Sicurezza Informatica nelle Pubbliche Amministrazioni: Trasformare una Sfida in un'Opportunità
Le pubbliche amministrazioni (PA) devono affrontare una complessa trasformazione digitale per garantire la sicurezza informatica dei propri sistemi e dati sensibili. Questo processo non può essere visto come un semplice adempimento normativo, ma come un'opportunità per migliorare l'efficienza operativa, la produttività e la qualità dei servizi offerti a cittadini e imprese.
La Valutazione delle Vulnerabilità: Un Passo Essenziale
Per avviare un percorso di cybersecurity efficace, le PA devono innanzitutto valutare le proprie vulnerabilità attraverso strumenti innovativi di analisi del rischio. Questo processo non deve limitarsi a un'analisi interna, ma deve prendere in considerazione anche le interazioni digitali con terze parti, poiché gli attacchi informatici spesso sfruttano le debolezze dei fornitori o dei partner commerciali. L'obiettivo è identificare e proteggere le aree critiche, come i sistemi di identità e controllo degli accessi, i sistemi di archiviazione dati e le basi di dati online. Questa valutazione preliminare consentirà di stabilire il livello di rischio accettabile per ciascun asset IT business-critical e di allocare in modo mirato le risorse per la difesa.
Definire una Strategia di Difesa Digitale Completa
Dopo aver valutato le vulnerabilità, le PA devono definire una strategia di difesa digitale completa, combinando soluzioni, servizi e policy in modo personalizzato. Questo processo decisionale deve tenere conto di fattori come le specificità del contesto amministrativo, l'integrabilità con gli altri sistemi in uso e i risultati delle analisi di rischio. Inoltre, le PA devono prestare particolare attenzione alla sovranità tecnologica, privilegiando soluzioni conformi alle norme europee sulla protezione dei dati e agli standard tecnologici internazionali. Preferibilmente, dovrebbero optare per soluzioni ideate, basate e gestite in Italia, al fine di mitigare i rischi per il Sistema Paese in ambiti critici come la sanità, i trasporti, la segretezza industriale e commerciale, i sistemi di difesa e di ordine pubblico.
L'Outsourcing dei Servizi di Monitoraggio e Gestione
Una strategia efficace di cybersecurity deve valutare attentamente il rapporto costo-beneficio dell'internalizzazione o dell'esternalizzazione dei servizi di monitoraggio e gestione. Per le PA, potrebbe essere preferibile affidarsi a Security Operation Center esterni, che grazie a economie di scala garantiscono un'elevata efficienza e un continuo aggiornamento di metodi, competenze e strumenti.
La Condivisione Tempestiva delle Informazioni
La tempestiva condivisione delle informazioni relative ai rischi cyber e agli attacchi è fondamentale per rispondere in modo efficace. Gli attaccanti collaborano operativamente e scambiano informazioni tra i diversi team, adottando un approccio di community. Una strategia di difesa non può essere efficace se rimane isolata. Pertanto, è importante lavorare su strumenti evoluti per la creazione di community in cui condividere tempestivamente informazioni strategiche e creare una risposta collaborativa alla gestione del rischio informatico.
La Formazione del Personale
Infine, ma non per importanza, le PA non devono mai trascurare il valore della formazione. È essenziale rafforzare la consapevolezza e la postura digitale del personale, garantendo al contempo un costante aggiornamento delle figure specializzate preposte alla cybersecurity.
La Cybersecurity come Strumento Abilitante
In conclusione, la cybersecurity non deve essere vista come un semplice adempimento normativo, ma come uno strumento abilitante per l'efficienza, la produttività e l'innovazione. Affrontando questo processo con consapevolezza e senza frenesie, le PA possono trasformare una necessità indotta in un'opportunità che va ben oltre la difesa dalle minacce. La cybersecurity è anche, e soprattutto, uno strumento per costruire nuovi servizi e processi digitali a beneficio di cittadini, imprese e dell'intero Sistema Paese.
Le Sfide Normative e Strategiche
Il decreto-legge del 21 marzo 2022, n. 21 ("Misure urgenti per contrastare gli effetti economici e umanitari della crisi ucraina") e la successiva Circolare attuativa dell'Agenzia per la Cybersicurezza Nazionale hanno imposto alle PA di diversificare l'uso di soluzioni riconducibili ad aziende o tecnologie russe, al fine di contrastare l'incremento dei rischi per la sicurezza digitale determinato dall'attuale contesto di crisi internazionale. Questi interventi normativi si collocano nel più ampio scenario della Strategia Nazionale di Cybersicurezza 2022-26, che conferma i grandi passi avanti compiuti dall'Italia nella concezione e nella visione di un'architettura nazionale di sicurezza informatica e della sua centralità strategica come fattore abilitante per lo sviluppo dell'economia e dell'industria.
L'Analisi del Contesto Operativo
Le PA sono state proiettate su un terreno operativo in cui nulla può essere lasciato al caso e in cui non si deve cadere nell'errore di una visione semplicistica degli interventi da compiere. La digital transformation ha portato a un incredibile incremento del volume delle transazioni digitali e delle interazioni da remoto con utenti, dipendenti e fornitori, determinando una maggiore esposizione al rischio cyber e un ampliamento del perimetro digitale da proteggere.
La Valutazione delle Aree Critiche
Un passo fondamentale per le PA è l'individuazione degli asset IT business-critical, come i sistemi di identità e controllo di accesso, i sistemi di archiviazione dati e le basi di dati online. È necessario definire il livello di rischio accettabile per ognuno di essi, operazione funzionale alla successiva corretta allocazione delle misure e degli investimenti per la difesa.
L'Analisi della Supply Chain
Nell'analisi delle vulnerabilità, è essenziale non concentrarsi esclusivamente sull'interno dell'organizzazione, ma valutare anche il livello di rischio determinato dalle interazioni digitali con terze parti. Sempre più spesso, infatti, gli attacchi cyber riescono a penetrare nel perimetro di un'organizzazione sfruttando le vulnerabilità di soggetti ad essa esterni.
La Scelta delle Soluzioni e dei Servizi
Dopo aver completato le analisi preliminari, le PA possono definire la combinazione più idonea di soluzioni, servizi e policy per costruire la propria Strategia di Difesa Digitale. In questo processo decisionale, devono essere considerati fattori come la peculiarità dello specifico contesto amministrativo, l'integrabilità con gli altri sistemi in uso e, naturalmente, le risultanze delle predette analisi.
Il Principio della Sovranità Tecnologica
Un'indicazione chiara per l'identificazione delle scelte più valide è data dallo stesso decreto-legge 21/22, che ha delineato il principio del conseguimento dell'indispensabile sovranità tecnologica. L'attenzione deve inevitabilmente concentrarsi su soluzioni e servizi conformi alle norme europee su data residency, data protection e GDPR, e agli standard tecnologici internazionali. Ancor meglio, se ideati, basati e gestiti in Italia, condizione essenziale per mitigare i rischi per il Sistema Paese in ambiti critici.
L'Esternalizzazione dei Servizi di Monitoraggio e Gestione
Una strategia efficace di cybersecurity deve valutare il rapporto costo-benefici di avvalersi di strutture organizzative e competenze specialistiche interne, oppure di percorrere la strada del corretto bilanciamento tra internalizzazione ed esternalizzazione. Per un'organizzazione pubblica, può essere preferibile demandare servizi di monitoraggio e di gestione a Security Operation Center esterni, che per volumi ed economie di scala risultano molto efficienti e garantiscono una continua evoluzione di metodi, competenze e strumenti.
La Condivisione delle Informazioni sul Rischio Cyber
La tempestiva condivisione delle informazioni relative ai rischi cyber e agli attacchi è fondamentale per rispondere in modo efficace. Chi attacca (threat actors) lo fa collaborando operativamente e scambiando informazioni tra i diversi team con un approccio di community. Una strategia di difesa non può essere efficace se rimane una strategia uno contro tanti.
L'Importanza della Formazione
Le PA non devono mai perdere di vista il valore della formazione, sia per rafforzare consapevolezza e postura digitale del personale, che per garantire alle figure preposte e specializzate il costante aggiornamento essenziale per la propria professionalità.
La Cybersecurity come Abilitatore di Efficienza e Produttività
Appare chiaro che la cybersecurity non può essere considerata semplicemente un elemento aggiuntivo da integrare in risposta a un rischio emergente, ma implica per le PA la gestione di un processo complesso e delicato. Affrontarlo con consapevolezza e senza pericolose frenesie, tuttavia, può trasformare una necessità indotta in un'opportunità che va ben oltre la difesa dalle minacce. Oggi la cybersecurity è anche e soprattutto uno strumento abilitatore di efficienza e produttività, nonché il presupposto per costruire nuovi servizi e processi digitali a beneficio di cittadini, imprese e dell'intero Sistema Paese.