Il 2015 è stato un anno chiave per la cyber sicurezza: l’attenzione sul tema si è fortemente alzata e non solo per un’aumentata consapevolezza delle minacce e dei danni, a volte devastanti, generati dagli attacchi informatici (anche i media vi dedicano sempre più attenzione), ma perché sono aumentati i vincoli normativi che costringono imprese e pubbliche amministrazioni a proteggersi e prevenire gli incidenti. Lo ha sottolineato Gabriele Faggioli, Presidente, Clusit, aprendo i lavori del convegno “Cyber security & Digital identity – La sicurezza del Paese passa dal digitale” organizzato da CorCom e FPA.
“Le normative pesano come driver fondamentale per avviare strategie di cyber difesa e assegnarvi budget importanti: la compliance ha portato l’attenzione alla sicurezza ai vertici aziendali, anche in settori come banche e energia dove la spinta non dovrebbe essere questa”, ha detto Faggioli, ribadendo: “Le infrastrutture critiche vanno protette, la sicurezza deve ottenere risorse adeguate”.
Ma la rinnovata consapevolezza di aziende e PA ai temi della sicurezza è stata trainata nel 2015 anche da un altro elemento, quello dei servizi erogati al mercato: si moltiplicano i fornitori del cloud e in generale si assiste a un aumento al ricorso all’esternalizzazione dei processi e questo ha una “grande rilevanza in termini di sicurezza”, ha osservato Faggioli.
Anche da questo punto di vista la legislazione oggi ha mostrato di aver compiuto notevoli passi in avanti: “piatta e orizzontale” negli anni passati, oggi è diventata “matura e verticale”, capace di rendere conto delle differenze tra settori (e di coprire in particolare settori di rischio come Tlc o sanità).
Presto arriverà anche la legislazione dell’Ue in materia di cyber sicurezza con importanti novità, ha continuato Faggioli: la direzione da seguire è non solo quella di adottare nstrumenti di protezione (firewall, antivirus, ecc. ) ma disegnare vere “politiche della sicurezza, basate sulla valutazione e l’analisi dei rischi e sulla messa a punto di misure di protezione in linea con i propri rischi e le esigenze della propria infrastruttura”. Arriverà anche l’obbligo di segnalazione delle eventuali violazioni di dati (data breach): “Non si potrà più essere oscuri su questo tema”, ha indicato Faggioli.
Infine, riguardo alla proposta figura del Data protection officer, per Faggioli “La versione attuale del regolamento è un piccolo passo indietro rispetto a versioni precedenti, perché questo ruolo sarà obbligatorio solo per gli enti pubblici e in alcuni ambiti dove è cruciale la protezione dei dati sensibili”, ma il Data protection officer resta comunque “importante per alzare l’attenzione sul tema della sicurezza e l’attività preventiva: gli attacchi non si possono evitare del tutto ma le strategie di prevenzione e mitigazione sono fondamentali”.
