Dalla homeland security alle PMI… e viceversa!

La recente definizione degli OSE (operatori e dei servizi essenziali), la Direttiva NIS (direttiva UE 2016/1148 del Parlamento europeo e del Consiglio, attuata in Italia con Decreto Legislativo 18 maggio 2018 n. 65) lo CSIRT (Computer Security Incident Response Team), istituito presso la Presidenza del Consiglio e attualmente operante come coordinamento tra CERT Nazionale e CERT-PA,  e quello del punto di contatto unico, individuato all’interno del Dipartimento delle informazioni per la sicurezza (DIS) rappresentano i pilastri per una definitiva (in termini di missione, di indirizzo e di investimento ) ma continuativa difesa della sicurezza nazionale.

Anche le partnership pubblico-privato, la disponibilità (da incrementare) di corsi universitari e master specializzati nella cyber security (per colmare il gap già stimato in circa 135.000 professionisti nel 2020) e il più generale aumento della consapevolezza e potenziamento dell’eco-sistema di riferimento per la sicurezza, possono essere “acceleratori” fondamentali per contribuire alla protezione non solo di infrastrutture critiche nazionali, ma alla sicurezza diffusa e trasversale di piccole e medie imprese. Va ricordato infatti come esista in termini di homeland security una relazione critica tra cosa si fa per la protezione di grandi infrastrutture – che rappresentano il “motore” del Paese – e le piccole medie imprese italiane, perché sono queste ultime ad essere maggiormente attaccate, sono quelle più vulnerabili, con minor capacità di investimenti e di disponibilità di risorse interne dedicate alla sicurezza. In un sistema fortemente interconnesso e globalizzato in cui le supply chain si intersecano, la protezione end to end del sistema paese dipende anche dal livello di sicurezza e di esposizione al rischio che tutte le aziende esprimono. Un po’ come nella gestione di una classe di studio in cui l’apprendimento in termini di risultato non è solo determinato dalla prestazione dei “primi della classe”, ma dalla capacità di indirizzare, innalzare, trascinare e far convergere anche gli ultimi.

L’asimmetria per la quale sono le PMI a sostenere l’economia nazionale si manifesta anche in termini di sicurezza. E’ quindi necessario e urgente indirizzare con metodologie e approcci industriali il fabbisogno di sicurezza e protezione delle aziende, facendo leva anche su un sistema cooperativo e federato attraverso il quale rendere disponibili soluzioni non a basso costo (perché il basso costo spesso corrisponde a basso valore e scarsa efficacia, attributi incoerenti con le caratteristiche intrinseche della business resilience) ma a “geometria variabile” rispetto al rischio e alle minacce, implementando servizi cost effective di sicurezza gestita e proattiva, operati da Security Operation Center.

Per le PMI i budget e gli approcci costruiti al “pret a porter” della sicurezza (in cui il cliente deve scegliere tra migliaia di prodotti quelli da inserire nel proprio security framework) non sono una via percorribile, nè sono sostenibili approcci da “abito sartoriale” – appannaggio solo di grandi organizzazioni. Emerge viceversa l’approccio e le soluzioni di “sicurezza made to measure” in cui SOC mutifunzionali – che utilizzano tecnologie innovative e processi orientati a framework e best practice internazionali e che mettono a fattor comune esperienze specialistiche, testing e PoC (Proof of Concept) – ma i cui servizi di sicurezza gestita risultano economicamente sostenibili anche per le PMI.