ELEZIONI 2018

Quel che serve per mettere al centro la sicurezza informatica (anche nel dibattito politico)

Il 2018 sarà un anno fondamentale per la cybersecurity e i suoi risvolti normativi. Quel che servirà saranno politiche di snellimento degli adempimenti inutili, definendo le linee guida e lasciando poi all’imprenditore e alla pubblica amministrazione le scelte operative. La questione della formazione

Pubblicato il 23 Gen 2018

cybersecurity-160330145625

Il 2018 sarà un anno fondamentale per la sicurezza informatica e per i suoi risvolti normativi.

La applicabilità del Regolamento Europeo 679/2016 che riordina a livello europeo la normativa in materia di trattamento dati personali e che introduce, almeno per l’Italia, una più moderna e attuale concezione della sicurezza dei dati personali basata sull’analisi dei rischi, e quindi sulla auto-valutazione delle aziende e delle pubbliche amministrazioni, rappresenta un passaggio chiave prospetticamente.

Cybersecurity, 5 minacce da cui dovremo difenderci nel 2018 (che è cominciato con Meltdown e Spectre)

Le aziende e le pubbliche amministrazioni saranno costrette d’ora in poi a ragionare in ottica by-design, con l’obbligo quindi di ideare, progettare e realizzare prodotti e servizi che permettono la generazione o il trattamento di dati personali tenendo conto dei diritti degli interessati e dei problemi di sicurezza.

LA SICUREZZA È IL CORE BUSINESS

La normativa europea si inserisce in un contesto di altre normative fortemente caratterizzate dal tema del rischio e in particolare del rischio informatico e della conseguente necessità di adottare misure adeguate e quindi stabilite autonomamente dal soggetto che le deve porre in essere in base a una sua propria valutazione autonoma (si pensi per esempio alla normativa NIS, alla Eidas).

Nel contesto attuale, peraltro, caratterizzato da un aumento esponenziale del rischio informatico e degli attacchi a tutti i livelli, la sicurezza è necessariamente un tema con cui si devono fare i conti. Anche da un punto di vista degli investimenti.

In un contesto di poche risorse in cui l’imprenditore o la pubblica amministrazione tendono a focalizzarsi su ciò che rappresenta il core-business, si deve considerare che la sicurezza è il core-business.

Così come la protezione del lavoratore è centrale in ogni politica di sana imprenditoria (ma la normativa a protezione dei lavoratori è mandatoria per evitare un aumento dei già sempre troppo alti incidenti sul lavoro) così deve diventare sentire comune la centralità del tema della sicurezza informatica in ogni attività pubblica e privata.

IL VIDEO

Cybersecurity, Gabriele Faggioli (Clusit): Non è solo questione di investimenti

POLITICHE DI SNELLIMENTO DEGLI ADEMPIMENTI INUTILI

E allora ciò che servirà saranno politiche di snellimento degli adempimenti inutili, eliminazione di ogni adempimento che rappresenti retaggio di momenti storici ormai passati (si pensi alla assurdità della ancora vigenza del famigerato provvedimento sugli amministratori di sistema) puntando invece su pochi adempimenti chiari e rilevanti possibilmente in ottica di linea guida e lasciando quindi, dove possibile, all’imprenditore e alla pubblica amministrazione la scelta di come porre in essere l’obbligo introdotto (esattamente come nel GDPR).

È auspicabile quindi che da un lato le norme di raccordo che l’Italia dovrà emanare fra attuale e futura normativa risultino chiare e pragmatiche e dall’altro che vengano fatte scelte di semplificazione per quei settori di mercato e per quelle pubbliche amministrazioni per le quali il dato personale non rappresenta la centralità del business.

Da un altro punto di vista è necessario rendere i servizi esternalizzati sempre più di alto livello e sicuri per permettere l’esternalizzazione della gestione delle infrastrutture e delle applicazioni, evoluzione necessaria per permettere alle aziende e alle pubbliche amministrazioni che non hanno sufficienti risorse di farsi proteggere dai soggetti che fanno della esternalizzazione e quindi della economia di scala il proprio business e che sono quindi dotati di capacità di investimenti adeguati.

LA NECESSITÀ DI FORMAZIONE

Infine la formazione. La educazione e la sensibilità nell’utilizzo delle tecnologie deve arrivare nelle scuole primarie in modo sistematico.

La capacità di comprendere le potenzialità e i rischi delle strumentazioni che ogni giorno vengono utilizzati è essenziale. Educazione e competenza devono essere quindi patrimonio di tutti, fin dalla infanzia. Per permettere a ciascuno di noi di sapersi difendere con aumento quindi esponenziale della difesa di tutta la collettività.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Gabriele Faggioli
Gabriele Faggioli

Legale e co-CEO del gruppo DIgital360, dal 2014 è Presidente del CLUSIT, l'Associazione Italiana per la Sicurezza Informatica

Articoli correlati