Il tema cyber ancora è stato ben valutato nel nostro Paese. D’altro canto, come abbiamo più volte ribadito su queste pagine, “siamo molto bravi nel fare le analisi il giorno dopo l’accaduto”. Nessuno pensa alle minacce cibernetiche e alla violazione dei dati. Necessario analizzare quali siano le fasi del processo di risk management, l’identificazione e la valutazione. Quando parliamo di cyber risk, bisognerebbe contestualizzare il rischio nello spazio cibernetico. Una valutazione che va fatta con metodi quantitativi e qualitativi, analizzando i livelli di priorità.
Nel febbraio 2014 il NIST pubblicò il documento “Framework for Improving Critical Infrastructure Cyber Security” nel quale si delineavano degli standard al fine di proteggere i sistemi e le risorse più importanti per la sicurezza del paese e per garantire che tutti i settori critici sostenessero un certo livello di Cybersecurity. Secondo l’osservatorio ODAR della SI-IES i dati e gli indirizzi che ne scaturivano palesavano la necessità di un approccio basato sul rischio, in grado di determinare la preparazione corretta in ambito cybersecurity, rifacendosi alle esigenze specifiche e alle caratteristiche di ciascun settore di business.
Da cui, dopo una prima analisi, è emerso che i rischi sono organizzati almeno in cinque attività principali che le persone che gestiscono la sicurezza IT devono eseguire con puntualità e precisione: identificazione, protezione, rilevazione, risposta e recupero.
In detta attività le categorie e le funzioni necessarie sono: asset management; ambienti di business, governance, valutazione del rischio, strategia di gestione del rischio. Il calcolo del rischio rientra in una formula precisa che, tra l’altro, dovrà tenere conto: dei dati strategici, delle misure di sicurezza, della determinazione dell’impatto, della sostituzione della probabilità, del livello di sicurezza secondo un apposito framework, e dell’esposizione.
Le classi di rischio possono essere contenute in almeno quattro aree: resistente; sensibile; inesperto; vulnerabile.
Da quanto descritto in maniera non esaustiva si evince che creare un software non è compito semplice. Secondo SI-IES vi è una rilevante necessità di sviluppare un apposito modello ai fini della valutazione del cyber rischio. Importante un rapporto di consulenza specialistica e della creazione di un questionario.
Una parentesi sul fenomeno malware, una delle minacce per eccellenza nel mondo cyber per la quale è bene che tutti pensino ad una protezione: i sistemi informativi sono comunemente esposti a software malevoli denominati, appunto, malware, soprattutto se connessi ad internet. L’innovazione tecnologica, nuovi strumenti di lavoro, il ruolo dei social, i dispositivi mobili e dei servizi cloud hanno portato ad una maggiore vulnerabilità dell’azienda, della PA e del singolo individuo all’interno dello spazio cibernetico.
Per concludere un ultima parentesi: in questi giorni la stampa ha riportato alcune considerazione che riguardano il mondo assicurativo. Gli AD di Aon e Aon Italia, Greg Case e Carlo Clavarino, hanno fatto riferimento alla Global Risk Security, ed hanno ricordato che dal 2018 ci sarà il nuovo regolamento generale europeo sulla protezione dei dati. Maggiore attenzione merita l’argomento sul piano pubblico, di governo ed anche, appunto, del ruolo importante che possono avere nell’ambito le società di consulenza.
