LA TERMINOLOGIA
Sicurezza delle Informazioni, Cybersecurity e Data Protection: tre termini adoperati spesso ed impropriamente come sinonimi, pur non essendolo affatto.
Facciamo un po’ di chiarezza sull’uso appropriato di ciascuno di essi, spiegandone bene il loro significato ed il relativo contesto con annesse implicazioni.
Chiara Ponti
Renato Castroreale
La premessa: perché non sono sinonimi
Ogni “parola” ha un significato, a maggior ragione se si tratta di termini tecnici, laddove la terminologia diventa ancora più stringente per via del contesto definitorio e normativo.La conseguenza: gli opportuni distinguo
Per quanto di moda, occorrono sin da subito gli opportuni distinguo, andando con ordine.
Sì, perché ormai sempre più spesso sentiamo parlare di “Cybersecurity”, ma il più delle volte a sproposito.
I media, di certo, hanno contribuito in tal senso veicolando un concetto distorto se non errato laddove gli hacker cioè i “cattivi” passano il loro tempo a tentare di sottrarre tutte le informazioni possibili “ingolosendosi” specie se sono dati personali, mentre i “buoni” resistono grazie solo alla Cybersecurity.
Nell’immaginario collettivo, quindi, tali attacchi formano l’idea che il tutto avvenga con avanzatissime e potenti armi tecnologiche quasi alla stregua di fulminatori laser ed astronavi da battaglia.
Smontando questa visione “fantascientifica” e surreale di guerre informatiche, torniamo alla realtà fatta di un contesto più complesso inclusivo di fattori umani, organizzativi e tecnologici.
La sicurezza delle informazioni rappresenta esattamente tale completo approccio, al contrario della limitata capacità di intervento della Cybersecurity (che ne rappresenta solo un sottoinsieme) basata principalmente sulla tecnologia.
La Sicurezza delle Informazioni ed i suoi obiettivi (RID)
La sicurezza informatica o per meglio dire la sicurezza delle informazioni protegge tutte le informazioni tra cui i dati personali, poiché sono ritenuti “gli oggetti più preziosi” coinvolgendo aspetti umani ed organizzativi nella loro pienezza.
La sicurezza delle informazioni è metodo volto a salvaguardare le Informazioni e gli strumenti informatici, rispetto a tre parametri fondamentali quali: Riservatezza, Integrità e Disponibilità (RID).
La sicurezza delle informazioni è stata analizzata ed indirizzata in una specifica norma ISO, la UNI EN ISO/IEC 27001:2017 “Tecnologia delle informazioni – Tecniche di sicurezza – Sistemi di gestione della sicurezza delle informazioni – Requisiti” (di seguito ISO/IEC 27001).
Si tratta di riservatezza quando si intende garantire l’accesso alle informazioni esclusivamente ai soggetti che hanno diritto ad accedervi.
Essa deve essere altresì garantita durante tutto il ciclo di vita dell’informazione, ossia da quando viene generata e/o raccolta a quando viene distrutta, passando ovviamente per ogni tipo di conservazione.
Ad esempio, si configura una violazione della riservatezza allorché un dato classificato come segreto, venga accidentalmente visto da soggetti non autorizzati alla lettura di questa tipologia di dati.
La integrità si riferisce alla caratteristica dell’informazione di non essere in alcun modo alterata o corrotta.
In questo caso stiamo parlando di ogni evento che può alterare e corrompere le informazioni, e quindi ad esempio una modifica accidentale di una informazione, o la corruzione della stessa che può avvenire per ipotesi con il guasto ad un supporto di memorizzazione (anche parziale).
La caratteristica più difficile da inquadrare è normalmente la disponibilità dell’informazione, perché si tende a non considerare questo fattore come un problema.
Per disponibilità si intende che una necessaria informazione deve essere accessibile in un determinato momento.
Se tuttavia ciò non accade, il danno che ne può derivare è enorme.
Pensiamo ad una sala operatoria e ad un chirurgo che deve accedere ai dati di un paziente per eseguire l’operazione e gli stessi non siano accessibili.
Ma allora perché si parla poco di sicurezza delle informazioni?
Per due motivi:
1) La sicurezza delle informazioni è un termine legato ad una norma volontaria, che le organizzazioni possono decidere di adottare, anche al fine di addivenire ad una certificazione;
2) I Governi ragionano principalmente sugli strumenti (pensiamo alla bagarre sul 5G) piuttosto che sugli aspetti organizzativi, perché più facili da implementare.
Cybersecurity ed i suoi obiettivi (RRR)
Con il termine Cybersecurity si devono, invece, intendere quegli aspetti di sicurezza delle informazioni attuate attraverso l’uso di strumenti tecnologici.
Le accezioni di resilienza, robustezza e reattività sono quindi associate alla cybersecurity e di conseguenza alla visione “distorta” o limitata della sicurezza.
Per resilienza si intende la capacità di un materiale di assorbire l’urto senza rompersi. In ambito informatico si intendere la capacità dei nostri sistemi di resistere ad un attacco.
La resilienza è anche conosciuta come “indice di fragilità”.
Per robustezza si intende la sua capacità di una infrastruttura informatica di resistere a situazioni avverse impreviste, non contemplate dall’ordinaria amministrazione.
Il principio è che errori, guasti di software o hardware (interni o esterni al sistema) o attacchi informatici, non dovrebbero alterare il normale funzionamento dei sistemi e l’esperienza dell’utente.
La reattività, come si può intuire dal nome stesso, costituisce la capacità di un sistema informatico di reagire a stimoli esterni o a disservizi riscontrati nell’operatività.
Da queste semplici considerazioni si intuisce che tali tre fattori non sono in grado, da soli, di garantire pienamente la sicurezza.
Per differenziarci, l’offerta di Sistemi HS garantisce sia gli aspetti di Cybersecurity che di Sicurezza delle informazioni per garantire una copertura totale e vincente.
Data Protection ed i suoi obiettivi
La Protezione dei Dati è invece deputata a tutelare i dati personali consentendone il trattamento che, come disse il compianto Buttarelli, «…rimane un’attività socialmente utile, indispensabile per il buon funzionamento di qualunque entità».
Richiamando quanto detto in merito agli obiettivi della Sicurezza delle Informazioni, qui precisiamo che gli stessi restano validi quantunque debbano essere contestualizzati rispetto ai soli Dati Personali.
Inoltre, la Data Protection, introduce elementi atti a meglio garantire i diritti e le libertà degli interessati (ad esempio informative, diritti di rettifica e cancellazione, tutela contrattuale, ecc.).
Rappresentiamo di seguito uno schema in ausilio alla comprensione di come si inquadri la Cybersecurity nell’ambito della Sicurezza delle informazioni, e perché no anche nel contesto del GDPR.
Analogamente all’offerta tecnologica, anche in materia di Data Protection il nostro approccio consulenziale include soluzioni efficaci e complete.
La situazione in Italia
Nonostante il momento, il Governo si sta muovendo verso il completamento del Perimetro di sicurezza nazionale, e già da tempo promuove un programma di Cybersecurity attraverso l’AgID (Agenzia per l’Italia Digitale), l’ENISA (The European Union Agency for Cybersecurity) che ha peraltro recentemente cambiato nomenclatura introducendo appunto il termine “Cybersecurity”, ed ancora si parla continuamente di Cybercrime, e via seguitando.
PUNTI DI ATTENZIONE
Il CAD
Il Codice dell’Amministrazione Digitale (CAD) è il Testo Unico che riunisce ed organizza le norme riguardanti la informatizzazione della Pubblica Amministrazione nei rapporti con i cittadini e le imprese. Il CAD istituito con il D.lgs. 7.03.2005, n. 82, più volte emendato negli anni, con l’ultimo e recente intervento normativo nel 2019, il CAD è stato ulteriormente razionalizzato nei suoi contenuti. Si è proceduto ad un’azione di deregolamentazione attuata attraverso la semplificazione del linguaggio nonchè sostituendo le precedenti regole tecniche con linee guida, a cura di AgID, la cui adozione risulterà più rapida e reattiva rispetto all’evoluzione tecnologica.
Il piano triennale per l’Informatica nella PA
Il “Piano triennale per l’informatica nella Pubblica Amministrazione – 2020-2022” mira ad incrementare la consapevolezza dei rischi di cybersecurity nel settore pubblico, prevedendo una verifica (eseguita da AgID) come parte di un progetto di crescita culturale volta alla diffusione della consapevolezza in ambito di Sicurezza informatica e Cybersecurity, ed alla condivisione di esperienze nello stesso ambito.
Istituto Italiano di Cybersecurity (IIC)
L’Istituto italiano di Cybersecurity è stato sì previsto ma poi successivamente stralciato dalla Legge di Bilancio 2021. La volontà era quella di costituire una realtà che, attraverso il colloquio con i Servizi Tecnici e di Sicurezza delle Organizzazioni, portasse a proteggere le infrastrutture strategiche delle medesime. L’Istituto italiano di Cybersecurity (IIC), avrebbe dovuto essere una Fondazione, con diversi membri fondatori, tra cui l’ex Premier Giuseppe Conte, i Ministri del CISR (Comitato Interministeriale per la Sicurezza della Repubblica) e il Ministro dell’Università e della Ricerca Gaetano Manfredi. Lo stesso doveva essere coordinato dal DIS, Dipartimento Informazioni e Sicurezza (Servizi Segreti), con funzioni di monitoraggio e promozione dei servizi offerti. Pur essendo fallita la costituzione dell’ICC, vista la sua importanza strategica nazionale, non è da escludere che ciò non possa avvenire in futuro, come auspicabile, in un riveduto Disegno di Legge.
