione.baldoniCome illustrato dal professor Roberto Baldoni, direttore del Laboratorio nazionale di Cyber security, e di recente nomina a coordinatore del Comitato nazionale per la ricerca in cyber security, questi controlli sono il frutto di un lavoro iniziato anni addietro quando si decise di adottare un framework comune in materia cyber security che si potesse adattare alla realtà Italiana.

Fu preso a riferimento il Framework for Improving Critical Infrastructure Cybersecurity pubblicato dal NIST (NIST: National Institute of Standards and Technology), un lavoro in continua evoluzione proprio per la dinamicità della problematica trattata. Lo scenario delle minacce cibernetiche è infatti caratterizzato da rapidi mutamenti ed è quindi necessario monitorare e seguire tale evoluzione con un team di esperti affinché si possano applicare le necessarie contromisure per la salvaguardia delle infrastrutture del nostro paese.

E proprio il tema della salvaguardia degli “asset” del paese è uno dei nodi principali che ha portato alla genesi del lavoro che stiamo ora discutendo, ovvero il rapporto “Italian Cyber Security Report 2016”.

Il Framework Nazionale per la Cybersecurity e le PMI

Il Framework Nazionale per la Cybersecurity pubblicato all’inizio del 2016 seppure prezioso per aziende medio grandi ed operatori di infrastrutture critiche nazionale, si è dimostrato di difficile adozione da parte delle PMI che tuttavia rappresentano la struttura portante dell’economia del paese.

È un dato di fatto che le piccole imprese siano bersaglio facile per varie categorie di attori malevoli, ma al contempo detengono una porzione significativa di quel know-how che rappresenta un asset strategico per la nostra nazione.

Come più volte sottolineato se il “sistema Italia”, e quindi gli aspetti di cyber security, deve muoversi in maniera organica, occorre diffondere cultura in materia cyber security per far si che persino le piccole imprese possano migliorare la propria postura di sicurezza ed aumentare la resilienza complessiva del nostro paese dinanzi all’incessante azione delle minacce cibernetiche.

Un sistema di PMI vulnerabili ed esposte alle minacce cibernetiche è equiparabile ad una emorragia in un organismo apparentemente sano, che diviene quindi punto di ingresso per altre minacce e porta alla lenta distruzione dell’apparato complessivo.

Ecco quindi che si decide di lavorare ad un set minimo di controlli che possa rispondere a queste esigenze, un insieme di regole derivate dal Framework nazionale per la cyber security, ma che si rivolge alle piccole, medie e micro imprese.
In realtà il rapporto si rivolge ad organizzazioni di qualunque dimensione che tuttavia non hanno una struttura interna dedicata alla cybersecurity.

I 15 controlli essenziali per la sicurezza presentati dal report (e i loro costi)

Nel rapporto quindi troviamo i 15 controlli essenziali riportati nella seguente tabella:

15_controlli

Cybersecurity, quanto mi costi?

È lecito chiedersi quanto costa ad un’impresa l’implementazione di tali controlli. Non amo fornire questo genere di dati perché si prestano a manipolazioni ed alimentano spesso sterili discussioni, tuttavia essendo state fornite delle stime ritengo doveroso condividerle.

Paliamo di un costo iniziale di 2.700 euro per una piccola impresa ed una spesa annua di mantenimento di circa 7.800 euro. Il costo sale per una media impresa che spenderà circa 4.650 euro di costi iniziali e 19.800 euro di costi annui.

Per i più tali cifre potrebbero sembrare comunque esose per le imprese, tuttavia considerando un arco temporale di 3-5 anni, possiamo da subito valutare l’entità del risparmio economico potenziale.

Pensiamo ad esempio al danno medio stimato a cui le aziende andrebbero incontro in un quinquennio che è stato stimato in circa 175mila, i costi ipotizzati in applicazione dei controlli sarebbero del 75% più bassi per le micro imprese, e del 41% per le medie rispetto al danno stimato.

La sicurezza come investimento

La vera novità del rapporto è questa: pensare alla sicurezza come a un investimento. Un cambio culturale che deve accompagnare la crescita del paese.

Ritorniamo al rapporto, ed alla sua struttura. Per ciascuno dei controlli è fornita una “guida all’applicazione dei controlli” ovvero una sezione che descrive il controllo, fornisce esempi di incidenti noti, e soprattutto che mette evidenzia le corrispondenze con i controlli presenti nel Framework Nazionale di Cyber Security.

Non aggiungo altro credo valga la pena leggere il rapporto “2016 Italian Cybersecurity Report”, l’invito a tutti è quello di prendere in seria considerazione gli aspetti di sicurezza del nostro sistema informativo di cui ciascuno di noi è custode spesso inconsapevole.

Chiudo con la frase pronunciata dal direttore generale del Dis, il prefetto Alessandro Pansa, nel corso della cerimonia di presentazione del rapporto: “Per entrare nella modernità dobbiamo mettere in sicurezza il paese anche nel cyberspace”. Non credo ci sia altro da aggiungere.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Cashless, in Europa e Stati Uniti pronti a vivere senza contanti. Ma privacy e sicurezza frenano

Secondo l’ING’s International Survey Mobile Banking 2017 più di 2/3 dei consumatori europei e americani sarebbero pronti al cashless. In Turchia, Italia e Polonia più del 40% ha dichiarato di essere pronto a farlo

Cos’è l’African Summer School, la scuola di startup italo-africane nata a Verona | Intervista

Dal 24 al 30 luglio a Villa Buri la 5^ edizione dell’iniziativa in collaborazione con il Business Incubator for Africa. La testimonianza del Direttore, Fortuna Ekutsu Mambulu. E di Andrea Casale, tra i fondatori di “Serviettes Ingabire” (progetto vincitore dell’edizione 2016)

Il primo viaggio dell’automobile volante del papà di Google

Kitty Hawk è stata sviluppata in Silicon Valley ed è un veicolo completamente elettrico in grado di muoversi per il momento solo sull’acqua per motivi di sicurezza. Presto potrebbe aiutare a superare il problema della congestione del traffico cittadino

Accordo tra Colombini e la startup Sweetguest per arredare le case in affitto

L’azienda di arredamento sceglie il progetto di Rocco Lomazzi ed Edoardo Grattirola che rende l’immobile performante, mette in risalto i punti di forza della casa, si occupa della gestione del check in e anche dei lavori di manutenzione