Alla tappa milanese del Cybersecurity Summit 2014 di The Innovation Group vari esperti hanno discusso di nuovi paradigmi relativi a sicurezza, identità digitali e gestione del rischio. E si è sfatato il luogo comune della scarsa affidabilità del computing a nuvola.

Al Cybersecurity Summit 2014, evento organizzato di recente a Milano (una seconda tappa a Roma è prevista per il 20 maggio) da The Innovation Group per approfondire l’evoluzione delle minacce e i diversi punti di vista in tema di sicurezza Ict, è emerso un assunto importante: solo dallo scambio di informazioni, dall’adozione di misure comuni, da analisi e segnalazioni in tempo reale, si arriva a contrastare le minacce sempre più avanzate. Il tutto in uno scenario che, a livello nazionale, è caratterizzato da luci e ombre.

Da un lato, dicono gli analisti, va constatato purtroppo come la rapida perdita di competitività subita dal nostro Paese negli ultimi anni sia anche legata alla scarsa attenzione prestata a proteggere il copyright del sistema industriale italiano.

E l’affondo di Andrea Rigoni, Direttore Generale dell’organizzazione no profit Global Cyber Security Center e menbro swll’Unità di Missione per l'Agenda Digitale, è stato in tal senso di quelli da evidenziare con la matita rossa: "20 miliardi all’anno è il conto che paghiamo in termini di perdita di competitività legata al furto di proprietà intellettuale, una minaccia silente i cui effetti non si vedono subito, ma nel tempo, quando dall’altra parte del mondo qualcuno produce un prodotto copiando un nostro brevetto".

Dall’altro lato, si dispone ora di misure concrete volte a elevare il livello di sicurezza, principalmente delle infrastrutture critiche del Paese ma anche a livello di aziende e cittadini, con la pubblicazione in Gazzetta Ufficiale (lo scorso febbraio) del Quadro strategico nazionale per la sicurezza e del Piano nazionale per la protezione cibernetica e la sicurezza informatica.

"Una trasformazione che porterà a nuove forme di collaborazione tra Stato e settore privato – ha detto in tema lo stesso Rigoni - nell’individuare non tanto le misure minime quanto attività condivise di analisi, valutazione dei rischi, adozione di standard, segnalazioni delle violazioni subite".

Ma cosa ne pensano gli addetti ai lavori della questione cybersecurity, e del fenomeno calato sulla realtà italiana in particolare? Le indicazioni più importanti, in generale, consigliano di partire da un’efficace comprensione dei rischi e del danno economico associato, orientando i propri processi in modo da incrementare la capacità di reazione e non solo di prevenzione.

"Si va verso un nuovo paradigma della cybersecurity – questa per esempio la visione di Nimrod Kozlovski, Adjunct Professor della Tel-Aviv University - basato su concetti di proattività, condivisione di informazioni, analisi intelligente e real time degli eventi di security". L’applicazione di questo paradigma interessa da vicino i gestori di carte di credito, che sono oggi in grado di rilevare transazioni sospette in qualsiasi momento e luogo del mondo sulla base di pattern anomali, comunicare il problema ai clienti e bloccare la transazione.

Marco Molinaro, Health and Public Sector Security Lead di Accenture, ha puntato invece l’accento sulla gestione del rischio, che "deve essere centrata sul dato e sui processi critici del business, non deve essere statica ma dinamica, virtuosa, ciclica e puntare al miglioramento continuo" mentre sui nuovi rischi associati ai social media o al cloud computing si è espresso Matteo Bonfanti, PhD - Research Fellow della Sant’Anna School of Advanced Studies.

"Il principio a cui dovremmo attenerci – ha detto il ricercatore - è quello di ragionevoli aspettative di privacy, che permettano a tutti di operare liberamente nel nuovo mondo digitale. Per quanto riguarda le attività di social intelligence, dobbiamo vederle in positivo come potenziali generatori di conoscenza". Auspicabile quindi, che le aziende e la società in generale promuovessero maggiori attività educative sui diritti alla privacy uniti alla diffusione di una maggiore cultura della sicurezza, partendo dal presupposto che privacy e sicurezza sono le due facce della stessa medaglia.

Per quanto riguarda il cloud, questa la sottolineatura di The Innovation Group, sta emergendo sempre più che la sicurezza legata a questa modalità di distribuire le risorse informatiche è probabilmente un falso problema, se non addirittura un pretesto per non voler considerare una transizione che obbliga gli It manager a ripensare, almeno in parte, il proprio ruolo.

Opinione, quest’ultima, condivisa in toto da un uomo d’azienda come Leonardo Casubolo, Chief Security Officer e South Europe Deployment Manager della multinazionale tedesca Kion Group, secondo cui "i fornitori di servizi cloud hanno standard di sicurezza ben noti e livelli di rischio quantificabili che si configurano nella gestione del rischio informatico come più affidabili di tante situazioni interne alle aziende". Solo una provocazione? A molti appare più come una convinzione che mette in luce quanto spesso il problema del controllo del rischio informatico dipenda da procedure e prassi consolidate, non soggette a sufficiente revisione, messe in atto dalle singole organizzazioni.