Maurizio Tucci: Digital security compliance: la tecnologia non basta, serve cultura

Il Chairman di Cyber Security Platform, Maurizio Tucci, coordinerà in occasione dell’evento #Lombardiaèricerca il workshop “Digital Security Compliance”.

Maurizio Tucci propone e condivide alcuni pensieri come punto di partenza per la riflessione che continuerà nel corso del workshop del 6 aprile.

Quali sono le vostre idee e suggestioni rispetto ai temi sollevati? Potete lasciare un vostro commento alla discussione; le riflessioni verranno riprese nel corso del workshop.

La riflessione del Chairman di Cyber Security Platform, Maurizio Tucci (fonte: Prospettiva Aperta di Open Innovation):

In inglese “Compliance” significa rispetto, conformità e obbedienza.

Quindi, letteralmente, l’oggetto di questo workshop sarà il rispetto dei processi e delle norme che permettono di identificare, organizzare e distribuire la sicurezza digitale nelle organizzazioni complesse.

Senza rispetto delle regole non ci può essere sicurezza né fisica né logica.

Ecco perché mentre tutti oggi parlano di Cyber Security cioè di sicurezza informatica, io credo che si debba invece parlare di DIGITAL SECURITY COMPLIANCE, di cui la Cyber Security è solo una delle componenti, per quanto importante.

Se approcciamo il problema delle minacce digitali al nostro Paese e in modo particolare alle nostre Infrastrutture Critiche (Critical National Infrastructures) solo dal punto di vista tecnologico, rischiamo di entrare in una spirale Guardia/Ladro che purtroppo, è statisticamente provato, vede il “Bene” all’inizio sopraffatto dal “Male”, salvo poi prendere le contromisure e reagire.

Se invece facciamo della Security Compliance una parte integrante del nostro vivere da cittadini e da operatori di Infrastrutture Critiche, metabolizziamo che rispettare le regole e i processi è un dovere.

Si tratta di un salto culturale che ci può consentire di vivere in modo dinamico e non passivo la possibilità che qualcuno voglia e possa creare un problema.

Alla Digital Security Compliance può essere applicato il Ciclo di Deming (ciclo di PDCA) che prevede un miglioramento continuo della qualità e dei risultati in un’ottica di medio lungo periodo:

Plan, individuare e analizzare i possibili rischi e pianificare le contromisure.

Do, agire e testare le azioni sulla base di ciò che si è pianificato.

Check, misurare i risultati ottenuti rispetto agli obiettivi che ci siamo dati.

Act, lavorare per il mantenimento e migliorare le performance di sicurezza.

In questo quadro, quindi, vanno individuati gli obiettivi prioritari da monitorare, vanno attribuite chiare responsabilità (“who is accountable for”), fissando e condividendo gli indicatori di performance e attribuendo le risorse necessarie per raggiungere lo scopo.

In Lombardia abbiamo individuato almeno 10 settori che potrebbero rientrare nella definizione di CNI: Chimica, Comunicazioni, Sanità, Pubblica Amministrazione, Dighe, Siti di Scorie e Rifiuti, Energia, Trasporti, Acqua, Protezione Civile.

Ognuno di questi ha delle proprie specificità e complessità e pertanto la “cultura della sicurezza” deve appartenere al Sistema Regionale che dovrà organizzare e delegare ai vari settori la conoscenza dei requisiti minimi necessari per mantenere un elevato livello di Digital Security Compliance.

La riuscita di un progetto di sicurezza dipenderà, in gran parte, dalla capacità di progettare e implementare sistemi organizzativi e tecnologici (multilayer encryption) in grado di gestire ed integrare le conoscenze e dovrà coinvolgere tutta la piramide regionale, le aziende manifatturiere, di servizi e i fornitori di tecnologia specialistica (hardware, firmware, software).

In questo modo si realizzerà una “cultura della sicurezza” orientata alla conoscenza dei rischi e delle norme, incentivando l’utilizzo delle best practice ed evitando la dispersione delle competenze necessarie a mantenere una cultura early warning.