La differenza tra un’impresa di successo e una che fallisce spesso non è la mancanza di capacità ma il coraggio di scommettere sulle proprie convinzioni, assumere i rischi calcolati e agire. Aiutare le aziende nella valutazione dei rischi è in genere un’attività per consulenti, più o meno specializzati: rischio economico, di mercato o di altra natura.

Un caso a parte è il rischio legato alla sicurezza digitale delle informazioni, che può rovinosamente influire sul futuro e la sopravvivenza stessa dell’azienda, per cui la capacità di capire, valutare e rimediare a questi rischi diventa cruciale.

Grazie agli studi svolti dall’Università degli Studi di Roma “La Sapienza” è nato il Framework nazionale di cybersecurity. Il documento spiega come affrontare la cyber security con un approccio omogeneo, per ridurre i rischi legati alle minacce. Quanto proposto è intimamente legato all’analisi del rischio stesso e non a standard tecnologici.  Frutto di mesi di lavoro di un team di esperti e accademici, il documento è stato poi oggetto di consultazione pubblica per un ulteriore raffinamento, correzione di eventuali errori e integrazione di suggerimenti e migliorie. Il risultato è un documento condiviso con tutta la comunità di security italiana. La partecipazione di grandi player  ha permesso di recepire esigenze tipiche delle aziende, ad esempio la condivisione di approccio con i fornitori, mentre la presenza di tre delle “big four”, ha garantito una ulteriore validazione da parte di chi lavora costantemente sul territorio accanto alle PMI.

I vantaggi:

Il Framework è pensato per una auto-implementazione che favorisce sia la competenza sia la corretta gestione della privacy dei dati aziendali. Il timore legato alla privacy dei dati è infatti ancora oggi il principale ostacolo all’avvio di analisi di valutazione del rischio da parte di società di security esterne all’azienda stessa, che pur se specializzate non possono contare sulla relazione di “trust” che rappresenta una premessa obbligata. L’auto-valutazione risolve questo scoglio inziale ed è anzi favorita da una apposita guida composta di regole fra cui le più importanti sono venti.

Durante il convegno di presentazione, sono stati sottolineati i tre principali obiettivi del Framework:

  1. semplificare;
  2. aumentare la consapevolezza;
  3. tutelare il patrimonio dell’azienda.

Il modello metodologico consente la semplificazione perché fornisce una guida da seguire per valutare il rischio in azienda, il Framework consente la crescita di consapevolezza perché è strutturato per essere presentato ad un CDA o comunque al Top Management fornendo una valutazione chiara e comprensibile.
Infine, si opera per la tutela, perché seguendo le regole del Framework ed i suoi controlli, si capiscono i rischi e si possono risolvere per meglio proteggere gli asset strategici e operativi dell’azienda.

Il Framework è oggi uno strumento maturo, perfettibile, ma anche un “documento vivo” che necessita di manutenzione perché nel tempo cambiano le minacce. Tutte le categorie devono costantemente essere aggiornate secondo gli sviluppi della minaccia. Nonostante l’ovvio ma impari confronto con il Governo Obama, che stanzia 19 miliardi di dollari per la cybersecurity rispetto ai 135 milioni di euro italiani, è importante sottolineare il confronto con i paesi europei quali la Francia con un miliardo di euro per i prossimi 4 anni e lo stanziamento ingente dell’UK e un a roadmap iniziata già sette anni fa, che evidenziano comunque come in Italia si abbia un budget molto basso rispetto alle esigenze nazionali.

Una qualsiasi PMI anche alle “prime armi” in materia di sicurezza può implementare il framework autonomamente seguendo tabelle e relative linee guida di implementazione strutturate per categorie ad alta priorità. Senza bisogno di specifico background, si può affrontare la sezione specifica e valutare il livello di rischio esistente, avviando le decisioni per abbassare il livello di rischio fino al limite accettabile e contemporaneamente decidendo per il rafforzamento delle difese in azienda rispettando il profilo di rischio target. Sicuramente nella fase di lavoro dedicato alla protezione saranno necessari skill specifici di risk management e di security che devono essere erogati da esperti del settore.

Fonte: PMI