Cosa s’intende per digitalizzazione e quali iniziative sta portando avanti ADM? insieme delle attività necessarie per proteggere la rete e i sistemi informativi
Tra gli argomenti trattati di fondamentale importanza è quello inerente alla Cybersecurity. Purtroppo, ad oggi, vi è poca attenzione circa questo indispensabile anello della catena che riguarda la digitalizzazione dei dati. Tutto quello che viene digitalizzato e conseguentemente archiviato su supporto informatico è soggetto ad un rischio di violazione al quale bisogna porre grande attenzione applicando dei necessari strumenti di difesa.
Nel tempo questo processo di difesa dei dati si è evoluto. Il Prof. Di Santo ci ha dato l’iter con il quale le definizioni di sicurezza dei dati informatici si andavano evolvendo. La Comunicazione CE sulla criminalità informatica del 2001 (COM(2000)890) definisce “la capacità di una rete o di un sistema d’informazione di resistere, ad un determinato livello di riservatezza, ad eventi imprevisti o atti dolosi che compromettono la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati conservati o trasmessi e dei servizi forniti o accessibili tramite la suddetta rete o sistema”.
Successivamente Comunicazione CE «Una strategia per una società dell’informazione Sicura del 2006 (COM(2006) 656)» definisce la cybersicurezza come “l’insieme delle attività necessarie per proteggere la rete e i sistemi informativi, gli utenti di tali sistemi e altre persone interessate dalle minacce informatiche”.
In Italia si è dovuto attendere l’anno 2021 prima che venisse istituita l’Agenzia per la Cybersicurezza Nazionale (ACN). Infatti l’adozione del D.L. 14 giugno 2021, n. 82 ha ridefinito l’architettura nazionale cyber e istituito l’Agenzia per la Cybersicurezza Nazionale (ACN) a tutela degli interessi nazionali nel campo della cybersicurezza.
L’ACN è Autorità nazionale per la cybersicurezza e assicura il coordinamento tra i soggetti pubblici coinvolti nella materia attraverso una struttura che persegue l’eccellenza, dal reclutamento alla formazione continua del personale, al fine di creare e mantenere in Italia quelle competenze allo stato dell’arte internazionale necessarie per guidare il Paese nel complesso processo multidimensionale di innalzamento continuo della resilienza cibernetica nazionale.
In realtà l’Italia ha tardato molto ad istituire ed attuare la cybersicurezza rispetto ad i maggiori paesi membri europei che si sono preoccupati molto prima di fare enfasi sulla questione. Basti pensare che la Francia nel 2009 ha istituito l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) con l’allora Presidente Sarkozy. In Germania addirittura nel 1991 nasceva la BSI (Bundesamt für Sicherheit in der Informationstechnik), ovvero l’Ufficio Federale per la Sicurezza Informatica quale autorità federale deputata a sviluppare standard che assicurassero la sicurezza delle informazioni degli apparati governativi, dal momento che derivava dall’Ufficio centrale per la crittografia del servizio di intelligence federale.
Come Doganalisti, quindi come professionisti qualificati, dobbiamo far comprendere alle aziende l’importanza di investire sulla cybersecurity. Il Prof. Di Santo ci ha dato delle strategie applicative. L’efficientamento della catena di fornitura porta benefici tangibili agli operatori economici, siano essi piccole, medie e grandi imprese. Ma la resilienza della supply chain non può prescindere da una adeguata postura di sicurezza dell’infrastruttura ICT che la sostiene.
Per le grandi aziende si consiglia di analizzare i seguenti punti:
- L’importante è preservare l’informazione in ogni sua forma;
- La gestione del rischio è cardine del funzionamento aziendale;
- Il rischio non si delega, la competenza si Serve un sistema di gestione della sicurezza delle informazioni (ISMS);
- 27001 114 controlli, 27001:2022 93 controlli che derivano dalla 27002 con un occhio al GDPR;
- Framework Nazionale per la Cybersecurity e la Data Protection (from NIST).
Per piccole e medie aziende ci si sofferma su 15 punti:
- Esiste ed è mantenuto aggiornato un inventario dei sistemi, dispositivi, software, servizi e applicazioni informatiche in uso entro il perimetro aziendale;
- I servizi web (social network, cloud, e-mail, spazio web, ecc..) offerti da terze parti a cui si è registrati sono quelli strettamente necessari;
- Sono individuate le informazioni, i dati e i sistemi critici per l’azienda affinché siano adeguatamente protetti;
- È stato nominato un referente responsabile per il coordinamento delle attività di gestione e protezione delle informazioni e dei sistemi informatici;
- Sono identificate e rispettate le leggi e/o i regolamenti con rilevanza in tema di cybersecurity che risultino applicabili per l’azienda;
- Tutti i dispositivi che lo consentono sono dotati di software di protezione (antivirus, antimalware, ecc…) regolarmente aggiornato;
- Le password sono diverse per ogni account, della complessità adeguata e viene valutato l’utilizzo dei sistemi di autenticazione più sicuri offerti dal provider del servizio (es. autenticazione a due fattori);
- Il personale autorizzato all’accesso, remoto o locale, ai servizi informatici dispone di utenze personali non condivise con altri; l’accesso è opportunamente protetto; i vecchi account non più utilizzati sono disattivati;
- Ogni utente può accedere solo alle informazioni e ai sistemi di cui necessita e/o di sua competenza; (disponibilità)
- Il personale è adeguatamente sensibilizzato e formato sui rischi di cybersecurity e sulle pratiche da adottare per l’impiego sicuro degli strumenti aziendali (es. riconoscere allegati e-mail, usare solo software autorizzato, ecc.). I vertici aziendali hanno cura di predisporre per tutto il personale la formazione necessaria a fornire almeno le nozioni basilari di sicurezza;
- La configurazione iniziale di tutti i sistemi e dispositivi è svolta da personale esperto, responsabile per la configurazione sicura degli stessi. Le credenziali di accesso di default sono sempre sostituite;
- Sono eseguiti periodicamente backup delle informazioni e dei dati critici per l’azienda (definiti al controllo 3). I backup sono conservati in modo sicuro e verificati periodicamente;
- Le reti e i sistemi sono protetti da accessi non autorizzati attraverso strumenti specifici (es: Firewall e altri dispositivi/software anti-intrusione);
- In caso di incidente (es. venga rilevato un attacco o un malware) vengono informati i responsabili della sicurezza e i sistemi vengono messi in sicurezza da personale esperto;
- Tutti i software in uso (inclusi i firmware) sono aggiornati all’ultima versione consigliata dal produttore. I dispositivi o i software obsoleti e non più̀ aggiornabili sono dismessi.
In conclusione il processo di digitalizzazione a cui siamo proiettati non potrà prescindere da un adeguato livello di sicurezza per la protezione di tutti i dati che raccogliamo ed archiviamo per tutta la catena che viene interessata dal processo stesso di digitalizzazione.
Ecco perché questa attenzione deve essere primaria rispetto all’inizio stesso dell’attuazione dell’informatizzazione dei dati in modo da poter offrire un servizio sicuro a tutela dei nostri clienti e delle amministrazioni coinvolte.
L’orientamento della nuova auspicabile figura del Doganalista deve saper offrire, quale consulente esperto nel commercio con l’estero, anche un’idea di protezione dati, acquisendo non certo la capacità di elaborare la cybersecurity, ma essere “dentro la notizia”, informarsi sul mercato restandone aggiornato, circa le aziende più sicure che possano offrire tale servizio, le modalità varie di intervento in base alla dimensione del cliente, ed i relativi costi, in modo da completare quella gamma di offerta rendendolo a pieno titolo cardine del commercio estero.
AnaspeDoganaGiovani