AIPSI, "Mancanza di competenze cyber in Italia: come risolvere il problema"

La mancanza di competenze specialistiche nell'ICT in Italia è ormai da considerarsi cronica ed è ancora più grave in ambito sicurezza digitale.  Marco R. A. Bozzetti,  Presidente di AIPSI,  e il Consigliere AIPSI Gianluca Lombardi, hanno di recente individuato in un articolo alcune delle principali cause di questa arretratezza.

Tra le possibili soluzioni per rimediarvi, evidenziano come la sensibilizzazione e la formazione sulla cybersicurezza, soprattutto per i decisori aziendali, sono prerequisti fondamentali per colmare questo divario.

Riportiamo il testo nella sua completezza, data l'importanza dei contenuti.

L'Italia si trova in una posizione arretrata rispetto agli altri paesi europei per quanto riguarda le competenze digitali. Secondo l’indice di Digitalizzazione dell’economia e della società (DESI), l’Italia è tra gli ultimi posti nell’UE per competenze digitali. “L’Italia deve far fronte a notevoli carenze nelle competenze digitali di base e avanzate, che rischiano di tradursi nell’esclusione digitale di una parte significativa della popolazione e di limitare la capacità di innovazione delle imprese” sottolinea il rapporto.

In particolare, la mancanza di specialisti nella cibersicurezza è una sfida critica. Le competenze richieste per ruoli specifici in questo settore, come ad esempio i 12 profili descritti in ECSF di ENISA, non sono facilmente reperibili, creando un vuoto significativo nella difesa non solo delle infrastrutture critiche nazionali, ma di tutti i sistemi informativi, piccoli o grandi, di ogni azienda in ogni settore merceologico, oltre che delle pubbliche amministrazioni centrali e locali.

La crescita degli attacchi digitali in Italia

Negli ultimi anni, l’Italia ha visto un aumento significativo sia nel numero che nella gravità degli attacchi informatici. I rapporti più recenti dell’Agenzia per la Cybersecurity Nazionale (ACN) e dell’Osservatorio Attacchi Digitali (OAD) evidenziano un incremento preoccupante di incidenti, con attacchi sempre più sofisticati e mirati.

È interessante notare come dall’ultimo report OAD emerge che in Italia “Nel 2020 e nel 2021 […], la percentuale di chi ha rilevato attacchi cresce ancora avvicinandosi al 60%. Nel 2022 si rileva un vero e proprio balzo all’85,1% dei sistemi informativi che hanno rilevato attacchi, con un delta tendenziale di poco più del 25%. Negli ultimi tre anni la percentuale di attacchi rilevati supera nettamente quella di attacchi non subiti”.

Un’ulteriore conferma arriva dall’indagine ACN, che sottolinea come nel 2023 “a fronte di un numero di comunicazioni ricevute sostanzialmente allineato a quello del 2022, sono aumentati di circa il 30% il numero di eventi cyber e più che raddoppiati gli incidenti”.

Questa critica tendenza evidenzia la necessità urgente di migliorare e potenziare la cibersicurezza dei sistemi informativi, e questo richiede competenze idonee da parte degli utenti, finali o privilegiati, che da sempre costituiscono l’anello più vulnerabile della sicurezza digitale, e anche una adeguata conoscenza del problema da parte dei “decision maker” che stabiliscono budget e priorità.

La realtà delle microimprese italiane

Secondo il Rapporto sulle Imprese 2021 di ISTAT, in Italia il 95% delle imprese ha meno di 10 dipendenti. Queste microimprese, a parte quelle del mondo ICT, non possono avere e mantenere al proprio interno personale specializzato in ICT e, ancora meno, nella cibersicurezza: devono quindi rivolgersi e fare affidamento su consulenti esterni o società specializzate in tali ambiti; questo comporta l’importanza cruciale di saper scegliere partner esperti, possibilmente certificati, affidabili ed eticamente corretti, in grado e capaci di garantire l’adeguata protezione digitale, tecnica ed organizzativa, ai sistemi informativi dei clienti.

Consapevolezza e formazione nella cyber sicurezza

Per affrontare efficacemente le sfide della sicurezza digitale, è essenziale che tutti, utenti e decision maker, inclusi i responsabili e gestori dell’CT, comprendano l’importanza del loro comportamento nell’uso e nella gestione sicura e controllata del sistema informativo.

Il sistema informativo è di supporto a quasi tutte le attività e processi dell’azienda/ente, ed un suo blocco, o peggio un suo malfunzionamento, ha un diretto e grave impatto su ogni attività e processo, fino al blocco della continuità operativa. Per questo, la selezione e la scelta accurata dei consulenti e dei fornitori dell’ICT, e della sua sicurezza, è un aspetto assai critico e strategico per la stessa sopravvivenza e competitività dell’azienda/ente.

Queste decisioni devono essere fatte dai decision maker con l’opportuna conoscenza e sensibilità sia delle soluzioni di sicurezza digitale, sia del contesto nel quale tali soluzioni devono essere calate e fatte funzionare. La cibersicurezza, così come tutto il sistema informativo, deve essere allineato, e in qualche caso anticipare, il piano di sviluppo e gli obiettivi strategici dell’organizzazione. La cibersicurezza è, inoltre, basilare per garantire la conformità a varie normative vigenti o da attuare a breve, come ad esempio il GDPR, la direttiva NIS 2 e il regolamento DORA. Queste normative richiedono misure tecniche ed organizzative per la protezione dei dati e delle infrastrutture del sistema informativo, in particolare quelle critiche per il funzionamento del sistema paese, e soprattutto richiedono una attenta e proattiva (se non predittiva) analisi dei rischi digitali ed il pieno coinvolgimento del vertice dell’azienda/ente nelle decisioni sulla sicurezza, la così detta “governance”.

La non conformità può comportare sanzioni significative e danni reputazionali, rendendo imprescindibile una formazione adeguata e continua dei leader aziendali in materia di cyber security e governance. Una effettiva analisi dei rischi ICT è un aspetto fondamentale per prevenire le minacce e per comprendere appieno i potenziali impatti sul business.

Tale analisi deve includere l’analisi delle vulnerabilità, sia tecniche che organizzative e del personale (e da qui evidente la necessità di formazione e sensibilizzazione “continua”), la probabilità di un attacco e le possibili conseguenze operative e finanziarie. Questo processo consente di sviluppare piani di risposta e di continuità operativa, garantendo che l’azienda/ente possa mantenere le sue attività essenziali anche in caso di disastro, e non solo di un attacco o di un incidente. La capacità di riprendersi rapidamente da un attacco informatico non solo minimizza le perdite, ma protegge anche la reputazione dell’azienda/enti e la fiducia dei clienti e dei cittadini.

L’importanza della consapevolezza degli utenti finali e privilegiati

La sicurezza non è solo una questione tecnica, ma anche culturale. È fondamentale che tutti gli utenti finali, nonché quelli con accesso privilegiato, siano pienamente consapevoli dei rischi legati all’uso improprio dei sistemi ICT. Questa consapevolezza deve implicare un impegno continuo nell’aggiornamento delle proprie conoscenze e competenze necessarie ad un uso sicuro dei sistemi.

Una cultura aziendale che valorizza la sicurezza informatica contribuisce a costruire un atteggiamento proattivo nei confronti della protezione delle risorse digitali. Quando la cibersicurezza è integrata ed è uno dei valori aziendali, gli utenti operano in maniera più sicura e più prudente, riducendo il rischio di incidenti e di attacchi. La consapevolezza degli utenti finali e di quelli privilegiati rappresenta sia una misura preventiva sia un elemento chiave per la resilienza dell’intera struttura ICT. Investire nella formazione e promuovere una cultura della sicurezza informatica non è solo un costo, ma un investimento per la continuità operativa dell’azienda/ente.