Il tema della resilienza dell’informazione e dei dati su cui essa si fonda ha un rilievo sempre maggiore nel quadro dello sviluppo dei servizi personalizzati che accompagna e sostiene la diffusione degli smartphone. La resilienza dell’informazione è al centro della resilienza dell’organizzazione, poiché oggi, nella realtà interconnessa in cui viviamo, è l’informazione il cuore di ogni realtà organizzativa. Aumenta in parallelo la necessità di raggiungere livelli adeguati di sicurezza e di tutela della privacy, dal momento che, come dimostrano le indagini recenti, anche il mondo Apple è esposto ai rischi della criminalità cyber, soprattutto se gli utenti prendono il “controllo” dello smartphone con gli strumenti di jailbreaking, che hanno l’effetto collaterale di rendere le app molto più esposte e meno protette.
Sul tema della resilienza dell’informazione, ossia della capacità delle organizzazioni di proteggere e rendere recuperabili anche in casi di emergenza il loro patrimoni informativo, si è svolto il 13 ottobre 2016 in Assolombarda l’incontro sulla promosso da BSI (British Standards Institution), Assolombarda e Fondazione GCSEC (Global Cyber Security Center di Posteitaliane).
L’evento rientra tra le attività segnalate dall’ECSM (European Cyber Security Month), la campagna dell’Unione Europea che si tiene durante tutto il mese di ottobre per promuovere tra i cittadini la conoscenza delle minacce informatiche e dei metodi per contrastarle.
Le informazioni fisiche, vocali, digitali per tutto il loro ciclo di vita (nascita, conservazione, disponibilità, distruzione) devono essere disponibili, recuperabili in caso di incidente o di attacco e devono esser protette per proteggere l’organizzazione che le produce e che ne è responsabile, come nel caso della sanità. Ossia si deve applicare all’interno di ogni organizzazione un principio di controllo dei processi, definizione delle deleghe di accesso, responsabilità gestionale e scambio di best practice, che si applica nella tutela delle infrastrutture critiche che veicolano e custodiscono queste informazioni. Questo significa che il cloud, la connettività, i servizi e il sw open source, la sicurezza degli apparecchi di accesso e di gestione, devono esser affidati a persone consapevoli dell’importanza di mantenere il controllo della sicurezza e di instaurare comportamenti coerenti con il perseguimento della tutela della privacy e della cybersecurity dell’organizzazione.
BSI, presente in 30 paesi, con oltre 3.600 specialisti e clienti in 170 paesi, nata 115 anni fa come primo ente di standardizzazione, sviluppa gli standard per i sistemi di gestione, in tutti i settori produttivi, e ha sviluppato servizi di certificazione e di formazione oltre ad una interessante diversificazione nell’ambito dell’assicurazione dei rischi cyber.
Anche nel nostro Paese si stanno sviluppando competenze di alto livello, anche internazionale, sulla resilienza dell’informazione e dei dati, come dimostra la newco 4science del Gruppo Itway, che ha investito in competenze professionali già sperimentate in ambito universitario e di ricerca. Si muovono nell’ambito della long time preservation dei dati, della gestione delle repository delle informazioni sulla ricerca, della digitalizzazione e metadatazione di grandi moli di dati. Sono aree che rivestiranno importanza crescente nell’ambito dei beni culturali, della ricerca scientifica, della gestione massiva di dati dei clienti (utilities e finanza), che verranno presidiate da una azienda italiana presente non solo in Italia, ma anche sul mercato europeo e nell’area del Golfo.
In occasione dell’evento sulla resilienza delle informazioni, abbiamo parlato con il CEO di BSI, Howard Kerr. La sua visione del processo di crescita delle aziende è allo stesso tempo attenta al breve e al lungo periodo. Nel breve è urgente che le aziende decidano di mantenersi competitive attraverso l’adozione degli standard internazionali di qualità per i propri processi di produzione, marketing, delivery e per la cybersecurity. L’applicazione degli standard assicura maggiore efficacia ai processi e la certificazione assicura maggiore trasparenza e accountability sia verso i clienti sia verso gli investitori.
Questa trasparenza era venuta meno negli anni precedenti alla grande crisi del 2008; essa è stata faticosamente ricostruita con un processo di riorganizzazione e di adozione delle best practice in molti settori, ed è particolarmente difficile e lenta nei servizi finanziari. Gli effetti di questo lavoro si vedono nel lungo termine, quando l’azienda è in grado di resistere alle oscillazioni del mercato e alle pressioni competitive avendo rafforzato l’efficienza e l’efficacia dei processi interni e la credibilità sul mercato.
Chiediamo a Howard Kerr se la cybersecurity può essere considerata come una infrastruttura complessa e dinamica di competenze e servizi, di procedure e di scambi di informazioni sistematici che protegge il valore dell’organizzazione e contribuisce alla sua resilienza. La sua risposta è che BSI ritiene già di esser parte di questa infrastruttura a livello di sistema: collabora con la Bank of England per assicurare che la cybersecurity diventi e rimanga una priorità del sistema finanziario, con effetti che non si vedono solo nel Regno Unito, ma a livello globale.
Lo dimostrano la vicenda della Banca Centrale del Bangladesh, con un piano miliardario di sottrazione da parte di cyber-criminali che si è attuato poi con decine di milioni di dollari di fondi trafugati nel febbraio 2016. Qui la mancanza di una trasparente comunicazione verso il governo e una gestione improvvida della crisi, oltre a portare in luce una carenza gestionale e manageriale della Banca, hanno posto in rilievo la fragilità dell’intero sistema finanziario della nazione.
Nel Regno Unito, Howard Kerr cita lo scandalo della vendita di prodotti finanziari quali i PPI, (payment protection insurance) ovvero delle polizze di assicurazione per i pagamenti a carico degli assicurati nel caso che questi ultimi fossero nell’impossibilità di liquidarli. Le polizze sono state vendute dalle banche a cittadini a loro insaputa o sapendo che erano del tutto inefficaci rispetto ai rischi che correvano i sottoscrittori, un tipico effetto di delivery di prodotti non certificati, attraverso un canale di vendita non adatto. Ma le sanzioni e i rimborsi sono già costati oltre 37 milioni di sterline alle banche che hanno venduto oltre 50 milioni di polizze negli anni successivi al 2011.
Secondo Howard Kerr, c’è una sola strada per evitare queste pratiche oscure e devastanti per la credibilità delle banche: capire l’importanza degli standard in materia di sicurezza e di gestione. Occorre un buon disegno organizzativo, una standardizzazione dei contratti che premi la semplicità e la trasparenza: “lo abbiamo fatto con Barclays e i suoi nuovi prodotti di sportello, che abbiamo standardizzato per i correntisti con una maggiore chiarezza e facilità di comprensione delle clausole, e i risultati ci danno ragione: sono proprio i prodotti più semplici e chiari che hanno registrato la diffusione più consistente sul mercato”.
Gli chiediamo come si collocano le attività di standardizzazione rispetto alla regolazione del mercato, poiché chi opera in Italia sa che c’è una prevenzione contro tutto ciò che ha il sapore di una nuova ingerenza nell’attività di impresa.
Secondo Howard Kerr è importante distinguere tra regolazione dei mercati, che è fatta dalle autorità ed è cogente, e coregolazione, che viene fatta in modo volontario dalle aziende: non si tratta di introdurre nuovi vincoli, in un mercato che è già troppo regolato anche nel Regno Unito e sicuramente nell’Europa continentale. Si tratta, invece, di stimolare l’adozione di procedure efficaci e di trasferire alle organizzazioni che sono più arretrate, le esperienze degli altri settori o delle aziende più avanzate, in modo che il processo di adesione e di diffusione avvenga su base volontaria misurando i benefici che derivano dalla adozione delle prassi più efficaci.
Nel nostro Paese vi è una scarsa consapevolezza del ruolo degli standard per assicurare qualità ai processi aziendali. Ciò deriva anche dalla dimensione ridotta delle aziende e dal fatto che le aziende di piccola dimensione sono meno attive sul mercato internazionale. Ma se quelle aziende vogliono crescere, anche per non rimanere schiacciate dalla concorrenza dei paesi emergenti, è necessario che questa prevenzione contro l’adozione degli standard e la loro certificazione venga meno e si affermi una cultura della qualità dei processi. Questo è particolarmente vero nell’ambito della cybersecurity, un tema assai complesso, ma dove già l’adozione dell’ISO 27001 aiuta molte aziende a definire procedure efficaci per affrontare gli attacchi che sono sempre più articolati e diffusi. “Molti credono che gli standard siano nuove regole, mentre gli standard sono stati creati dall’industria per l’industria e i vantaggi vanno a favore delle aziende che li adottano e li certificano per il mercato”.
All’analisi di Kerr fanno seguito le affermazioni di Luigi Brusamolino managing director – Southern Europe BSI Group – “Se parliamo di standard e in particolare di 27001 risulta interessante analizzare la crescita della sua diffusione in Italia: abbiamo avuto picco molto importante di certificazioni nel 2013 derivante dalla sensibilizzazione dei media sia dalla introduzione di nuovi obblighi introdotti dal legislatore e questo dimostra quanto sia importante mantenere alta l’attenzione. In BSI abbiamo un focus molto importante sull’argomento cybersecurity come testimoniano le acquisizioni di quest’anno di Espion (azienda con una forte expertise nella gestione e nella sicurezza delle informazioni aziendali) e Info-Assure (azienda leader nella cyber-security e di sicurezza delle informazioni con clienti nei settore statali, difesa, polizia, bancario. L’incontro dedicato all’information resilience è stato un momento importante per creare cultura sull’argomento considerando che la sensibilizzazione su queste tematiche fa parte della mission di BSI”.
