Non ci può essere cybersecurity senza… collaborazione. Ogni organizzazione, di qualsiasi settore, che mira a dotare i propri sistemi informatici della maggior sicurezza possibile deve essere consapevole che la strada verso questo obiettivo è un percorso in continua evoluzione, che richiede sforzi continuativi nel tempo e, soprattutto, l’impegno congiunto di tutte le parti coinvolte nel processo: dal produttore, al distributore, passando per ricercatori, consulenti, integratori e installatori, per arrivare fino al cliente e all’utente finale.

Posta la partecipazione di tutti gli attori coinvolti, tuttavia, la totale sicurezza non potrà comunque essere raggiunta, poiché la cybersecurity, come tutti i processi che dipendono dagli esseri umani, deve fare i conti con errori e fattori di rischio imprevedibili. L’obiettivo deve essere quindi ridurre al minimo i pericoli connessi alle minacce informatiche, di oggi e di domani, in uno scenario che cambia ed evolve costantemente.

Per farlo, bisogna rafforzare l’intera “catena” della cybersecurity, in cui nessun anello può essere cedevole o manchevole: il rischio informatico non può essere combattuto da un singolo; al contrario, è l’intera organizzazione che deve collaborare per stare al passo con la crescente sofisticatezza degli attacchi hacker, così da essere in grado di prevenirli e/o reagire efficacemente qualora si verificassero.

Ma come fare? Vediamo insieme tre passaggi fondamentali.

1. Analizzare il rischio e assegnare le responsabilità

Ogni grande viaggio inizia con il primo passo che, in questo caso, non può prescindere dall’attenta analisi delle reali probabilità che una minaccia informatica riesca effettivamente a fare breccia attraverso i sistemi di sicurezza impostati. Partendo da una consapevolezza: nessuno è davvero al sicuro. Vanno infatti sfatati tutti quei miti e false credenze che possono generare un sentimento di infondata sicurezza, andando al contrario a rivedere e valutare attentamente tutti gli aspetti coinvolti nella salvaguardia dei sistemi.

All’interno dell’organizzazione, ci deve essere modo di discutere apertamente e in maniera approfondita del concetto di responsabilità condivisa, che va applicato a tutti gli stakeholder che compongono la catena di valore. La cybersecurity va intesa come un processo, o meglio un insieme di processi in continua evoluzione, e non come una caratteristica, una capacità funzionale o un traguardo che può essere raggiunto e accantonato.

Il coinvolgimento tra le diverse parti passa, anche, dal sensibilizzare tutti gli attori coinvolti sulla necessità di essere rigorosi e metodici nell’implementazione dei sistemi di sicurezza in termini di cybersecurity, oltre che dall’allertarli sulle possibili conseguenze che una mancata implementazione potrebbe comportare.

2. Comprendere e contestualizzare il quadro normativo

In uno scenario rigidamente definito e costantemente aggiornato, è cruciale esaminare regolarmente il panorama normativo, con particolare riferimento a quanto applicabile ai sistemi di sicurezza fisica in termini di sicurezza informatica.

All’interno dell’organizzazione e lungo l’intera catena di valore va inoltre promossa la conoscenza e la comprensione delle normative rilevanti per il settore, come ad esempio le direttive NIS2 (Direttiva UE 2022/2555 del Parlamento europeo e del Consiglio del 14 dicembre 2022 sulla sicurezza delle reti e delle informazioni) e CER (il Catalogo Europeo del Rifiuto), prestando attenzione al loro impatto sull’implementazione dei sistemi di sicurezza fisica.

L’obiettivo non deve essere semplicemente essere conformi e compliant alle diverse normative, ma estendere l’applicazione dei requisiti da esse richiesti, trasformandoli in principi su cui si basano i concetti di trasparenza e sicurezza dell’intera organizzazione.

3. Lavorare insieme per ridurre al minimo il rischio

Una volta analizzata la situazione e contestualizzata la teoria, è il momento di agire: ovviamente, seguendo un preciso piano d’azione condiviso.

Uno step fondamentale è la discussione e la delineazione delle misure tecniche e procedurali che devono essere integrate in un sistema di sicurezza fisica, per aumentare la protezione contro gli attacchi informatici. Quindi, bisogna prepararsi alle sfide della catena di valore, rendendo l’intera organizzazione idonea ad affrontarle. Per farlo, è necessario dotarsi di tutti gli essenziali strumenti e dispositivi per le esigenze di controllo e protezione, oltre che attuare le procedure fondamentali per la sicurezza.

Collaborazione rimane la parola chiave: è importante stabilire un regolare scambio di best practice per l’implementazione e la manutenzione dei sistemi di sicurezza fisica durante il loro ciclo di vita, così come devono essere esplorate regolarmente le procedure per il monitoraggio della conformità, la prevenzione degli attacchi, gli avvisi di sistema ed audit. Ultimo ma non per importanza, bisogna educare le persone, valutando quale formazione sia necessaria e/o auspicabile per i responsabili della cybersecurity e per tutti gli altri soggetti coinvolti.

Se vuoi approfondire questi temi, partecipa all’Axis Cybersecurity Summit 2023: l’evento dedicato alla cybersecurity nei sistemi di sicurezza fisica, in programma il prossimo 8 giugno presso gli uffici di Microsoft Italia a Roma (con collegamento da Milano in streaming), riunirà i principali attori nazionali e internazionali della cybersecurity nei sistemi di sicurezza fisica pubblici e privati.

Registrati