Il workshop CEN-CENELEC workshop “Functional Safety & Cybersecurity“, svoltasi lo scorso 16 Marzo a Bruxelles, ha fatto incontrare imprese di molti settori con le organizzazioni che sviluppano standard in Europa. Il confronto tra le esigenze dell’industria e i “produttori” di norme tecniche e linee guida è stato molto produttivo e costituirà la base per la futura attività di CEN-CENELEC nel campo della sicurezza delle informazioni, soprattutto in ottica IoT e Smart Manufacturing.
Sono stato invitato a tenere un keynote speech sulla prospettiva delle Piccole e Medie Imprese sulla materia, completando i punti di vista delle grandi imprese e dei fornitori di sicurezza presentati dagli altri relatori.
La Cyber Security, ma in generale la sicurezza delle informazioni, è una grande sfida per le piccole organizzazioni. C’è da dire che qualche difficoltà nel definire cosa esattamente si intenda per cybersecurity esiste anche tra gli addetti ai lavori… Ragionevolmente però la sicurezza “cyber” è quella parte della sicurezza delle informazioni che pertiene a sistemi connessi alla rete globale (Internet). Non è certo una disciplina riservata a governi e multinazionali, dato che le risultanze scientifiche ci dicono che il livello generale di sicurezza in un ambiente iperconnesso dipendono da tutti gli attori coinvolti.
Vediamo perché la sicurezza cyber è un problema complesso:
- La pura complessità tecnologica
- L’ampio ventaglio di minacce (interne ed esterne all’azienda, criminali o puramente negligenti, private o pubbliche)
- I meccanismi dell’economia della sicurezza (esternalità, asimmetria informativa, effetti di rete)
- Complessità del sistema organizzativo socio-tecnico
Per le PMI è ancora più difficile garantirsi un livello accettabile di sicurezza, a causa della diffusa mancanza di conoscenze specifiche e di risorse adeguate (sia umane che economiche). A queste criticità si aggiunge però una generale mancanza di consapevolezza delle problematiche di sicurezza che i moderni sistemi IT creano e dei rischi connessi. Sicurezza delle informazioni che diviene ancora più critica quando i sistemi digitali si estendono alla produzione e a sistemi di controllo industriali (vedi Industria 4.0). In questi casi la sicurezza dei dati si interseca con la sicurezza tout-court, la “safety” degli anglofoni: compromissioni dei sistemi IT in produzione possono potenzialmente causare danni fisici alle persone e anche all’esterno dell’azienda (inquinamento ambientale ad esempio).
Altra criticità tipica delle PMI è l’uso diffusissimo di dispositivi privati per l’attività lavorativa, sia da parte dei titolari che dei dipendenti.
L’altra faccia della medaglia – protezione dei dati e compliance in tema di privacy – completa la sfida complessa a cui però le PMI moderne non possono non rispondere, pena enormi rischi di ogni tipo (di sicurezza, di reputazione…). Aspetti così complessi però possono essere affrontati in collaborazioni con selezioni consulenti esterni, che però non si limitano ad un approccio meramente tecnologico o di vendita, ma che affrontino l’organizzazione a tutto tondo, dal punto di vista organizzativo, economico e anche tecnico.
CEN CENELEC-Workshop 16-03-2017 – Slide (pdf)
Qui tutto il resto del materiale (presentazioni, risultati, grafiche)
