Le aziende non sono ancora abituate a vedere la sicurezza IT come una parte del loro rischio operativo, oggi possono (e devono) farlo anche per avvicinarsi al modello di sicurezza cyber che si sta adottando a livello UE
Autore: Redazione SecurityOpenLab
“Fare impresa oggi non è semplice, ma è anche grazie alla cybersecurity che le aziende possono creare il loro valore, in mercati che sono sempre più complicati e caratterizzati dall’incertezza”: le parole di Sergio Fontana, Presidente di Confindustria Puglia, sintetizzano bene il messaggio complessivo che ConfSec, il principale evento del Sud Italia dedicato alla cybersecurity, ha voluto dare nella sua edizione 2025. Se è vero che le imprese non possono eliminare completamente il rischio operativo, che comprende anche quello legato alla cybersecurity, è però anche vero che possono limitarlo fortemente, con le giuste competenze e le giuste soluzioni. “È in questo senso che dobbiamo lavorare e collaborare”, sottolinea Fontana: “per aiutare le imprese a fare un investimento culturale, più che economico, nel comprendere e cogliere le opportunità che hanno per abbassare il rischio cyber”.
“La democratizzazione del digitale - conferma Pierguido Iezzi, Consigliere Nazionale Assintel - ha di fatto portato un'accelerazione del contesto cyber. Innanzitutto, il numero degli attori ostili continua ad aumentare, tra gang ransomware, hacktivismo e ATP, e tutti loro possono, in vario modo, compromettere l’operatività delle imprese e dei servizi essenziali per noi cittadini. C’è poi un problema legato alla sempre maggiore accessibilità degli strumenti utilizzabili per portare attacchi cyber: il codice degli oggetti malevoli, come i ransomware, è a disposizione dei cyber criminali che oggi possono, anche grazie all’AI, personalizzarlo ed ottimizzarlo senza necessariamente avere competenze particolari. Questo aumenta costantemente il numero e la varietà degli attacchi da cui le aziende devono difendersi”.
Da parte loro, le aziende hanno capito che per proteggersi devono investire in cybersecurity, e lo stanno facendo. Ciononostante, il numero degli attacchi portati con successo non è certo diminuito. La cronaca ci dice, semmai, il contrario. Questo - spiega Iezzi - accade perché accanto al tema della complessità della cybersecurity c’è una questione sempre più pressante di velocità: “Fino a un anno e mezzo fa il tempo di permanenza di un attore malevolo all'interno di un'azienda era di circa quindici giorni, oggi i tempi vanno da uno a tre giorni. L’intervallo tra la violazione di una rete e il lancio di un exploit o di un malware oggi è spesso anche meno di un’ora. E l’AI permette di automatizzare una serie di attacchi, andando a saturare le risorse di difesa e il personale dei SOC”.
Oltre a una difesa tecnicamente migliore serve di conseguenza anche una difesa più organizzata, basata su standard e modelli di riferimento che indichino alle imprese come muoversi per essere più sicure e resilienti. È la filosofia di fondo delle nuove normative, come la NIS2: “si sta cercando di delineare un approccio univoco alla cybersecurity, concretizzando inoltre una stretta collaborazione pubblico-privato per mettere a fattor comune le esperienze di tutte le aziende e le organizzazioni che oggi sono nel perimetro importante e critico”.
Iezzi invita comunque a considerare la cybersecurity da una prospettiva anche più ampia, legata a come sta cambiando il mondo digitale nel suo complesso: per molto tempo il mondo di Internet è stato sinonimo di democratizzazione, libertà di parola, libero accesso alle tecnologie ed alle informazioni, oggi invece è sempre più lo specchio di quanto accade nel mondo reale, con i suoi conflitti e polarizzazioni. In un contesto del genere la sicurezza cyber “non è più soltanto una questione di tutela dei cittadini o delle imprese: oggi, quando parliamo di mondo digitale e di cybersecurity, parliamo di fatto di sicurezza nazionale”, sottolinea Iezzi.
Che oggi sia necessario un deciso cambio di passo nella concezione della cybersecurity lo conferma anche Davide Nardacci, Vice Capo Divisione NIS ACN, che sottolinea anche come la direttiva NIS2 sia pensata proprio per aiutare le aziende a fare questo salto di qualità. “Viviamo in un mondo interconnesso - spiega - e quindi un problema di cybersecurity che colpisce un'azienda può ripercuotersi a cascata anche su altre… Per questo la logica delle normative è definire un set minimo di regole comuni che tutti, anche quelli meno ‘virtuosi’ lato cyber, devono seguire”. Da questo punto di vista è significativo che i principi generali e gli obiettivi comuni della Direttiva europea siano stati recepiti da ogni Stato membro secondo proprie modalità. Nel caso dell’Italia, seguendo un approccio di proporzionalità delle misure di cybersecurity da adottare.
La normativa - approfondisce Nardacci - non presenta una semplice lista monolitica di misure da adottare e di obblighi da rispettare: “Al netto delle misure di sicurezza e degli obblighi di base, ogni azienda deve condurre una propria analisi del rischio per capire quali dei suoi obiettivi di sicurezza sono raggiunti o meno, e può quindi personalizzare i propri investimenti in base a quello che già ha fatto e che deve ancora fare”. Con un’attenzione particolare per le imprescindibili, in Italia, PMI tra le quali molte sono soggetti NIS “per loro, ossia per i soggetti NIS, stiamo lavorando ad alcune linee guida che non saranno obbligatorie ma illustreranno possibili modalità di implementazione delle misure di sicurezza NIS”.
Questo approccio flessibile intende sempre raggiungere l'obiettivo finale di migliorare la postura cyber a livello nazionale, ma in un modo che dovrebbe risultare più accettabile per le imprese di qualsiasi ambito e dimensione. E puntare sull’analisi del rischio aiuta a mettere in evidenza il legame tra cybersecurity e business d’impresa: “un'analisi del rischio deve sempre prevedere una stima in termini economici di un possibile evento cyber, in modo che il management aziendale comprenda che non stiamo parlando di operatività astratta dell’impresa ma di una concreta perdita economica”, spiega Nardacci.
Il tema della analisi e della gestione del rischio sarà sempre più critico, sottolinea Lino Fornaro, Socio di Evolumia e organizzatore del ConfSec: “sarà necessario calcolare quello che potrebbe essere l’impatto sul business di una minaccia cyber, per determinare il valore delle possibili perdite ed allocare budget per adottare di conseguenza delle contromisure in linea con gli effetti sul business delle minacce”. Un approccio che però molte aziende fanno una certa fatica a recepire, perché non è affatto banale: “significa fare mente locale sul contesto generale, comprendere l’interazione dei diversi stakeholder, individuare quelli che sono i suoi processi vitali, avere chiaro il ruolo e l’interazione dei diversi asset, capire quali sono i momenti in cui un attaccante potrebbe provocare un danno”.
Anche Fornaro mette in evidenza come essere compliant alla NIS2 non sia semplicemente una questione di smarcare un metaforico elenco di prodotti da installare e singole procedure da implementare. La cybersecurity deve cominciare ad essere parte integrante dei processi e, idealmente, non seguire più quello che è pur sempre un approccio reattivo. “I prodotti certo servono - spiega Fornaro - ma a valle di una analisi dei processi che porti a comprendere a fondo l'infrastruttura esistente, le tecnologie e le soluzioni già presenti in azienda, per procedere con interventi mirati… Non bisogna farsi prendere dalla fretta: aspettiamo le linee guida dell’ACN, seguiamo i suoi modelli, non implementiamo soluzioni e approcci troppo standard e astratti, che non portano valore”.
Premesso questo, ci sono passi che vanno ovviamente seguiti, indipendentemente dalla specificità della singola impresa. "Sicuramente - spiega Fornaro - va fatto un'assessment iniziale che determini il punto di partenza, ossia lo stato attuale in quanto a cybersecurity. Il passo successivo è un inventario degli asset: se non si sa quali sono, chi li utilizza, chi ne è responsabile, non si sa cosa vada protetto. Dopodiché va compreso con cosa ciascuno di questi asset dialoga in rete e perché, in modo da arrivare a definire regole stringenti per abilitare solo il traffico lecito e solo tra i nodi che devono necessariamente dialogare. Tutto il resto va bloccato".
Oggi moltissime imprese - lo sappiamo bene - non seguono affatto questa logica: è molto più comodo non imporre grandi freni in quanto a cybersecurity. Una scelta che già medio termine si rivela perdente, ricorda Fornaro. Innanzitutto perché questa prima fase di messa in sicurezza delle reti farà da solida base per le ulteriori misure di sicurezza che saranno man mano richieste dalle normative. Inoltre: "Partire da un serio assessment iniziale fa risparmiare tempo e denaro dopo, e soprattutto evita investimenti inutili in prodotti che non servono davvero... In generale ci fidiamo troppo dei prodotti in sé: crediamo che ciò che abbiamo acquistato ci protegga e non ci preoccupiamo più. Ma non è così, serve tenere sempre alta l’attenzione".
Un aspetto nuovo, con cui dobbiamo imparare a convivere e che la gran parte delle imprese non ha ancora fatto proprio è che, nell’esaminare l’attuale scenario della cybersecurity, è ormai molto difficile, se non proprio impossibile, ignorare la geopolitica. “Il digitale è il nuovo terreno di confronto e di scontro - ricorda Pierguido Iezzi - e i Paesi che non avranno la capacità di mantenere un livello di digitalizzazione abbastanza elevato perderanno competitività nel contesto geopolitico ed economico. Lato cybersecurity, questo significa che le regioni del mondo che non avranno accesso alle tecnologie e alle misure di sicurezza adeguate saranno oggetto di attacchi più delle altre”.
A rischio sono anche i diritti primari dei cittadini, perché quando un attaccante può impedire l’accesso ai servizi più critici ed alle informazioni più essenziali, in discussione è il funzionamento stesso di un sistema-Paese. Ecco anche perché una questione una volta strettamente tecnica come la cybersecurity deve essere vista in un’ottica nuova, dai cittadini come dalle imprese.
È non a caso Raoul Chiesa, il nome italiano più importante quando si tratta di ethical hacking e di cybersecurity “strategica”, a riassumere efficacemente l’importanza dei temi che il ConfSec ha trattato, ricordando le parole del presidente del Brasile Dilma Roussef: "Se non c'è nessun diritto alla privacy, non può esistere vera libertà di espressione e di opinione, vero baluardo di una democrazia efficace". “Per questo la privacy non è negoziabile - spiega poi Chiesa - e dovrebbe essere integrata in qualsiasi sistema. Possiamo guardare alla cybersecurity usando molte espressioni diverse, dalla sicurezza dei dati alla sovranità nazionale, ma alla fine arriviamo a questa chiave di lettura”.