Tavole Rotonde Cybersecurity&GDPR - Start Hub, Rebel Change! Tavole Rotonde Cybersecurity&GDPR - Start Hub, Rebel Change!
Mar 10

Tavole Rotonde Cybersecurity&GDPR

Tavole Rotonde Cybersecurity&GDPR a TechMaster Challenge

Ultimo agg.: 31/01/2025

Autori: Yvette Agostini , Marco Rodolfo Bozzetti

I partecipanti alla Tavola Rotonda sulla cybersecurity e GDPR (TR) appartengono sia ad aziende della domanda che dell’offerta (sponsor dell’iniziativa). Le aziende della domanda sono tutte di medio grandi dimensioni, con fatturati al di sopra dei 50 Mlni €. Anche le aziende dell’offerta, tutte sponsor dell’evento, sono di medie-grandi dimensioni, quelle più piccole fanno parte di gruppi.

Dato il gran numero di partecipanti alla TR sulla cybersecurity (e GDPR), essa è stata suddivisa in due TR separate, con i seguenti facilitatori: la prima con Marco R. A. Bozzetti (Presidente Onorario AIPSI e Tesoriere FIDA) e con Andrea Attilio Grilli (Consigliere AIPSI), la seconda con Yvette Agostini (Socia e past Consigliera AIPSI).

Queste due TR   sono state precedute da un intervento di Marco Bozzetti e di Massimo Di Virgilio, Presidente FIDAInform e Presidente Onorario CDTI di Roma (che non ha potuto partecipare direttamente da remoto per problemi di collegamento), con alcune considerazioni su quanto emerso dall’ultima indagine OAD, Osservatorio Attacchi Digitali in Italia,  e su quali azioni AIPSI e la federazione FIDAInform, cui AIPSI è associata,  hanno intrapreso, o stanno intraprendendo (si veda presentazione allegata).

In estrema sintesi l’ultimo Rapporto OAD 2024, considerando anche i 17 anni consecutivi di indagine, evidenzia come i sistemi informativi di enti pubblici e privati siano negli ultimi anni in una “era” di insicurezza digitale sistemica: le misure di sicurezza tecniche ed organizzative implementate, per quanto sofisticate e allo stato dell’arte, non sono sufficienti a bloccare le diverse tipologie di attacco, sempre più sofisticate e pericolose.  E come i rispondenti all’indagine OAD 2024 indicano, gli attacchi digitali subiti hanno avuto forti impatti sia a livello tecnico, in termini di disservizio, sia a livello economico, dato che hanno comportano in molti casi un aggravio delle spese informatiche e in alcuni casi sul bilancio dell’intera azienda/ente. Perché questa sistemica insicurezza e come porvi rimedio? Varie le indicazioni fornite dal Rapporto OAD 2024:

  • Perché nella continua lotta tra difesa ed attacco digitale, quest’ultimo quasi sempre prevale? I motivi sono numerosi, ed analizzati nel Rapporto al quale si rimanda. Tra questi, significativi per la TR, la scarsa preparazione in materia, la difficoltà a trovare specialisti, la scarsa attenzione al fenomeno della sicurezza digitale da parte di molti vertici di aziende/enti.
  • Come porvi rimedio? Il Rapporto OAD 2024 indica  alcune strade da seguire, tra loro strettamente correlate: continua formazione e sensibilizzazione sulla sicurezza digitale, quest’ultima in particolare verso i vertici che decidono, automazione dei processi per la sua gestione, reale attuazione di piani di Disaster Recovery che consentano una effettiva resilienza dell’aziende/ente, garantendone la continuità operativa (business continuity) almeno dei suoi principali processi ed attività.

La formazione e la sensibilizzano non solo della sicurezza digitale, ma più in generale  sull’intera informatica – mondo digitale (Innovazione, competitività e competenze ICT sono strettamente correlate) sono un elemento essenziale per le competenze sull’ICT, e che vedono purtroppo l’Italia agli ultimi posti nelle indagini europee DESI degli ultimi anni.

Per cercare di fornire un concreto aiuto al sistema paese Italia, FIDAInform, cui AIPSI è associata, si è impegnata su due iniziative tra loro correlate e interdipendenti:

  • La realizzazione di un documento (chiamato provvisoriamente FIDA Piper 2025), che vedrà la sua pubblicazione nel mese di febbraio 2025, e che individua alcune concrete linee di azione che FIDAInform può effettivamente compiere grazie alle migliaia di professionisti ad alto livello del mondo ICT che sono i soci delle associazione federate. Le linee di azioni si basano sulla sua volontà e capacità di supportare pro bono, la crescita professionale di giovani professionisti, quella imprenditoriale di realtà innovative (siano esse start up o piccole e medie imprese)  e di contribuire alla discussione per la definizione  dei percorsi formativi che preparino i giovani alle sfide del mondo del lavoro. In pratica di effettuare qualificate ed autorevoli mentorship gratuite nei diversi contesti sopra elencati.
  • La realizzazione con FIDAInform di comunità collaborative che estendano ad associazioni anche non ICT l’approfondimento e l’articolazione/declinazione concrete in diversi settori merceologici, pubbliche amministrazioni incluse,  la rinascita dell’”homo informaticus” e della cultura digitale diffusa, necessaria per completare una efficace e fattiva trasformazione digitale.

Questa premessa di Bozzetti è stata propedeutica alla discussione delle due TR “Cybersecurity e GDPR” parallele che hanno avuto come tema di riferimento “l’uomo al centro della cybersecurity”. Due le slide di riferimento, sotto riportate, proiettate per stimolare la riflessione e la discussione sull’essere umano al centro della cybersecurity.

Varie le indicazioni emerse dalla TR ma con un unanime convincimento:  fondamentale il ruolo dell’essere umano nella sicurezza digitale, non solo a livello di utente, finale o privilegiato, ma soprattutto dei responsabili decisionali di vertice che decidono su budget ed interventi sulla sicurezza digitale.

La formazione, e soprattutto la sensibilizzazione dei decisori di vertice, quando viene fatta, e quasi tutte le aziende dei partecipanti l’hanno già fatta nel passato, e per più volte, ha sovente dato scarsi risultati, almeno per una parte degli utenti finali e dei decisori di vertice (e di aziende di significati fatturati per l’Italia). L’attenzione continua nell’uso delle risorse informatiche viene presto a scemare, e per i vertici aziendali, pur di  aziende con fatturati significati in Italia, la sicurezza digitale non è una priorità, soprattutto se non hanno ancora subito significativi attacchi.

Dalla discussione e dalle esperienze dei vari partecipanti,  nella quale ha anche attivamente partecipato Andrea Attilio Grilli per alcuni aspetti legati alla privacy, sono emersi vari spunti e considerazioni, sintetizzabili nei seguenti punti:

  • Fare formazione e sensibilizzazione “continua” è difficile e costoso, e quella attuale in molti casi non è efficace e soprattutto non “permane” nel discente
  • Molte procedure organizzative e molti strumenti operativi di sicurezza digitale non sono facili da seguire/utilizzare, non sono “user friendly”. Per diffonderli e farli seguire/usare correttamente, occorre semplificarli. Questo è anche un criterio per scegliere un prodotto o un servizio ICT da un altro.
  • Sull’utente finale viene quasi sempre fatta ricadere la responsabilità di malfunzionamenti e/o di attacchi intenzionali.  Siamo ancora ben lungi da sistemi ICT sicuri by default, a prova di imbecille, il così detto “utonto”. Ma una buona formazione e l’uso (ed il controllo della loro attuazione) di intelligenti procedure organizzative può fortemente limitare l’occorrenza di malfunzionamenti, attacchi e disastri. Su questo fronte si può contare anche su innovative applicazioni basate sull’IA che “accompagnano” l’utente nelle sue attività fornendo indicazioni sulle precauzioni di sicurezza corrette.
  • La gestione delle emergenze, per non dire dei disastri, nel sistema informativo, risulta per i più ancora un serio problema. Sovente non sono ben definite procedure organizzative che specifichino cosa fare, ed ancor meno si simula la gestione di una emergenza o di un disastro, per verificare che le procedure siano complete, che funzionino e che  il personale addetto sappia cosa fare e come.

È questo un ambito dove la carenza di informazione puntuale può avere conseguenze disastrose.

Per quanto riguarda la compliance alle principali normative europee inerenti la sicurezza digitale, a partire dalla GDPR per la privacy, la maggior parte dei partecipanti evidenzia come esse siano seguite ed implementate per essere formalmente conformi, più che sostanzialmente conformi. Nel 2024 e nel 2025 sono attive altre importanti normative, dalla NIS2 alla DORA, dal CyberSecurity Act al CER. Questo impatta molto sulle aziende/enti che devono seguirle, anche in termini di costi implementativi e di eventuali forti “multe” in caso di non conformità; e le ha indotte ad una crescente utilizzo di avvocati con competenze informatiche.

In riferimento agli attacchi digitali più gravi, sono emersi quelli alla supply chain, e quelli di deep fake, soprattutto a livello vocale e portati anche ai vertici di grandi aziende. Questi ultimi sono quelli che più preoccupano, perché è al momento difficile capire se siano fake oppure no.

Leave a reply

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *