In questo inizio di anno TÜV SÜD delinea i trend per la sicurezza IT e ricorda come la formazione sia uno dei fattori chiave per avere successo in questo comparto. L’attenzione che si pone verso la sicurezza informatica acquisisce anno dopo anno sempre più importanza. Questo avviene non a livello regionale ma bensì globale. Infatti i pericoli derivanti dagli innumerevoli attacchi perpetrati da gruppi hacker, a volte sponsorizzati dagli Stati stessi, sono sempre più pericolosi e distruttivi. E possono colpire organizzazioni di ogni tipologia, dimensione e settore presenti in località differenti.
Cosa sta facendo l’Italia
In seguito a questa accresciuta importanza della cyber security tutti i Paesi mondiali si attivano, prevedendo ognuno particolari metodi e soluzioni per contrastare l’ascesa dei criminali informatici. L’Italia sta maturando una consapevolezza sempre più forte nell’ambito della cyber security. Questa maturazione è iniziata a partire dal 2008, quando è stato costituito il Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (Cnaipic).
I trend per la sicurezza IT
Il driver è partito dalla direttiva ECI (European Critical Infrastructure), che evidenziava la necessità di proteggere le infrastrutture critiche dal punto di vista fisico, ma anche informatico. Questo è stato un esempio che si è esteso a tutti gli Stati membri, che hanno iniziato a implementare gli organismi dedicati alla cyber security nazionale.
Gli obiettivi principali
Si è passati dalla Direttiva NIS (Network and Information Security all’istituzione di un Perimetro di Sicurezza Nazionale Cibernetica e di un Centro di Valutazione e Certificazione Nazionale. Obiettivo prioritario quello di elevare la security dei sistemi ICT per le pubbliche amministrazioni e alcune imprese private. Per la prima volta viene introdotto il concetto di screening tecnologico.
Esso impone ai soggetti pubblici o privati, l’obbligo di comunicare alle autorità competenti iniziative di approvvigionamento relativa a tecnologie sensibili (servizi, hardware o software). E questo attraverso una valutazione dei fornitori selezionati e un’approfondita verifica sulle soluzioni scelte. In questo modo è possibile limitare l’introduzione di vulnerabilità (accidentali o volute) all’interno dei propri sistemi.
Creare un sistema di gestione ad hoc
Antonio Bagiolini, Business Line Manager – ICT di TÜV Italia
Le aspettative che provengono dall’esterno e le necessità degli stakeholder, sono essenziali per dare forma a un efficace sistema di gestione della sicurezza di ogni singola azienda. Norme come la ISO IEC 27001 consentono di creare un sistema di gestione su misura che garantisca l’integrità, la riservatezza e la disponibilità di dati e informazioni.La nuova 27001:2022, ad esempio, è stata progettata per essere calata più facilmente nelle aziende di ogni settore che si trovano ad affrontare un ambiente mutevole e imprevedibile. Un ambiente sempre più ricco di rischi per le risorse informative e che cambia rapidamente a livello di tecnologia e infrastrutture. Permettendo così la nascita di nuove vulnerabilità e minacce, contrastabili attraverso un sistema organizzativo strutturato, che introduca controlli sempre più attuali e mirati.
Trend e sviluppi nella sicurezza IT
Il 2023 vedrà un aumento della domanda di soluzioni e servizi di sicurezza efficaci e a prezzi ragionevoli. Una dimostrazione tangibile dell’incertezza derivante dalla situazione economica generale e dagli impatti negativi della pandemia e della guerra in Ucraina. Le PMI saranno particolarmente attente a fare un uso mirato del loro bilancio per la sicurezza informatica e a esaminarne l’efficacia in termini di costi. Per rafforzare la cybersecurity lungo la catena di approvvigionamento, i fornitori non dovrebbero più essere gravati da requisiti diversi in tema di sicurezza informatica. Al contrario, i requisiti di cybersecurity dovrebbero essere standardizzati e le norme adottate a livello globale, ove possibile.
Come attuare le norme
Alcune leggi e regolamenti nazionali e internazionali sulla sicurezza informatica sono già in vigore. Però ora si passerà alla fase di implementazione. Questa imporrà misure di vigilanza e segnalazione più rigorose e adotterà sanzioni armonizzate in tutta l’UE. Il progetto di regolamento europeo sulla cyber-resilienza (CRA) è la prima legislazione a livello europeo a stabilire requisiti obbligatori di cybersecurity per apparecchiature e prodotti con elementi digitali.
2023, i trend per la sicurezza IT che caratterizzeranno l’anno
In Usa si è visto un numero crescente di regolamenti per l’attuazione della sicurezza informatica. Questo ha costretto le autorità, come la CISA, a lavorare sull’implementazione dei requisiti che si applicano a diversi settori. Tuttavia, un aspetto comune a tutte le normative è che le aziende devono verificare se queste rientrano nei loro ambiti di applicazione. Oltre a capire come attuare i cambiamenti pertinenti nel modo più efficiente. In vista dell’attuazione internazionale, gli standard e la certificazione di terze parti svolgeranno nel 2023 un ruolo ancora più importante di quanto non abbiano fatto finora.
Attenti alle infrastrutture critiche
Il numero di attacchi di phishing, malware e ransomware è in costante aumento, una tendenza destinata a continuare nel prossimo futuro. In considerazione della crescente professionalità degli aggressori informatici e della guerra virtuale, la protezione delle infrastrutture critiche continua a essere al centro dell’attenzione. Ciò vale soprattutto per settori altamente sensibili. Ad esempio come quello dell’approvvigionamento energetico e dell’assistenza sanitaria.
Fondamentale la formazione
Il fattore umano continua a essere l’anello debole della catena della sicurezza informatica. Dove i dipendenti che rappresentano la terza componente principale delle imprese, dopo la tecnologia e i processi. Finora, l’attenzione si è concentrata sulla formazione generale di sensibilizzazione per tutta la forza lavoro. In futuro, ci sarà una tendenza crescente verso misure di formazione per specifici destinatari, affrontando aree che includono requisiti di settori specifici come l’ingegneria automobilistica o l’industria medtech. Anche esperti e dirigenti richiedono una formazione costante sulle minacce informatiche e su come agire e comportarsi correttamente.
Fiducia nell’intelligenza artificiale
Costruire la fiducia digitale nell’Intelligenza Artificiale è un fattore chiave importante. In considerazione di ciò, le norme e gli standard stanno diventando sempre più importanti. Per quanto riguarda i regolamenti, la Commissione europea ha presentato l’Artificial Intelligence Act nell’aprile 2021. Detto questo, le parti interessate devono ora iniziare a impegnarsi in discussioni sui certificati di intelligenza artificiale e sugli standard di certificazione che consentono loro di stabilire ambienti IT che offrano la massima sicurezza.
La Charter of Trust
Le organizzazioni di standardizzazione come l’ISO (International Standards Organisations) hanno già iniziato a lavorare su questo aspetto. Anche il settore industriale sta lavorando allo sviluppo di proposte e soluzioni per possibili etichette AI. Un esempio è la Charter of Trust, alleanza di sicurezza informatica formata da aziende globali e che include TÜV SÜD tra i suoi membri. Garantire una crescente fiducia nelle tecnologie digitali è un aspetto chiave nello sviluppo e nell’utilizzo delle applicazioni di AI.