Premessa
Questo blog è uno spazio personale, così come personali sono tutte le riflessioni e opinioni che condivido qui.
Potrebbe sembrare l’inizio di una giustificazione preconfezionata, ma l’obiettivo di oggi è diverso: voglio proporre un pensiero profondamente mio, un’osservazione su ciò che il mondo della cybersicurezza sta affrontando nel nostro paese, così come lo percepisco dalla mia prospettiva.
Iniziamo
Oggi ho condiviso un lungo post su BlueSky, e oggi vorrei riproporlo qui.
Non intendo sollevare polemiche, ma ritengo che un servizio nazionale dovrebbe destinare le proprie risorse a supporto di tutte le PMI attraverso audit effettivi, gratuiti e sul campo, finalizzati a migliorare concretamente la sicurezza delle aziende.
Molte PMI nel nostro paese ignorano, scelgono di ignorare o non dispongono dei mezzi necessari (personale specializzato, tempo, risorse economiche) per implementare una strategia di sicurezza efficace e sostenibile.
È proprio su questo fronte che un servizio nazionale dovrebbe intervenire, offrendo strumenti e competenze gratuite a supporto di queste realtà.
Spetterà poi all’azienda decidere se investire o meno, scegliere di ignorare il problema oppure intraprendere un percorso verso una maggiore sicurezza.
Oggi la sicurezza si riduce (e traduce) spesso a audit e questionari interminabili, spesso elaborati da personale non sempre competente. Questo approccio genera confusione e una notevole perdita di tempo per chi dovrebbe occuparsi di una questione tanto delicata.
Inoltre, per chi desidera avviare un percorso di sicurezza, tutto ciò risulta intimidatorio, portando a percepire la sicurezza come un problema esclusivamente burocratico e legato a un eccesso di documentazione che non porta nessun beneficio all’atto pratico.
Approfondimento sull’ultimo capoverso
Oggi ho partecipato al kick-off sulla NIS2 e ne sono uscito, a dir poco, amareggiato.
Alla luce di quanto discusso, l’unica certezza sembra essere rappresentata dalle date entro le quali sarà necessario registrarsi sulla piattaforma ACN.
Facciamo un passo indietro: l’attività del fornitore si basa su una serie di domande poste attraverso interviste da remoto, con l’obiettivo di condurre un assessment sulla postura di sicurezza dell’azienda. Al termine di questo processo, viene prodotto un report che dovrebbe fornire una fotografia accurata della situazione aziendale, evidenziando i gap e proponendo suggerimenti per le opere di mitigazione.
Ci sono però dei punti su cui vale la pena riflettere:
Quali sono i punti che verranno effettivamente toccati?
Al momento conosciamo solo le macro categorie:
- Governance
- Risk Management
- Incident Management and Reporting
- Business Continuity
- Third-Party Risk Management
- Vulnerability Management
- Technical Measures
Tuttavia, non c’è ancora oggi visibilità sui dettagli delle singole categorie. Non sappiamo, in altre parole, se gli argomenti analizzati saranno davvero sufficienti per una valutazione esaustiva; d’altronde negli ultimi mesi le carte in tavola sono state rimescolate più di una volta: cosa impedirebbe ad ACN di richiedere maggiori informazioni rispetto a quanto l’auditor ha già verificato?
Cosa e come li dobbiamo presentare?
Un altro punto fondamentale, e assolutamente da non sottovalutare, riguarda l’assenza di linee guida. Al momento, non esiste alcuna indicazione chiara su cosa dovrà essere caricato sul portale né su come queste evidenze dovranno essere strutturate o presentate.
Il rischio concreto è che le aziende si trovino costrette a produrre una quantità enorme di documentazione per dimostrare alle autorità di essere “in regola”. Questa mole di lavoro ricadrebbe inevitabilmente su chi si è già occupato di implementare le misure di sicurezza per l’infrastruttura.
Nella stragrande maggioranza delle PMI, però, queste figure non sono burocrati, ma professionisti IT che gestiscono molteplici aspetti tecnologici aziendali. Questi specialisti spesso non dispongono né del tempo né delle competenze necessarie per redigere documenti ufficiali complessi, aggiungendo ulteriore pressione su risorse già limitate.
Riassumendo
Come ho accennato nel primo capoverso del mio post, credo che un servizio nazionale debba destinare le proprie risorse a supporto delle PMI con audit diretti, gratuiti e sul campo, finalizzati a migliorare concretamente la sicurezza delle aziende.
Le linee guida sono, senza dubbio, fondamentali, soprattutto in un mondo sempre più interconnesso, dove la criminalità informatica avanza a ritmi allarmanti. È altrettanto cruciale proteggere i settori strategici del nostro paese—energia, trasporti, sanità, e così via.
Un altro aspetto che considero imprescindibile è la trasparenza riguardo agli incidenti, con la segnalazione tempestiva degli eventi per tutelare l’intera supply chain.
Ma non così.
EOF