Cybersecurity valore per l'impresa, ma servono investimenti mirati - CorCom

Cybersecurity valore per l’impresa, ma servono investimenti mirati

La sicurezza informatica è condizione essenziale per poter crescere in termini di competitività. Ecco il perché nell’analisi di Gabriele Faggioli e Chiara Giorgini

25 Mar 2016

Gabriele Faggioli (Polimi), Chiara Giorgini (P4i)

Il crescente processo di digitalizzazione (si pensi alla crescita dei servizi cloud e della Internet of Things), se da un lato ha determinato una maggior facilità nello scambio di informazioni tra aziende, individui ed istituzioni, dall’altro ha comportato una maggior vulnerabilità delle applicazioni e dei sistemi informatici. Ciò impone di realizzare dei piani strategici a livello nazionale che prevedano non solo misure di contrasto ai crimini informatici ma anche azioni di sensibilizzazione e di coordinamento. Gli aspetti legati alla sicurezza non possono in alcun modo passare in secondo piano.

Gli investimenti in materia di cybersecurity devono coinvolgere le istituzioni pubbliche, le imprese multinazionali, nonché le aziende di piccole e medie dimensioni. Quest’ultime, in particolare, risultano ancor più degli altri soggetti esposte alle conseguenze negative che gli attacchi informatici possono determinare, in ragione delle ridotte risorse organizzative ed economiche.

La cybersecurity rappresenta una componente imprescindibile del “valore” che l’impresa è in grado di generare nei confronti della società e, dunque, gli investimenti in materia di sicurezza informatica non costituiscono affatto un costo superfluo, ma determinano una crescita in termini di competitività sul mercato della singola impresa.

Secondo uno studio sponsorizzato da Intel Security, nel 2016 vi sarà un incremento dei virus informatici che chiedono un riscatto al fine di riavere integri i file presi in ostaggio (Ransomwere). Ancora, si prevede un aumento degli attacchi verso le piattaforme di pagamento online e, addirittura, verso le automobili, che dovranno essere dotate di livelli di protezione adeguati. Lo studio citato si sofferma, da ultimo, sulla necessità in capo alle aziende di dotarsi di una “cyber assicurazione” contro gli incidenti informatici, calcolata, tra l’altro, sul profilo di rischio della singola impresa.

I più significativi interventi in tema di cybersecurity sono da ricondurre innanzitutto al D.P.C.M. del 24 gennaio 2013, con il quale l’Italia ha previsto un quadro strategico nazionale che coinvolge soggetti sia pubblici che privati e che ha ad oggetto tanto le fasi della prevenzione contro gli eventi dannosi, quanto le successive attività di repressione con riferimento a crimini cibernetici.

Successivamente, con la legge di stabilità 2016, è stato previsto all’art. 1 co. 965 un fondo per il potenziamento degli interventi e delle dotazioni strumentali in materia di protezione cibernetica e di sicurezza informatica nazionali, con una dotazione finanziaria di 150 milioni di euro per l’anno 2016. Un decimo dei 150 milioni di euro, ovvero 15 milioni di euro, sono destinati al rafforzamento della formazione del personale del servizio polizia postale e delle comunicazioni, e all’aggiornamento della tecnologia dei macchinari e delle postazioni informatiche.

Il Presidente del Consiglio Matteo Renzi ha inoltre provveduto a nominare l’imprenditore Marco Carrai come responsabile del Nucleo per la Sicurezza Cibernetica, organo nato nel 2013 sotto il controllo dell’Ufficio del Consigliere Militare presso la Presidenza del Consiglio dei Ministri, che si occupa di programmazione e pianificazione in tema di cybersecurity, diffusione di allarmi e gestione delle crisi, oltre che acquisizione di informazioni con riferimento a violazioni di sicurezza.

Da ultimo, non può non darsi conto delle novità introdotte per effetto del nuovo Regolamento Europeo in tema di privacy, la cui adozione formale dovrebbe avvenire nei primi mesi del 2016.

Esso, in tema di misure di sicurezza, non contiene il concetto di “misure minime” previsto invece all’interno del Codice privacy (art. 33 del D. Lgs. 196/2003), bensì stabilisce che il responsabile (Titolare nella declinazione del Codice Privacy) o l’incaricato del trattamento debbano adottare misure tecniche ed organizzative adeguate al fine di garantire un appropriato livello di sicurezza. Viene dunque realizzato un elenco esemplificativo di tali misure, tra le quali rientrano l’uso di pseudonimi o la criptazione dei dati, nonché sistemi che consentono di ripristinare in modo tempestivo l’accesso ai dati in caso di incidente fisico o tecnico.

Inoltre, sempre alla luce del nuovo Regolamento Europeo, qualora le operazioni di trattamento dei dati possano comportare un rischio per i diritti e le libertà delle persone fisiche, il responsabile del trattamento deve effettuare una valutazione d’impatto che contenga, tra l’altro, le misure di sicurezza ritenute necessarie per affrontare i suddetti rischi.

L’elaborazione di un sistema di partnership pubblico privato finalizzato all’elaborazione di nuove competenze, oltre che all’istituzione di capacità condivise, costituisce la sfida del futuro: solo in questo modo sarà possibile procedere ad un’effettiva innovazione del digitale, assicurando al contempo un incremento dei livelli di sicurezza.