Nel panorama digitale odierno, la cyber resilienza è diventata un fattore cruciale per la sopravvivenza e il successo di qualsiasi entità, sia essa pubblica o privata. Con l'aumento esponenziale delle minacce informatiche e dei danni potenziali che possono infliggere, è fondamentale che le organizzazioni adottino un approccio proattivo e olistico per rafforzare le loro difese informatiche. Questo articolo esamina i fattori determinanti per costruire una solida cyber resilienza, spaziando dalle politiche e normative dell'Unione Europea ai suggerimenti pratici dei leader di settore.

L'Importanza Crescente della Cyber Resilienza

Le conseguenze di un attacco informatico di successo possono essere devastanti per qualsiasi organizzazione, con potenziali perdite finanziarie, danni alla reputazione e interruzioni operative. Pertanto, la cyber resilienza non è più un'opzione, ma una necessità assoluta nel contesto attuale.

Secondo l'ammiraglio Giancarlo Galasso, Capo del Servizio Operazioni/CSIRT dell'Agenzia per la Cybersicurezza Nazionale, esiste un divario allarmante tra le entità che sono abbastanza resilienti da prosperare e quelle che lottano per sopravvivere. Questo "Cyber Inequity Gap" sottolinea l'urgenza di intraprendere azioni decisive per colmare tale divario.

Le Iniziative Normative dell'Unione Europea

Riconoscendo l'importanza cruciale della cyber resilienza, l'Unione Europea ha intrapreso numerose iniziative legislative e di finanziamento per promuovere e sostenere la sicurezza informatica a livello collettivo.

La Strategia per la Cybersicurezza dell'UE

L'UE ha sviluppato un corpus normativo dedicato alla strategia per la cybersicurezza, con l'obiettivo di rafforzare la sicurezza informatica collettiva e la risposta agli attacchi informatici. Questa strategia si basa su tre aree di azione: resilienza, sovranità tecnica e leadership; capacità operativa di prevenzione, deterrenza e risposta; cooperazione per far avanzare il cyberspazio globale e aperto.

Il Disegno Architetturale a Quattro Pilastri

L'approccio dell'UE si fonda su un disegno architetturale a quattro pilastri: prevenzione, individuazione, risposta e deterrenza. Per ciascuno di questi pilastri, l'Unione ha emanato direttive specifiche per concretizzare l'azione e le capacità da sviluppare.

La Direttiva NIS2

La Direttiva NIS2 (Network and Information Security) mira a irrobustire le organizzazioni durante la loro trasformazione digitale, rendendole capaci di sopravvivere a un attacco informatico. Questa direttiva stabilisce requisiti e controlli rigorosi per garantire la sicurezza delle reti e dei sistemi informativi.

Il Cyber Resilience Act (CRA)

Il Cyber Resilience Act (CRA) si concentra sulla tutela dei consumatori e delle aziende che acquistano o utilizzano prodotti o software con componenti digitali. Questa legge introduce requisiti obbligatori di sicurezza informatica per produttori e rivenditori, estendendo la protezione a tutto il ciclo di vita del prodotto.

La Digital Operational Resilience Act (DORA)

Specificamente dedicata alle istituzioni finanziarie, la Digital Operational Resilience Act (DORA) mira a garantire la resilienza operativa digitale di queste entità, proteggendole da interruzioni dovute a incidenti informatici o altri rischi tecnologici.

Queste iniziative legislative dell'UE creano un solido quadro normativo per promuovere la cyber resilienza a livello collettivo, fornendo linee guida e requisiti specifici da soddisfare.

Gli Sforzi di Finanziamento dell'UE

Oltre alle iniziative normative, l'Unione Europea ha stanziato ingenti fondi per sostenere la progettualità e l'innovazione nel campo della sicurezza informatica e della resilienza digitale.

Il Quadro Finanziario Pluriennale 2021-2027

Nel quadro finanziario pluriennale 2021-2027, l'UE ha reso disponibili diversi fondi europei per favorire lo sviluppo, l'innovazione e la resilienza delle infrastrutture digitali. Questi includono i fondi strutturali europei, il programma HORIZON per la ricerca e l'innovazione, i fondi dedicati alle infrastrutture digitali (Connecting Europe Facility for digital infrastructure) e i fondi per la ripresa e la resilienza, noti in Italia come il Piano Nazionale di Ripresa e Resilienza (PNRR).

Il Programma Digital Europe

Recentemente, l'UE ha lanciato il programma Digital Europe, un fondo di finanziamento da 7,5 miliardi di euro per portare la tecnologia digitale alle imprese, ai cittadini e alle pubbliche amministrazioni. Questo programma supporta cinque settori chiave di capacità: supercalcolo, intelligenza artificiale, sicurezza informatica, competenze digitali avanzate e un ampio utilizzo delle tecnologie digitali nell'economia e nella società.

Questi sforzi di finanziamento dell'UE forniscono risorse preziose per le organizzazioni che desiderano migliorare la loro cyber resilienza, promuovendo l'innovazione, la ricerca e lo sviluppo di soluzioni all'avanguardia.

Le Strategie di Cyber Resilienza nelle Organizzazioni

Mentre le iniziative dell'UE forniscono un quadro normativo e finanziario favorevole, è responsabilità di ciascuna organizzazione sviluppare e implementare una strategia di cyber resilienza solida ed efficace.

Definire le Priorità in Base al Livello di Rischio

Le entità più strutturate e i loro CISO (Chief Information Security Officer) hanno avviato programmi e piani di aumento delle loro capacità di resilienza, intervenendo su diversi fronti e definendo priorità in funzione del proprio livello di rischio. Questa valutazione del rischio è fondamentale per allocare le risorse in modo efficiente e concentrarsi sulle aree più critiche.

I Pilastri della Cyber Resilienza Aziendale

Nadia Bertone, Deputy IT Director – Technology Area e CISO di BRT Spa, ha illustrato l'approccio della sua azienda, organizzato in un piano triennale cyber con quattro pilastri:

1. Policy, processi e procedure: Definire e implementare policy, processi e procedure solide per guidare le attività di sicurezza informatica e garantire la coerenza nell'intera organizzazione.
2. Eliminare l'obsolescenza tecnologica: Investire nella modernizzazione delle tecnologie obsolete, che possono rappresentare vulnerabilità significative per la sicurezza informatica.
3. Valutazione continua della postura cyber: Effettuare valutazioni regolari della postura di sicurezza informatica dell'organizzazione, identificando le lacune e adottando misure correttive tempestive.
4. Governance e resilienza: Implementare una governance efficace per garantire una maggiore resilienza e la capacità di continuare le operazioni aziendali critiche in caso di attacco informatico.

Questo approccio olistico consente alle organizzazioni di affrontare la cyber resilienza da molteplici angolazioni, creando un sistema di difesa robusto e adattabile.

Coinvolgere l'Intera Organizzazione

Oltre agli sforzi tecnici e operativi, è fondamentale coinvolgere l'intera organizzazione nella promozione della cyber resilienza. Come sottolineato da Alberto Borgonovo, CISO di Sisal, il primo obiettivo di un CISO dovrebbe essere la diffusione della cultura cyber a tutte le funzioni aziendali.

Questo coinvolgimento non riguarda solo la consapevolezza, ma anche la comprensione del rischio cyber e la percezione che, sebbene possa essere ridotto, il rischio di minacce esiste sempre. Promuovere questa mentalità contribuisce a creare un'organizzazione resiliente, in cui tutti i dipendenti sono consapevoli dei loro ruoli e responsabilità nella difesa informatica.

Affrontare la Carenza di Competenze

Una delle sfide chiave per la cyber resilienza è la carenza di competenze specializzate nel settore della sicurezza informatica. Marcello Fausti, Responsabile Cyber Security di Italiaonline, suggerisce di facilitare la retention delle persone creando percorsi professionali per la loro crescita e sviluppo.

Inoltre, Andrea Licciardi, Senior Cybersecurity Manager di Tecnimont e Co-Founder di CISOs4AI, sottolinea l'importanza di affrontare la relazione tra la cyber sicurezza e l'intelligenza artificiale (AI). Egli invita a cambiare l'approccio con cui le AI sono portate sul mercato, affinché siano intrinsecamente sicure e prive di bias e allucinazioni (errori dei sistemi di AI).

Conclusione

La cyber resilienza non è più un lusso, ma una necessità assoluta per qualsiasi organizzazione che desidera prosperare nell'era digitale odierna. Combinando le iniziative normative e di finanziamento dell'Unione Europea con strategie aziendali solide e un coinvolgimento totale di tutta l'organizzazione, è possibile costruire una difesa informatica robusta e adattabile.

Tuttavia, questo percorso non è privo di sfide, come la carenza di competenze specializzate e l'integrazione di nuove tecnologie come l'intelligenza artificiale. Affrontare queste sfide richiede un impegno costante e una mentalità aperta all'innovazione e all'apprendimento continuo.

Nell'attuale panorama digitale in rapida evoluzione, la cyber resilienza non è più un'opzione, ma un imperativo per la sopravvivenza e il successo a lungo termine di qualsiasi organizzazione.

Vuoi saperne di più?