Alfabetizzazione Cyber: l’approccio del Cyber Think Tank Assintel
A cura di Carlo Guastone
I Piani di cybersecurity in Italia
Il 15 gennaio 2018 il CINI (Cybersecurity national lab) ha pubblicato il documento: ”Il futuro della cybersecurity in Italia - Progetti e Piani per difendere al meglio il paese dagli attacchi informatici” nel quale, con il contributo di 120 ricercatori di 40 enti di ricerca/università, si delineava lo stato dell’arte della cybersecurity in Italia con accenni al contesto internazionale, pubblicazione che costituisce tuttora un autorevole riferimento quando si parla di sicurezza cibernetica, pur considerando l’incessante evoluzione delle tecnologie e del quadro normativo registrata nel tempo. Basti pensare alla creazione di ACN (Autorità per la cibersicurezza nazionale) e alla pubblicazione di numerose normative di legge fra le quali il Perimetro di sicurezza nazionale, il NIS2 dedicato ai servizi essenziali, il Regolamento DORA dedicato alla resilienza nel settore finanziario, per finire al recentissimo AI Act dedicato all’Intelligenza artificiale, normative che presentano forti relazioni con la cybersecurity.
Nel 2022 ACN (Autorità per la cybersicurezza nazionale) ha definito la Strategia Nazionale di Cybersicurezza 2022-26, con un Piano, basato su 82 misure, fra le quali alcune misure destinate alla messa in campo di iniziative finalizzate a migliorare la conoscenza della cybersecurity e sensibilizzare i responsabili delle organizzazioni e di chi opera sul campo tramite strumentazione digitale.
La Misura #10 prevede di “Pubblicare linee guida sulla cybersecurity” specificamente previste per le Amministrazioni Pubbliche, e applicabili anche da parte delle aziende private; la Misura #11 è dedicata alla promozione di iniziative di sensibilizzazione per favorire l’applicazione del “Framework Nazionale per la Cybersecurity e la Data Protection” e dei “Controlli essenziali di cybersecurity”, opportunamente aggiornati in linea con il quadro delle minacce cyber da parte della PA, delle imprese e delle PMI; la Misura #12 prevede di continuare ad accrescere le capacità nazionali di difesa, resilienza, contrasto al crimine e cyber intelligence, rafforzando ulteriormente la situational awareness mediante il monitoraggio continuo e l’analisi di minacce, vulnerabilità e attacchi, secondo gli specifici ambiti di competenza; la Misura #13 consiste nella realizzazione di un servizio di monitoraggio del rischio cyber nazionale a favore delle organizzazioni e del pubblico in generale, al fine di comunicare l’effettivo livello della minaccia, nonché di informare adeguatamente i processi decisionali.
Le iniziative del Cyber Think Tank Assintel
Di fronte ad uno scenario complesso che determina crescenti difficoltà delle aziende, in particolare le PMI, nel predisporre le necessarie misure organizzative, metodologiche e tecnologiche per rispondere a quanto previsto nel quadro normativo per minimizzare i rischi di sanzioni, e, soprattutto, per garantire la continuità del business, sempre più esposto a minacce cyber, sono state promosse una serie di iniziative in fase avanzata di realizzazione cui saranno dedicati specifici webinar di approfondimento.
La logica seguita dai componenti del Cyber Think Tank, che hanno una profonda e pluriennale esperienza consulenziale in area Cyber, è stata quella di identificare le aree di sensibilizzazione cyber destinate in particolare a non esperti della materia per favorire la comprensione delle minacce e la predisposizione delle relative misure di mitigazione dei rischi, il tutto tramite una comunicazione il più possibile semplice ed efficace. Il risultato atteso dalla iniziativa è l’incremento di consapevolezza da parte dei responsabili di business della necessità di valutare i rischi cyber assegnando le conseguenti responsabilità all’interno dell’organizzazione con il ricorso a supporti consulenziali ove ritenuto opportuno o necessario.
Iniziative di sensibilizzazione identificate:
- Assintel Cyber Hub ha l’obiettivo di mappare ed elencare le aziende associate ad Assintel con competenze di ambito cyber al fine di offrire un punto di riferimento nell’identificazione di competenze, servizi e soluzioni di valore. Il Cyber Hub è una sorta di “catalogo” all’interno del quale ogni azienda partecipante avrà una propria scheda con le informazioni raccolte attraverso un questionario. Il Cyber Hub sarà arricchito da un Vademecum con le buone pratiche in ambito cybersecurity.
- Cyber Threat Infosharing è la piattaforma creata e messa a disposizione gratuitamente dal Cyber Think Tank a tutta la community ICT. Obiettivo della piattaforma è supportare le aziende nella gestione dei rischi cyber, offrendo una panoramica su campagna di phishing, malware, ransomware e vulnerabilità comuni (CVE). È uno strumento cruciale per le imprese che vogliono comprendere e mitigare le minacce informatiche in tempo reale, fornendo sezioni dedicate con i relativi IoC legati agli ultimi tentativi di phishing, attività di ransomware e malware.
- Cyber per tutti è l’iniziativa finalizzata alla creazione di una serie di elementi comunicativi fruibili con semplicità ed immediatezza per sensibilizzare il management delle PMI sottolineando che la Cybersecurity e la Protezione dei dati (in senso lato) sono elementi su cui è necessario investire, sia lato infrastrutturale, che formativo. Vari i format previsti: video, checklist, infografiche, fumetti e podcast.
Le iniziative descritte rispondono, fra l’altro, ad una esigenza sempre più condivisa da esperti di settore e dalle forze politiche di incrementare gli sforzi per ridurre il gap dell’Italia relative alle competenze relative al digitale e alla cybersecurity rispetto ai contesti internazionali di riferimento. Significativo, al riguardo, che nel recente convegno svolto il 18 marzo alla Camera dei deputati “AB…D. Il cammino dell’Italia verso l’alfabetizzazione digitale” sia stata proposta creazione di un’Agenzia per l’alfabetizzazione digitale che avrebbe come compito la definizione pratica dei piani di alfabetizzazione con la loro implementazione a livello nazionale e territoriale.