scenari

Portiamo la cybersecurity “dentro” imprese e PA: il cambio di passo che serve

Per recuperare il ritardo del nostro paese in ambito cybersecurity è necessario nei processi di selezione della classe dirigente ridare alla conoscenza e alla meritocrazia il ruolo che si meritano e, soprattutto, passare dal “raccontare” al “fare” la cybersecurity

28 Gen 2021
Danilo Bruschi

Professore ordinario, Dipartimento di Informatica Giovanni degli Antoni

cybersicurezza

Al di là della contingenza pandemica, il nostro pianeta sta attraversando un altro momento critico caratterizzato da una parte da uno sviluppo estremamente spinto delle tecnologie digitali e dall’altra dall’inadeguatezza di strumenti e uomini per far fronte ai diversi rischi che questo sviluppo comporta. Che la portata del problema sia particolarmente significativa e richieda sforzi straordinari per il suo contenimento e/o gestione, lo dimostra il recentissimo attacco a SolarWinds che ha compromesso i sistemi informatici di un numero considerevole di istituzioni statunitensi (uno dei paesi più avanzati in termini di cultura cybersecurity) senza che queste ne avessero contezza.

Cyber security, come colmare il divario tra problemi e risposte

Per poter tener testa a questi tipi di criticità sarebbe necessario disporre di una classe dirigente ben consapevole del problema e delle sue implicazioni.  Purtroppo, l’attuale classe dirigente si è formata quando il problema cybersecurity era un fenomeno riservato agli addetti ai lavori e vive il problema di riflesso senza averlo adeguatamente assimilato. Il risultato: scelte di uomini nei posti chiave e di mezzi non all’altezza della sfida e una rete globale particolarmente vulnerabile. Si tratta di un problema non solo italiano ma che coinvolge, seppur in diversa misura, l’intero globo e riguarda sia il settore pubblico che quello privato (sempre fatte le dovute eccezioni). Certo è che l’Europa ed in particolare il nostro paese sono decisamente in ritardo sul tema, e proprio sulla situazione nel nostro paese vorrei soffermarmi.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

Non possiamo negare che in questi ultimi anni la cybersecurity abbia ricevuto una certa attenzione anche da parte di diverse componenti della classe dirigente, ma indubbiamente la risposta non è commisurata al livello di rischio che questo tipo di minaccia sta assumendo. Il livello di rischio cyber e la portata del suo impatto stanno crescendo molto più rapidamente del corrispondente livello di consapevolezza da parte di chi questo stato di cose dovrebbe in qualche modo contrastare. Come si può ovviare a questo stato di cose, come si può colmare questo divario, che con il progredire delle tecnologie e delle applicazioni diventa sempre più critico?

La strategia generalmente adottata per cercare di dare una risposta a queste domande da parte di diversi paesi è l’erogazione di programmi “massivi” di cybersecurity awareness e l’emanazione per gli “addetti ai lavori” di linee guida, best practice, misure minime, checklist, ecc. ecc. L’efficacia di questa strategia è sotto gli occhi di tutti, il problema cybersecurity non tende a diminuire, anzi.

Rimandando il discorso sui programmi di security awareness ad un eventuale successivo contributo, credo che il problema dell’approccio basato sulle linee guida sia legato al fatto che spesso l’utenza a cui questi documenti sono rivolti non ha le risorse e le competenze per poterli mettere in pratica. Se si vuole che questo approccio generi risultati tangibili è necessario fornire a questi soggetti le risorse e le competenze necessarie a metterli in pratica. È necessario passare dalla fase in cui si dice a queste realtà cosa devono fare ad una fase in cui le si aiuta a fare. Se riuscissimo in questa “impresa” e contemporaneamente accelerare il processo di ricambio della classe dirigente riusciremmo a recuperare buona parte del gap di cui abbiamo accennato precedentemente, e potremmo anche gettare delle solide basi di relazioni, conoscenze ed esperienze su cui fondare un Istituto per la Cybersecurity.  In pratica tutto questo come si traduce.

Si potrebbe per esempio istituire un piano straordinario per la messa in sicurezza delle risorse informatiche di: Ospedali, Università, Enti locali, PMI e tutti i soggetti il cui patrimonio informativo o informatico possa essere oggetto di attacchi informatici. Un progetto che potrebbe essere finanziato per esempio con il Recovery Fund. Come si sta pensando alla manutenzione (quindi sicurezza fisica) delle grandi infrastrutture viarie, di trasporto e di comunicazione è necessario pensare anche alla loro sicurezza logica e più in generale alla sicurezza logica del paese.

Obiettivi, risorse, competenze

Attenzione, non ci stiamo riferendo al solito progetto che si esaurisce con l’emissione di baseline ma di un progetto al termine del quale i sistemi informatici della stragrande maggioranza degli enti ed organizzazioni che operano sul territorio nazionale siano in grado di resistere alle forme più diffuse di attacco informatico. Questo progetto dovrà quindi prevedere accanto agli obiettivi di sicurezza logica che si vogliono perseguire anche tutte le competenze/risorse/meccanismi necessari per garantire e verificare che ogni singola realtà coinvolta, al termine del progetto abbia raggiunto gli obiettivi prefissati, favorendo al contempo il necessario trasferimento di competenze dal centro alla periferia secondo un approccio “training on the job”.

È certamente un progetto molto ambizioso e richiede quantità significative di risorse umane ed economiche. Se però lo si scala su realtà regionali o provinciali, in un arco temporale ragionevole, il progetto acquista concretezza.  Se poi si introducono delle priorità in ordine alle criticità delle diverse realtà, ecco che nell’arco di qualche anno le nostre realtà “produttive” e i cittadini potrebbero utilizzare la rete con le dovute garanzie di protezione e riservatezza che oggi di fatto non esistono.

Ovviamente, la componente critica del progetto è la costituzione di un gruppo di persone in grado di esibire competenze ed esperienze significative, persone che oltre a dire abbiano dimostrato nella loro carriera anche di saper fare. Anche se non sono molto in evidenza, al nostro paese non mancano questi tipi di persone.

Per quanto riguarda il supporto economico leggo che 40 miliardi. del recovery fund saranno dedicati ai progetti di digitalizzazione: voglio augurarmi che una percentuale non esigua di questa cifra sia dedicata alla messa in sicurezza (cyber) delle infrastrutture e applicazioni, quale occasione migliore quindi per dare il via ad un grande progetto di messa in sicurezza anche del legacy, che è in genere l’anello più debole della catena?

La selezione della classe dirigente

In conclusione, vorrei tornare velocemente sul problema della selezione della classe dirigente sopra accennato. In una prospettiva di rafforzamento dell’infrastruttura di cybersecurity, non si possono sottovalutare alcune storture che si sono create nel corso degli anni nella formazione della classe dirigente del nostro paese, e che è opportuno eliminare anche se progressivamente.

La rivoluzione digitale è soprattutto una rivoluzione culturale e come tale comporta lo stravolgimento di diversi paradigmi di riferimento tra questi anche quello relativo alla selezione della classe dirigente.  Nel nostro paese è ampiamente diffuso l’assunto che la classe dirigente, intendo con questa gli organi di governo, i dirigenti della pubblica amministrazione, imprenditori, direttori di aziende private, debba essere selezionata tra chi proviene da una formazione di tipo giuridico-umanistica, poiché solo una vasta cultura generale, che dovrebbe caratterizzare questo tipo di persone, fornisce la duttilità e le capacità di analisi, che servono a compiere le scelte di portata generale e di natura complessa, tipiche della classe dirigente. Questo ha fatto sì che, nel nostro paese, anche i ruoli prettamente più tecnici siano spesso ricoperti da personale con profilo non adeguato. Molto illuminante in questo senso l’intervista a Sabino Cassese recentemente apparsa. Se accanto a questo dato si aggiunge la considerazione che la selezione della classe dirigente avviene principalmente attraverso meccanismi di cooptazione o relazionali piuttosto che adottando il tanto citato, ma poco praticato, meccanismo della meritocrazia, ecco delineato il profilo di una classe dirigente che sicuramente non sta aiutando il nostro paese a competere nel panorama internazionale sul fronte della digitalizzazione, come tra l’altro evidenziato da diversi indicatori,  non ultimo il DESI.

Personalmente resto dell’idea che nessuna organizzazione possa oggi permettersi nei ruoli della così detta C-suite, persone che non abbiamo una certa conoscenza dei principi di funzionamento delle tecnologie dell’informazione e della cybersecurity. Sposo sino in fondo il motto “Everybody in this country should learn how to program a computer, because it teaches you how to think” coniato da Steve Jobs nel 1995.

È quindi necessario rivedere i criteri di selezione della classe dirigente, e ridare la giusta dignità ed il giusto ruolo a chi proviene da una cultura tecnico scientifica o quantomeno a questo tipo di competenze. Se questo è vero in generale, nel caso della cybersecurity diventa ancora più cogente.

È necessario che le competenze di cybersecurity trovino l’adeguata valorizzazione nell’ambito delle diverse organizzazioni. Non ci si improvvisa esperti di cybersecurity. La cybersecurity ha i suoi strumenti e le sue metodologie che richiedono anni di studio training e aggiornamento continuo per poter essere acquisite, gestite e usate correttamente. Sono competenze che vanno opportunamente valorizzate se si vogliono incoraggiare le persone, soprattutto i giovani, ad intraprendere questo tipo di carriera. Se questo messaggio non passa, troveremo sempre meno persone interessate ad occuparsi di cybersecurity e sempre più persone impreparate a ricoprire ruoli critici.

Un passo in questo senso dovrebbe essere compiuto dalle medie/grandi organizzazioni per la valorizzazione delle figure dei responsabili della cybersecurity (CISO), che meritano in ambito aziendale un grado di autonomia almeno pari a quello dei responsabili IT (CIO). Si tratta di figure che operano con KPI complementari e meritano uguale dignità.

In tal senso, credo che la “recente” iniziativeadi AGID di istituire presso le pubbliche amministrazioni un Responsabile alla Transizione Digitale (RTD) non contribuisca a fare chiarezza sul ruolo della cybersecurity in un’organizzazione, nella fattispecie nella PA.  Difatti, la stragrande maggioranza delle amministrazioni ha individuato il proprio RTD nel proprio CIO, si dà però il caso che il RTD debba anche occuparsi di pianificazione e coordinamento delle iniziative in ambito cybersecurity creando di fatto un vincolo gerarchico tra CIO e CISO a favore del primo. Non sappiamo se sia una svista o meno da parte di AGID certo è che la cosa meriterebbe un chiarimento.

Conclusioni

In conclusione, il web 2.0, l’industria 4.0, il 5G sono tutte innovazioni che possono modificare in meglio la vita di molti se saranno in grado di dare ai loro utenti le necessarie garanzie di sicurezza. La cybersecurity è il fattore abilitante e sul tema, nel panorama dei paesi più industrializzati, il nostro paese è in ritardo. In questa fase in cui tutto il mondo è in affanno possiamo provare a recuperare il tempo perduto: è necessario nei processi di selezione della classe dirigente ridare alla conoscenza e alla meritocrazia il ruolo che si meritano, ed oltremodo è necessario passare dal “raccontare la cybersecurity”  a “fare la cybersecurity”.

WHITEPAPER
CyberWar Russia-Ucraina: scenario e impatto sulle aziende italiane ed europee
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Analisi
PA
Salute digitale
News
Fondi
Formazione
Ecologia
Digital Economy
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Incentivi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Incentivi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati