Lo scenario della Cyber Security in Italia tra innovazioni tecnologiche e nuove regolamentazioni
Mar 4
/
Giada Biagini
La cyber security continua a situarsi al primo posto tra le priorità di investimento nel mondo digitale in Italia, che pur è in ritardo rispetto agli altri Paesi europei. Ad attacchi crescenti si affiancano maggiori investimenti delle aziende nel campo cyber, incentivati anche dalle recenti novità introdotte dalle istituzioni europee e italiane. In questo articolo si delinea un panorama più ampio dell’attuale scenario della cyber security in Italia, con un focus sui temi maggiormente rilevanti.
Introduzione
L’attuale panorama della cyber security è in costante evoluzione ed è principalmente caratterizzato da due tensioni significative: da una parte stiamo assistendo ad un continuo aumento degli attacchi informatici (1), anche a causa della complessa e delicata situazione geopolitica attuale, causata dal protrarsi del conflitto russo-ucraino e all'aggravarsi della situazione in Medio Oriente, mentre dall’altra si può osservare un diffuso aumento degli investimenti e delle iniziative sul tema, con una divulgazione e una formazione dedicate e, soprattutto, con una nuova regulation istituzionale sia a livello europeo sia per quanto concerne i singoli Stati Membri. Focalizzandosi sul panorama nazionale, si osserva che la maggior parte delle grandi organizzazioni ha già avviato o potenziato i propri investimenti nella sicurezza informatica, adottando tecnologie all’avanguardia o rivedendo i processi già in atto con l’obiettivo di proteggere il proprio patrimonio informativo e i sistemi informatici; procedono più lentamente – ma sempre secondo un trend positivo – piccole e medie imprese (2). In ogni caso la cyber security si conferma, in linea con lo scorso anno, una delle principali priorità di investimento nel digitale anche in Italia; tale tendenza è ulteriormente alimentata dall’impulso dell’Agenzia per la Cybersicurezza Nazionale (ACN) e dal crescente interesse generale sul tema. Ma quali sono i principali temi in materia di cyber security di cui le aziende e le organizzazioni dovrebbero tenere conto?
Compliance normativa
Da un’analisi complessiva, emerge come rilevante prima di tutto il tema della compliance normativa. Nell’ultimo periodo, infatti, le istituzioni europee e nazioniali hanno introdotto nuove normative che impattano sul mondo cyber, tra cui vale la pena menzionare il Regolamento UE sulla Cybersicurezza (3), entrato in vigore lo scorso gennaio, che mira ad aumentare il livello di conoscenza e consapevolezza cyber (4) e che si affianca alla Direttiva NIS2 (Network And Information System 2) (5), che entrerà invece in vigore a partire dal prossimo ottobre e che ha lo scopo di aumentare la resilienza delle imprese europee, ampliando lo spettro di aziende e organizzazioni coinvolte dalla precedente direttiva (NIS) e avanzando richieste più stringenti in materia di sicurezza cyber. Si inserisce in questo panorama il Regolamento DORA (Digital Operational Resilience Act), che sarà vincolante da gennaio 2025 e che è volto a stabilire un nuovo framework di sicurezza per il settore europeo, mentre a livello nazionale il DDL Cybersecurity, approvato dal Consiglio dei Ministri lo scorso gennaio (6), inasprisce le pene per i cybercriminali, introducendo nuove figure di reato e aggravanti specifiche, e mobilita l’attenzione della Pubblica Amministrazione sul tema cyber, imponendo ad esempio un obbligo di notifica degli attacchi informatici all’ACN entro 24 ore dall’accaduto. Il recepimento corretto di tali normative è un tassello fondamentale per la difesa delle imprese, ed è per questo che il tema della compliance normativa assume un ruolo così centrale.
Cybersecurity awareness, strategie a lungo termine e CISO
Un altro tema che le imprese non possono mettere in secondo piano è quello dell’awareness: un’efficace cybersecurity awareness aziendale deve coinvolgere sia gli attori interni, come il board e gli utenti aziendali, sia gli attori esterni al perimetro aziendale, come le terze parti. A tale scopo assume un ruolo fondamentale il tema della strategia: tra le aziende si parla sempre di più di sicurezza, ma per proteggersi efficacemente dagli attacchi è fondamentale pianificare una strategia a lungo termine, che sia in grado di guardare con lungimiranza ai nuovi cambiamenti su tutti i fronti dell’organizzazione, in modo da proteggere al meglio ogni singola componente della filiera aziendale. Fondamentale, di conseguenza, diventa la figura professionale del CISO (Chief Information Security Officer), sempre più diffusa anche tra le imprese italiane, ovvero un alto dirigente aziendale, responsabile della gestione della sicurezza delle informazioni e della protezione dei dati all’interno di un’organizzazione (7). Per essere strategica, la cyber security deve essere comunicata e proprio questo è uno dei compiti principali del CISO, il quale deve di conseguenza essere in grado di dialogare con le altre figure aziendali, creare consapevolezza e portare avanti la formazione – il tutto, auspicabilmente, in collaborazione con un gruppo di lavoro transdisciplinare, poiché la cyber security è un tema complesso e, proprio per questo, ha bisogno di uno sguardo ad ampio spettro.
Intelligenza Artificiale
Ultimo, ma certamente non per importanza, è il tema dell’Intelligenza Artificiale (IA). L’ultimo anno ha infatti visto molto fermento per l’implementazione di sistemi di IA nelle soluzioni di cyber security, che da una parte permettono di automatizzare e velocizzare i processi in passato affidati all’essere umano, come la raccolta e l’analisi dei dati, ma che dall’altra mettono le imprese di fronte ad una serie di nuovi rischi e minacce, in quanto tali strumenti sono sempre più facilmente accessibili anche per gli avversari (basti pensare che, ad esempio, utilizzando l’IA generativa i cybercriminali possono creare in pochi minuti campagne di phishing efficaci su larga scala, individuare facilmente le vulnerabilità aziendali e creare deep-fake volti a generare disinformazione). Anche su questo fronte si sono mosse le istituzione europee: l’Artificial Intelligence Act (8) ambisce infatti alla creazione di un quadro normativo europeo comunque sull’utilizzo dell’IA, che segue un approccio risk-based, e che ci ricorda che, affinché quest'ultima possa essere governata, deve essere attentamente normata – soprattutto quando viene utilizzata in un ambito così delicato come la sicurezza.
Conclusioni
In conclusione, dunque, per affrontare al meglio i crescenti attacchi e rischi nell’ambito della cyber security, aziende e organizzazioni dovranno essere in grado di creare non solo una buona strategia di difesa a lungo termine, ma anche e soprattutto un dialogo efficace – non solo all’interno del perimetro aziendale, ma anche all’esterno, con le istituzioni. Le imprese dovranno anche essere in grado di gestire uno strumento così complesso come l’IA, senza mai dimenticare che, come ogni altro prodotto della tecnica, nemmeno essa è neutrale. Per ottenere tutto questo è più che mai necessario lavorare secondo un approccio multidisciplinare e transdisciplinare, che sia in grado di bilanciare l’importanza della governance con la trasparenza ed il rispetto degli standard etici, senza mai mettere in secondo piano temi irrinunciabili come il rispetto dei diritti umani e la sostenibilità.
Riferimenti:
1. ENISA THREAT LANDSCAPE 2023
2. Ricerca 2023 dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano – www.osservatori.net
3. The EU Cybersecurity Act | Shaping Europe’s digital future
4. Cyber security, c’è il nuovo Regolamento UE: così aumenta il livello comune di sicurezza
5. Direttiva sulle misure per un livello comune elevato di cibersicurezza in tutta l'Unione (direttiva NIS2) | Plasmare il futuro digitale dell'Europa
6. DDL Cybersicurezza: ambizioni alte, ma mancano i fondi - Agenda Digitale
7. CISO: che fa e come si diventa Chief Information Security Officer
8. 52021PC0206 - EN - EUR-Lex
Introduzione
L’attuale panorama della cyber security è in costante evoluzione ed è principalmente caratterizzato da due tensioni significative: da una parte stiamo assistendo ad un continuo aumento degli attacchi informatici (1), anche a causa della complessa e delicata situazione geopolitica attuale, causata dal protrarsi del conflitto russo-ucraino e all'aggravarsi della situazione in Medio Oriente, mentre dall’altra si può osservare un diffuso aumento degli investimenti e delle iniziative sul tema, con una divulgazione e una formazione dedicate e, soprattutto, con una nuova regulation istituzionale sia a livello europeo sia per quanto concerne i singoli Stati Membri. Focalizzandosi sul panorama nazionale, si osserva che la maggior parte delle grandi organizzazioni ha già avviato o potenziato i propri investimenti nella sicurezza informatica, adottando tecnologie all’avanguardia o rivedendo i processi già in atto con l’obiettivo di proteggere il proprio patrimonio informativo e i sistemi informatici; procedono più lentamente – ma sempre secondo un trend positivo – piccole e medie imprese (2). In ogni caso la cyber security si conferma, in linea con lo scorso anno, una delle principali priorità di investimento nel digitale anche in Italia; tale tendenza è ulteriormente alimentata dall’impulso dell’Agenzia per la Cybersicurezza Nazionale (ACN) e dal crescente interesse generale sul tema. Ma quali sono i principali temi in materia di cyber security di cui le aziende e le organizzazioni dovrebbero tenere conto?
Compliance normativa
Da un’analisi complessiva, emerge come rilevante prima di tutto il tema della compliance normativa. Nell’ultimo periodo, infatti, le istituzioni europee e nazioniali hanno introdotto nuove normative che impattano sul mondo cyber, tra cui vale la pena menzionare il Regolamento UE sulla Cybersicurezza (3), entrato in vigore lo scorso gennaio, che mira ad aumentare il livello di conoscenza e consapevolezza cyber (4) e che si affianca alla Direttiva NIS2 (Network And Information System 2) (5), che entrerà invece in vigore a partire dal prossimo ottobre e che ha lo scopo di aumentare la resilienza delle imprese europee, ampliando lo spettro di aziende e organizzazioni coinvolte dalla precedente direttiva (NIS) e avanzando richieste più stringenti in materia di sicurezza cyber. Si inserisce in questo panorama il Regolamento DORA (Digital Operational Resilience Act), che sarà vincolante da gennaio 2025 e che è volto a stabilire un nuovo framework di sicurezza per il settore europeo, mentre a livello nazionale il DDL Cybersecurity, approvato dal Consiglio dei Ministri lo scorso gennaio (6), inasprisce le pene per i cybercriminali, introducendo nuove figure di reato e aggravanti specifiche, e mobilita l’attenzione della Pubblica Amministrazione sul tema cyber, imponendo ad esempio un obbligo di notifica degli attacchi informatici all’ACN entro 24 ore dall’accaduto. Il recepimento corretto di tali normative è un tassello fondamentale per la difesa delle imprese, ed è per questo che il tema della compliance normativa assume un ruolo così centrale.
Cybersecurity awareness, strategie a lungo termine e CISO
Un altro tema che le imprese non possono mettere in secondo piano è quello dell’awareness: un’efficace cybersecurity awareness aziendale deve coinvolgere sia gli attori interni, come il board e gli utenti aziendali, sia gli attori esterni al perimetro aziendale, come le terze parti. A tale scopo assume un ruolo fondamentale il tema della strategia: tra le aziende si parla sempre di più di sicurezza, ma per proteggersi efficacemente dagli attacchi è fondamentale pianificare una strategia a lungo termine, che sia in grado di guardare con lungimiranza ai nuovi cambiamenti su tutti i fronti dell’organizzazione, in modo da proteggere al meglio ogni singola componente della filiera aziendale. Fondamentale, di conseguenza, diventa la figura professionale del CISO (Chief Information Security Officer), sempre più diffusa anche tra le imprese italiane, ovvero un alto dirigente aziendale, responsabile della gestione della sicurezza delle informazioni e della protezione dei dati all’interno di un’organizzazione (7). Per essere strategica, la cyber security deve essere comunicata e proprio questo è uno dei compiti principali del CISO, il quale deve di conseguenza essere in grado di dialogare con le altre figure aziendali, creare consapevolezza e portare avanti la formazione – il tutto, auspicabilmente, in collaborazione con un gruppo di lavoro transdisciplinare, poiché la cyber security è un tema complesso e, proprio per questo, ha bisogno di uno sguardo ad ampio spettro.
Intelligenza Artificiale
Ultimo, ma certamente non per importanza, è il tema dell’Intelligenza Artificiale (IA). L’ultimo anno ha infatti visto molto fermento per l’implementazione di sistemi di IA nelle soluzioni di cyber security, che da una parte permettono di automatizzare e velocizzare i processi in passato affidati all’essere umano, come la raccolta e l’analisi dei dati, ma che dall’altra mettono le imprese di fronte ad una serie di nuovi rischi e minacce, in quanto tali strumenti sono sempre più facilmente accessibili anche per gli avversari (basti pensare che, ad esempio, utilizzando l’IA generativa i cybercriminali possono creare in pochi minuti campagne di phishing efficaci su larga scala, individuare facilmente le vulnerabilità aziendali e creare deep-fake volti a generare disinformazione). Anche su questo fronte si sono mosse le istituzione europee: l’Artificial Intelligence Act (8) ambisce infatti alla creazione di un quadro normativo europeo comunque sull’utilizzo dell’IA, che segue un approccio risk-based, e che ci ricorda che, affinché quest'ultima possa essere governata, deve essere attentamente normata – soprattutto quando viene utilizzata in un ambito così delicato come la sicurezza.
Conclusioni
In conclusione, dunque, per affrontare al meglio i crescenti attacchi e rischi nell’ambito della cyber security, aziende e organizzazioni dovranno essere in grado di creare non solo una buona strategia di difesa a lungo termine, ma anche e soprattutto un dialogo efficace – non solo all’interno del perimetro aziendale, ma anche all’esterno, con le istituzioni. Le imprese dovranno anche essere in grado di gestire uno strumento così complesso come l’IA, senza mai dimenticare che, come ogni altro prodotto della tecnica, nemmeno essa è neutrale. Per ottenere tutto questo è più che mai necessario lavorare secondo un approccio multidisciplinare e transdisciplinare, che sia in grado di bilanciare l’importanza della governance con la trasparenza ed il rispetto degli standard etici, senza mai mettere in secondo piano temi irrinunciabili come il rispetto dei diritti umani e la sostenibilità.
Riferimenti:
1. ENISA THREAT LANDSCAPE 2023
2. Ricerca 2023 dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano – www.osservatori.net
3. The EU Cybersecurity Act | Shaping Europe’s digital future
4. Cyber security, c’è il nuovo Regolamento UE: così aumenta il livello comune di sicurezza
5. Direttiva sulle misure per un livello comune elevato di cibersicurezza in tutta l'Unione (direttiva NIS2) | Plasmare il futuro digitale dell'Europa
6. DDL Cybersicurezza: ambizioni alte, ma mancano i fondi - Agenda Digitale
7. CISO: che fa e come si diventa Chief Information Security Officer
8. 52021PC0206 - EN - EUR-Lex
DIGITAL TALENT ACADEMY è una piattaforma dedicata all'apprendimento di competenze digitali, basata sui valori della didattica della scuola tradizionale e sul lavoro.
DTA aiuta ad acquisire ed esprimere il proprio talento digitale.
DTA aiuta ad acquisire ed esprimere il proprio talento digitale.
Copyright © 2024 Digital Talent Academy
Grazie per averci contattato!
Se desideri ulteriori informazioni o dettagli scrivi a
supporto@digitaltalentacademy.it
supporto@digitaltalentacademy.it
Benvenuto!
Siamo entusiasti di ricevere la tua candidatura. Compilando questo modulo potrai creare un workshop per la nostra community. Inserisci le tue informazioni personali, un membro del nostro staff ti contatterà per una call conoscitiva e ti illustrerà nel dettaglio il funzionamento dei nostri workshop live. A presto!
Grazie per averci contattato!
*Inserendo la tua eMail dichiari di accettare la Privacy.
Creato con
