CYBERSECURITY VUOL DIRE RESPONSABILITÀ CONDIVISA
Intervista Vip a Davide Giribaldi
A caccia di rischi cyber per allevare talenti. In maniera non ufficiale Davide Giribaldi si definisce così, fotografando molto bene il suo modo di intendere e praticare la sicurezza. Giribaldi è uno studioso senza frontiere conosce le organizzazioni, ha girato e continua a girare mezzo mondo. “La sicurezza è prima di tutto cultura” questo il vero leitmotiv della nostra conversazione, “è responsabilità condivisa, è attenzione a tutti gli attori nessuno escluso. Le terze parti sono dentro l’orizzonte di una governance illuminata del rischio Cyber, che non deve erigere muri ma affinare competenze e linguaggi per vincere una partita che sa di civiltà”.
Dott. Giribaldi, il rischio dinamico si inquadra nell’orizzonte mutante della complessità. Che cosa comporta questa condizione che connota non solo l’economia, ma in senso più ampio la società in tutte le sue articolazioni?
Il primo livello di analisi da prendere in esame riguarda la digitalizzazione tecnologica, un processo rapidissimo, che corre a una velocità esponenziale. Questo è l’ ”oikos”, per dirla in termini classici l’ambiente cui dobbiamo riferirci per sviluppare qualsiasi riflessione. Aziende istituzioni, cittadini che si muovono nella contemporaneità avvertono una potente spinta all’innovazione, sono i tempi e i linguaggi a fare la differenza, perché il problema di fondo è culturale. Le imprese, soprattutto quelle meno strutturate, hanno evidenti difficoltà organizzative a stare al passo dei ritmi evolutivi, stesso ragionamento va fatto per la PA, rallentata da tradizionali “ossificazioni burocratiche”. L’ostacolo più forte è rappresentato dal deficit di competenze e viene prima degli aspetti finanziari e di sostenibilità economica, che pur preoccupano e che prendono le prime pagine dei giornali. C’è insomma un alfabeto del digitale da costruire e far conoscere, per far comprendere quali sono i reali benefici della “quarta rivoluzione”.
Da che cosa dipende questa “fragilità” strutturale, da lei presa in esame, che esercita degli inevitabili riflessi sulla carenza di figure professionali richieste dal mercato della cyber security?
Un certo retaggio “crociano” e la generale impostazione del nostro sistema formativo che non ha, come sappiamo, riconosciuto il giusto valore agli istituti tecnici e alle scuole di avviamento professionale hanno avuto e hanno il loro peso. Non si tratta di alimentare nessun dualismo, non esistono due culture, piuttosto bisogna operare per facilitare il giusto mix tra il corredo di competenze umanistiche, molto importanti nelle organizzazioni, e le competenze tecniche ingegneristiche, informatiche che non possono mancare. Sul campo mi accorgo in particolare che quando si parla di digitalizzazione molti manager e dirigenti tendono a dire: se abbiamo sempre fatto così perché dovremmo cambiare. Se ci soffermiamo nell’ambito della cybersecurity che più ci interessa, il commento generale diventa: deve capitare proprio a me di subire un attacco? Questo fa capire la distanza che esiste tra l’esigenza reale di innovazione e il percepito diffuso in larga parte del mondo produttivo e dell’opinione pubblica.
Gli attacchi alle reti informatiche stanno diventando sempre più frequenti. Cosa dobbiamo maggiormente temere?
Lo scenario geopolitico che si è creato con il conflitto in Ucraina ha determinato uno scatto in avanti delle strategie di attacco cyber. Vi sono molti gruppi che approfittando della situazione e studiando il teatro di guerra operano una sorta di “pesca a strascico”, affinando azioni, interventi, percorsi di attacco. Cosa può succedere? I tentativi più significativi per operare delle truffe e per violare i sistemi, soprattutto nell’universo delle PMI, vengono messi in atto utilizzando tecniche ransomware e phishing. Queste modalità hanno alla base una cosa molto importante: la conoscenza dell’ingegneria sociale, che come ci ha insegnato Kevin Mitnick, ammantano l’inganno di motivazioni che trovano la loro radici in bisogni essenziali dell’uomo. Mettere fretta, chiedere aiuto, sono situazioni che fanno leva sui nostri sentimenti, sul senso di scarsità che ci attanaglia, e che ci rende deboli.
I linguaggi e le metodologie del cyber criminali si stanno indubbiamente affinando. La nostra capacità di risposta a che punto è?
Alle organizzazioni viene richiesta efficacia e rapidità, fattori che impongono una riflessione. Oggi soprattutto in determinati settori che non “vivono” solo di tecnologie, la risposta che viene messa in campo presenta connotati di tipo difensivo. Sappiamo in realtà che una cybersecurity che vuole attuare una vera governance del rischio deve crescere su tre “p”: prevenzione, predittività e proattività. Reagire quando una minaccia è già diventata evento comporta costi e guai peggiori. Per attivare azioni di contenimento bisogna partire dalla cultura, ritorno su questo aspetto, poi si innestano i processi, in ultimo arrivano gli apparati tecnologici. Spesso tendiamo prima ad alzare il “muro” della strumentazione, in seguito si pensa alle strategie. Un approccio siffatto non può essere vincente. Non serve erigere “muri”, pareti trasparenti e vetri blindati possono essere più utili per vedere cosa c’è oltre, per non perdere quello sguardo di insieme che un security manager deve avere. Senza visione prospettica non si fa, insomma, molta strada.
Testare le terze parti diviene un’attività strategica
Quali strategie vanno seguite per innalzare il livello di sicurezza delle cosiddette “terze parti” che nella catena del valore digitalizzata?
Il rischio si propaga anche per contagio dal piccolo al grande con conseguenze spesso drammatiche come la stretta attualità ci fa vedere ogni giorno. I fattori di sistema sono decisivi. La responsabilità va distribuita e condivisa da tutti gli attori della filiera. Cybersecurity significa responsabilità condivisa che deve partire dall’alto. La cyber security è una cultura che deve innestarsi in qualsiasi tipo di processo che riguarda l’azienda. Le terze parti sono un perno essenziale della catena. La normativa “NIS2” che entrerà in vigore entro ottobre del 2024 prevede una valutazione puntuale degli standard di qualità e di sicurezza dei fornitori.
“Testare” le terze parti diventa dunque di capitale importanza per il business?
Assolutamente sì. Lo vediamo in concreto. Quando ci influenziamo, la responsabilità del contagio è quasi sempre di qualcuno che incautamente ci ha avvicinato. Trovare un linguaggio comune nelle aziende sarebbe molto importante per innalzare il livello di protezione. Le diverse BUSINESS UNIT praticano linguaggi e stili comunicativi spesso molto distanti. Anche in questo caso un approccio culturale adeguato, capace di informare processi e comportamenti aiuterebbe. Quello che serve è un interprete, capace di semplificare i messaggi per aprire la strada della condivisione della responsabilità. La cybersecurity non è un vincolo è un’opportunità perché rappresenta la chiave di ogni successo futuro per manager e imprenditori. Le aziende che investono in sicurezza potranno dare fiducia ai clienti, acquisendo importanti quote di mercato.
Serve una regolazione illuminata per indirizzare i ritmi tumultuosi dello sviluppo tecnologico al servizio della collettività. Italia ed Europa stanno facendo bene su questo delicato terreno?
Se guardiamo lo scenario europeo dal punto di vista normativo possiamo dire che si sta facendo un buon lavoro. Il GDPR ha da poco “compiuto” 5 anni, non sarà una norma perfetta perché andrà aggiornata, ma non ce ne sono di migliori nel mondo, poste a tutela dei dati personali e delle persone fisiche. L’Europa sta, inoltre, cercando di creare in termini strategici un’infrastruttura giuridica, penso al regolamento sull’intelligenza artificiale, al Cyber Resilience Act, alla stessa NIS2 cui facevo riferimento prima, al regolamento Dora, strumenti che devono guidare lo sviluppo. Se poi guardiamo alle istituzioni, non possiamo non considerare il lavoro di ENISA, l’apporto del nuovo centro della cyber security nato in Romania e la recente creazione dell’ACN, l’agenzia italiana di settore.
Essere “pronti” ad affrontare il rischio dinamico
Sembra che ci siano le condizioni per guardare con fiducia al futuro. Lei si definisce un ottimista?
Non si tratta di assumere etichette ma di guardare la realtà in divenire con equilibrio. Ricordiamoci che il motore dello sviluppo tecnologico sono gli Stati Uniti e la Cina, l’Europa avrà la capacità di contrastare questo dominio? Pongo l’interrogativo perché credo ci sia molto da fare per far sì che le forze in campo trovino un equilibrio. Le diseguaglianze sono un vulnus della contemporaneità, difficile sanarle. Neanche l’etica, giustamente chiamata in causa quando si parla di redistribuire potere e ricchezza, può metterci d’accordo.
Questioni “delicate” difficili da affrontare in una intervista, non crede?
Non possiamo tacere aspetti delicati che riguardano non solo la sicurezza ma la vita di tutti. Pensiamo alla guida autonoma, che porrà tanti dilemmi. Sono ambiti della riflessione che hanno appassionato l’uomo fin dall’antichità, per fortuna non esiste un pensiero unico. Non c’è più solo l’etica classica, agganciata al trascendente, cristallizzata, immodificabile. L’impegno che tutti dobbiamo mettere, come manager, ma più in generale come classe dirigente, è quello di tornare a pensare come far crescere l’individuo in una società che muta continuamente, che si nutre di differenze in un mondo senza centro. Cose impensabili ieri sono possibili oggi, senza flettere sui principi non possiamo affrontare il futuro con regole obsolete.
Quali sono le filiere maggiormente esposte al rischio cyber?
Se pensiamo all’Italia tutto quello che sta attorno alla PA possiamo ritenere che sia a rischio. La sanità per la sovrapposizione di tecnologie vecchie e nuove è un altro ambito da seguire con attenzione. Non sottovaluterei la tutela del patrimonio informativo, marchi e brevetti. Difficile rendere sicuri questi asset strategici. Torna prepotente il tema rischio dinamico e terze parti su questo delicatissimo versante. La proprietà intellettuale la digitalizziamo certo, ma dove mettiamo questi dati? Se un brevetto sottratto finisce all’asta nel dark web, la vita dell’impresa è finita. Si parla poco di questi aspetti, a mio giudizio determinanti nell’immediato futuro.
Cyber Security Readiness è un progetto che oltre a coinvolgere molti player istituzionali, guarda alle PMI che sono state al centro della nostra discussione. Essere pronti di fronte al rischio dinamico, non è una pura utopia?
Non credo, se si acquisisce la giusta consapevolezza. Il progetto cui lei si riferisce è stato presentato a La Sapienza in occasione della due giorni organizzata da Cyber 4.0 (Cybersecurity Competence Center) in collaborazione con il Ministero delle Imprese e del Made in Italy. L’iniziativa è molto interessante e potrà avere un importante sviluppo a patto di entrare in una logica europea. Bisogna aderire alle associazioni che sostengono valori e principi comuni. Faccio l’esempio della European Digital SME Alliance, che mi vede direttamente impegnato, ma sono tante le realtà che operano in questa logica. Dobbiamo fare sistema, questo il punto. Nei tavoli internazionali bisogna avere alle spalle la forza della rappresentanza associativa, per farsi sentire. C’è molto da fare, ma sono ottimista anche su questo, perché credo che il valore dell’associazionismo sia molto importante. Ho iniziato con un termine greco, e chiuderei la nostra conversazione alla stessa maniera, richiamando la “koinè”, il senso di comunità che la polis ha insegnato all’Occidente. Facciamo tesoro di questo patrimonio di civiltà, per creare un “blocco sociale” aperto all’innovazione e alle esigenze di sicurezza e di libertà che da sempre scandiscono le tappe del progresso dell’uomo.
Autore: Massimiliano Cannata
