Con la dicitura “sicurezza informatica” (in inglese information security) si definisce l’insieme dei mezzi e delle tecnologie tesi alla protezione dei sistemi informatici in termini di disponibilità, confidenzialità e integrità dei beni o asset informatici.
Un sinonimo spesso usato è cybersecurity, termine che ne rappresenta una sottoclasse, indicando quell’ambito della sicurezza informatica che dipende solo dalla tecnologia. Con esso si enfatizzano spesso qualità di resilienza, robustezza e reattività che una tecnologia deve possedere per fronteggiare attacchi mirati a comprometterne il suo corretto funzionamento e le sue performance (i cosiddetti “attacchi cyber”).
Il termine cybersecurity è di uso piuttosto recente ed è stato diffuso principalmente dal NIST (National Institute for Standards and Technologies) degli Stati Uniti. La cyber security è focalizzata principalmente sulla protezione dei sistemi informatici (computer, reti di telecomunicazione, smartphone, ecc.) e dell’informazione in formato digitale da attacchi interni e, soprattutto, esterni. Altri termini utilizzati in alternativa e precedentemente sono IT security, ICT security e sicurezza informatica.
Nella sicurezza informatica sono coinvolti elementi tecnici, organizzativi, giuridici e umani. Per valutare la sicurezza è solitamente necessario individuare le minacce, le vulnerabilità e i rischi associati agli asset informatici, al fine di proteggerli da possibili attacchi (interni o esterni) che potrebbero provocare danni diretti o indiretti di impatto superiore a una determinata soglia di tollerabilità (es. economico, politico-sociale, di reputazione, ecc.) a un’organizzazione.
In Italia già da molto tempo si parla di cybersecurity e sicurezza informatica nazionale: un tema caldo, per il quale sia pubblica amministrazione che aziende sono costantemente alla ricerca di professionisti di sicurezza informatica che possano proteggere le infrastrutture e le reti dagli attacchi hacker.
Tuttavia per le aziende italiane c’è ancora molto da fare.
Se, infatti, ci sono forti differenze fra settore e settore, l’adozione di buone pratiche di sicurezza nelle aziende del nostro paese è legata più a requisiti di conformità normativa che ad una sensibilità delle aziende per il valore dei propri sistemi informativi.
Così, ad esempio, settori come quello bancario e quello delle telecomunicazioni hanno una gestione dei rischi di sicurezza mediamente buona, e certamente molto più matura di quella di tanti altri settori.
Allo stesso modo, le grandi aziende, quelle quotate e quelle parte di gruppi multinazionali, hanno generalmente una gestione della sicurezza più avanzata.
Anche le aziende che offrono servizi digitali prestano grande attenzione alla gestione della sicurezza soprattutto per l’impatto di immagine che possono avere in caso di incidenti.
Per il resto, la gestione della sicurezza è generalmente minima: vengono adottati gli strumenti essenziali (antimalware, firewall e generalmente backup dei dati) senza che però vi sia una vera e propria gestione attiva di questi strumenti, né tantomeno un’attività di monitoraggio, quindi di fatto le violazioni vengono rilevate solo quando hanno effetti evidenti.
Per questo motivo, a metà settembre di quest’anno, la Presidenza del Consiglio dei Ministri ha varato un decreto legge per definire il perimetro di sicurezza nazionale cibernetica. Il decreto traccia un recinto che include tutte quelle attività fondamentali per tenere in piedi la vita sociale ed economica dell’Italia, necessarie per cittadini e imprese, e impone di attuare tutte le precauzioni necessarie per difendersi dalle minacce cibernetiche.
Queste ultime sono state stabilite dalla legge, sia per le reti informatiche, sia per i sistemi della pubblica amministrazione, che per le piattaforme statali e private.
Inoltre, entro la fine di gennaio 2020 sarà tracciato il perimetro per individuare i soggetti che rientrano nello scudo cyber, e chi si troverà all’interno, avrà un anno di tempo per spiegare come intende difendersi dai rischi.
Gli operatori dovranno, infatti, fornire gli elenchi delle reti.
Saranno tenuti ad adottare standard più rigidi quando scelgono i fornitori degli appalti e a sottoporre le tecnologie da adottare ai controlli del Centro di valutazione e certificazione nazionale (Cvcn), istituito al Ministero dello Sviluppo Economico.
Oltre che a informare tempestivamente il gruppo di intervento nazionale (Csirt) in caso di incidente. Il Dis sta anche lavorando per abbattere i tempi di notifica sotto le attuali 24 ore, proprio perché, in caso di attacco al cuore del Paese, un giorno di blackout sarebbe già troppo.
Sul piano il governo Conte bis ha investito 3,2 milioni per il 2019, 6,495 milioni annui dal 2020 al 2023 e 4,395 milioni dal 2024.
Al perimetro si saldano le regole sul controllo del 5G, le reti mobili di quinta generazione in fase di sviluppo, e l’estensione del golden power, lo scudo che il governo può opporre a operazioni economiche che ritiene possano mettere a repentaglio la sicurezza nazionale.
