Di Fabrizio Scarinci
Perugia. Report Difesa ha avuto modo di intervistare il CEO di CIPS Informatica Mario Menichetti, con cui ha discusso del lungo e proficuo percorso che ha portato la sua azienda a celebrare i suoi primi trent’anni di vita e dell’attuale stato della cyber security nel nostro Paese, che, come noto, ha molta strada da recuperare in questo importantissimo settore.
Mario Menichetti, CEO di CIPS Informatica
Menichetti, perchè la sicurezza informatica è così importante?
In tutti i settori, specialmente quelli maggiormente strategici (e per strategici intendo non solo quelli di carattere militare, ma anche quelli inerenti i trasporti, le telecomunicazioni, la sanità e alcuni segmenti della produzione) ogni organizzazione raggiunge i propri obiettivi attraverso dei particolari processi.
L’applicazione di tali processi costituisce certamente la prova del loro funzionamento (ad esempio, fare in modo che un passeggero possa servirsi di una biglietteria automatica e prendere un treno è di per sé un processo testato e funzionante).
Tuttavia questo non è sufficiente, poiché per far sì che siano davvero effettivi (e che la popolazione possa davvero farvi affidamento) oltre che essere “semplicemente” funzionanti, tali processi devono anche essere sicuri.
Come opera CIPS Informatica?
CIPS Informatica si occupa di fare scouting continuo nel mercato mondiale al fine di reperire soluzioni e servizi orientati alla gestione dell’infrastruttura IT e della sua sicurezza.
Le tecnologie reperite vengono prima sottoposte ad accurate valutazioni di tipo tecnico, legale e commerciale e, in seguito, proposte agli operatori del mercato italiano, che vengono preparati al loro utilizzo sia a livello tecnico (perché, oltre a saper usare le nuove tecnologie, è anche necessario integrarle nella propria organizzazione e saper scegliere di volta in volta le procedure più adeguate), sia a livello legale (perché alcuni sistemi provenienti dall’estero potrebbero dare la possibilità di compiere azioni che la legge italiana ritiene illegali).
Logo di CIPS Informatica
Quali sono le prospettive del nostro sistema-Paese in materia di sicurezza cibernetica?
Per parlare in modo concreto di sicurezza cibernetica bisogna innanzitutto chiedersi cosa proteggere e a quale livello. Ovviamente la risposta istintiva ad un’eventuale domanda di questo tipo sarebbe “tutto”, ma così facendo si rischierebbe di sviluppare un qualcosa di eccessivamente ridondante e di mettere in campo risorse spropositate rispetto alle esigenze reali.
Onde evitare tutto questo sarebbe utile stabilire una sorta di scaletta delle priorità e aggiornarla di volta in volta in base ai cambiamenti di scenario. Per farlo servono naturalmente formazione e competenze.
Di che tipo?
Tanto per cominciare servirebbero linee guida più chiare ed omogenee sia per la Pubblica Amministrazione intesa nel suo complesso che per il settore privato; in particolare mi riferisco a tutti quegli strumenti che possano fungere da pilastri per la definizione di una strategia complessiva di cyber security.
La pervasività e l’interconnessione complessa dei sistemi informatici rende, poi, indispensabile un nuovo modello di formazione capace di rendere gli addetti alla sicurezza informatica non solo in grado di utilizzare le nuove tecnologie, ma anche di amalgamare tutti i sistemi a loro diposizione nell’ambito di una strategia capace di adattarsi ai continui cambiamenti che caratterizzano il mondo cyber.
Chiaramente, un simile modello di formazione dovrebbe essere in grado raggiungere efficacemente anche i manager, il personale dirigente e il personale dipendente, che dovrebbero essere preparati a gestire alcune delle possibili criticità secondo un modello flessibile e incentrato sul concetto di responsabilità diffusa.
Per Menichetti l’estrema pervasività degli odierni sistemi informatici rende indispensabile un nuovo modello di formazione per aziende e Pubblica Amministrazione
Quanto pesa sulla sicurezza del nostro Paese la scarsa disponibilità di tecnologie sovrane, tanto più considerando che molti sistemi provengono anche da Paesi politicamente collocati al di fuori del nostro tradizionale circuito di alleanze?
La carenza di tecnologie sovrane è un problema che viene da lontano. I mancati investimenti del passato hanno fatto sì che oggi il nostro Paese manchi di impianti produttivi e di un’adeguata “supply chain”.
Al fine di migliorare questa situazione bisogna senz’altro tornare ad investire, ma dobbiamo anche essere consapevoli del fatto che i risultati non saranno immediati e che, per molto tempo, dovremo essere in grado di gestire nel miglior modo possibile la condizione di sostanziale dipendenza in cui siamo venuti a trovarci.
Per farlo si possono certamente seguire le Raccomandazioni 27001 e 27002 dell’ISO (International Organization for Standardization) e le linee guida del GDPR europeo (che ha fatto in modo che tutti i maggiori operatori del settore interessati a fare affari in Europa impiantassero anche nell’UE i loro Data Center).
A tali misure si potrebbe poi affiancare un sistema di certificazione nazionale sulla falsariga del “Security Made In Germany” o del “Security Made in Luxembourg”, che offrono sicuramente un elevato livello di garanzia.
In ogni caso, però, la chiave sta tutta nei maggiori controlli, non solo sugli hardware e i software che vengono ordinati, ma anche sulle loro supply chain, sia di approvvigionamento che di aggiornamento.
Nel suo piccolo CIPS Informatica adotta da sempre questo modus operandi, ma per riuscire a farlo in modo diffuso sono necessarie maggiori competenze, un’adeguata conoscenza dei prodotti acquistati (così come dei loro eventuali punti deboli; backdoor etc…) e strumenti adeguati a rilevare gli attacchi.
© RIPRODUZIONE RISERVATA
