Va, pensiero. Dall’indifferenza al panico, il pensiero tormentato della sicurezza
Introduzione
L’articolo di Corrado Miralli si abbatte come un macigno sul lastricato di indifferenza ai temi della sicurezza che nelle aziende è diventato pavimento di rappresentanza. Quello di Miralli non è un avvertimento, ma un grido d’allarme, rispetto a quell’indifferenza incongrua davanti alla produzione legislativa che si scarica a valanga, stimolata da urgenze che tutti si erano illusi di aver lasciato nel millennio trascorso. Il mondo è cambiato, sostiene un luogo comune dettato dal senso pure comune; il mondo è sempre quello, ribattono coloro che del mondo qualcosa capiscono. Alle facili illusioni bisogna opporre la concretezza di un realismo consapevole, che istinti e pulsioni sono rimasti praticamente immutati dal tempo non molto lontano delle caverne.
L’allarme di Miralli non ci ha colti di sorpresa e, in passato, in più occasioni siamo intervenuti su molti degli aspetti chiamati in causa e, soprattutto, sulle dinamiche di quella cultura della sicurezza che per troppo tempo si è limitata a discettare di organizzazione dei turni di vigilanza ai cancelli. Neppure nel Medioevo il concetto aveva assunto un profilo così meschino.
Ci chiediamo se il Legislatore, artefice di questa valanga, forse a sua insaputa, non sia in preda a un attacco di panico. Solo così si giustifica questa fibrillazione legislativa che dissemina di straordinari e inaffrontabili incombenti quel sentiero della sicurezza che per i più era ingentilito dalle fioriture primaverili che nascondevano le asperità di un puntuto acciottolato.
Insomma, a una sola figura professionale vengono richieste, di colpo, competenze la cui sola definizione comporterebbe l’impiego di un professionista.
Un guazzabuglio. Ecco l’allarme.
Alla ricerca di un metodo. Tavole di normativa comparativa
I regolamenti dell’Unione Europea hanno portata generale e, in quanto atti giuridici vincolanti, sono direttamente applicabili in ciascuno Stato membro. Le norme contenute in un regolamento entrano in vigore e cominciano a produrre effetti giuridici, senza bisogno di misure di recepimento da parte dei singoli Stati.
Le direttive, invece, hanno portata individuale e sono obbligatorie solo nel fine che intendono perseguire. Sarà il Legislatore nazionale che, nel recepirle, sceglierà i mezzi per ottenerlo. L’elemento principale che contraddistingue le direttive dai regolamenti è la libertà di iniziativa normativa.
Le recenti NIS 2 (Network and Information Systems) e CER (Critical Entity Resilience) sono direttive UE come lo erano le rispettive ascendenti NIS e 2008/114/EC, la seconda delle quali, ad esempio, nonostante il recepimento del D. Lgs. n. 61/2011, è rimasta lettera morta. Perché si trasformasse in lettera viva mancava il decreto attuativo, ma soprattutto il formale atto di designazione delle infrastrutture ritenute appunto critiche. In compenso, però, al torpore dell’Italia ha fatto da contrappunto la solerzia di Paesi vivaci e ricettivi come la Romania che ne ha designate da subito parecchie decine. Tre anni per recepire una direttiva e sedici per non attuarla. Nel frattempo, l’Unione Europea ha deciso di legiferare ancora: ha abrogato la vecchia sostituendola con una nuova, per molti aspetti quasi analoga. In entrambe, pochi lo sottolineano, si prevede espressamente la figura del funzionario di collegamento, ovvero il punto di contatto all’interno delle Organizzazioni (Pubblica Amministrazione e aziende) con le autorità competenti. Non si tratta di un mero obbligo amministrativo. Si traduce in cambiamenti organizzativi di rilievo e, come sempre, risorse da impiegare e capitali da investire. Tutto questo mentre in azienda i budgets si contraggono. Chi ha legiferato ha forse pensato ai profili (e relative competenze) da ricercare e ingaggiare? Ha pensato ai riflessi organizzativi interni che gli interventi richiesti provocheranno? Ha pensato ai denari che le aziende dovranno spendere per la realizzazione di quelle determinate attività e misure da adottare?
Altra norma di ambito. Per i soggetti inclusi nel Perimetro di Sicurezza Nazionale Cibernetica (PSNC), tra le innumerevoli cose, si segnala anche la necessità di nominare un incaricato (e un eventuale sostituto), in possesso di specifiche professionalità e competenze in materia di sicurezza cibernetica, con il compito di gestire l’attuazione del Decreto-Legge Perimetro e di riferire direttamente al vertice gerarchico, nonché un apposito referente tecnico (e almeno un suo sostituto), in possesso di competenze specialistiche in materia, per lo svolgimento delle funzioni di interlocuzione con il Computer Security Incident Response Team (CSIRT) ai fini della gestione degli incidenti. Anche qui potremmo anaforicamente ripetere le stesse domande di cui sopra.
In ambito Tutela del Segreto di Stato, invece, il D.P.C.M. 5/2015 prevede la nomina di un funzionario alla sicurezza, oltretutto di elevato livello gerarchico e munito di adeguata abilitazione di sicurezza (NOS), che svolga compiti di direzione, coordinamento, controllo, nonché attività ispettiva e di inchiesta in materia di protezione e tutela delle informazioni classificate. Idem come sopra.
Potremmo proseguire, ma preferiamo fermarci qui. L’elenco delle norme (cogenti e volontarie), in particolare negli ultimi anni, si è esteso così notevolmente da sembrare una esplosione, e si è rivolto a singoli settori di business (o a più settori tra loro omogenei) al punto che per comprenderne davvero la complessità si deve essere abili nel convertire i contenuti delle norme in check lists (o questionari di rilevazione, come si definivano fino a qualche anno fa) e poi accostarle tra loro, esattamente come con le tavole di linguistica comparativa. Si viene colti da un senso di vertigine, per superare il quale si è costretti a far ricorso a database capaci di interrelare e correlare documenti, dati, informazioni, ecc. trasferendo la relazione dal piano bidimensionale (lunghezza – fig. 1) a quello tridimensionale (profondità – fig. 2).
Spirito critico come argine alla superfetazione normativa
Tornando alla nostra casistica, prendiamo in esame una azienda che opera nel settore spaziale, fornendo soluzioni ad alta tecnologia (civile e militare) per telecomunicazioni, navigazione, osservazione della Terra, gestione ambientale, ricerca scientifica e infrastrutture orbitali. Essa risulta destinataria delle quattro norme sopracitate (D.P.C.M. 5/2015, PSNC, NIS 2, CER). Supponendo che l’azienda disponga già di un Security Manager, egli sommerà anche gli incarichi di funzionario alla sicurezza, incaricato e funzionario di collegamento? Sarà in grado di reggere i quattro differenti incarichi? Riunirà i requisiti (anche giuridici) richiesti e le competenze necessarie? Saprà tracciare i confini, ammesso che ci siano, tra l’una, l’altra e le restanti norme? E se l’azienda decidesse, per ragioni legate a equilibri interni o di carattere interpretativo, di assegnare i ruoli a quattro soggetti diversi, chi sarebbe l’interlocutore per la sicurezza? Perché, ricordiamocelo, la Sicurezza è sempre e solo una. E, infine, se oltre al Security Manager ci fossero anche un Chief Information Officer (CIO) e/o un Chief Information Security Officer (CISO), cosa andrebbe al primo, cosa ai secondi?
Fin qui il tema legato a ruoli e responsabilità. Passiamo al lavoro, aspetto ben più rilevante del precedente. Le quattro normative impongono adempimenti amministrativi, interventi tecnico-organizzativi e specifiche contromisure solo in parte congruenti e con finalità diverse, perché distinti sono gli interlocutori della Pubblica Amministrazione e differenti i livelli di robustezza, i modelli di maturità, la postura di sicurezza! Solo chi quotidianamente compulsa e pratica quelle norme può comprendere a pieno le difficoltà e la fatica che la loro applicazione richiede.
Come mi ripeteva Giulio Carducci, “solo dopo aver aggiunto i calli alle mani a quelli al cervello sarai in grado di comprendere gli effettivi contorni del lavoro che ti attende e le concrete ricadute sull’organizzazione. È Lavoro, non dimenticarlo”. Limitarsi a intuire cosa richiede la norma e delegare l’attuazione a docili collaboratori o corrivi consulenti non sviluppa lo spirito critico del manager, anche se diventa il suo argomento in convegni, seminari e interviste.
Per paradossale che sia, quanto sopra descritto è ciò che accade in un mondo “ideale”, cioè dove magicamente dall’alto piovono disposizioni conformi al disposto normativo che producono cambiamenti in un ambiente già pronto (organizzativamente e finanziariamente) a riceverle e attuarle. Sforzatevi ora di immaginare cosa accade nel mondo “reale”, quello in cui, muovendo affannosamente dal basso, si deve spiegare al Decisore (il Top Management) le novità introdotte da una o più norme, le ridondanze, le bizzarrie e le contraddizioni intrinseche, le ripercussioni sull’organizzazione e le finanze, i nuovi perimetri di responsabilità, gli scenari caratterizzati da resistenze interne, le sanzioni che ne derivano, ecc. È un’impresa improba, poiché si è chiamati a razionalizzare iniziative legislative carenti di un’unitaria visione d’insieme. “Un fenomeno – affermava Paul Watzlawick – resta inspiegabile finché il campo di osservazione non è abbastanza ampio da includere il contesto”. Probabilmente bisognerà attendere quel momento. Arriverà, abbiate fede. Oggi, però, siamo ancora lontani da una trattazione chiara, ordinata e sistematica della materia, come invece è avvenuto per la Safety (TU 81/08), la sicurezza privata (DM 269/2010), gli appalti (D.Lgs. 36/2023), la Privacy (Regolamento 2016/679) e altre discipline.
Il maestro e Margherita
Siamo abbastanza maturi per ricordare la BS 7799, lo standard britannico “Code of Practice for Information Security Management”, pubblicato nel 1995 dal British Standards Institution (BSI), la progenitrice della più nota ISO 27001. Certificazione (la BS 7799) ambitissima, elitaria ed estremamente selettiva. In Italia, in quel periodo e in ambito Security, l’unico a parlarne fu il maestro Carducci, Giulio non Giosuè. Con ragguardevole intuito egli notò questa Margherita emergere nel vasto campo, neppure dissodato, della sicurezza. Un autentico coup de foudre. Ne seguì un poderoso manuale divenuto un caposaldo per gli analisti del settore: “La tutela dei dati nelle aziende e nelle istituzioni” (Ed. Franco Angeli – 1999). Un antesignano. Erano anni in cui l’IT pensava a ben altro che all’Information Security. Noi si andava in giro parlando di Knowledge Base Building (KBB), engine, metriche, indici, terna RID, triadi, sistemi, classificazione dei macrodati, istanziazioni dei componenti, modellazione dei perimetri di intervento, classi di vicarianza, rischi ontologici, criticità specifica, funzionale, ereditata e tanto altro ancora. Marziani.
Dal 2016, data della pubblicazione della NIS, la Cyber Security si è gradualmente e progressivamente insinuata nel tessuto pubblico e in quello privato sino al punto di soppiantare tutto, nonostante le ristrettezze di ambito e di applicazione. Oggi, forse per una questione di fascinazione semantica, è il tema di maggiore interesse di cui si dibatte, quello intorno al quale maggiormente si iperlegifera e in forza del quale si costituiscono enti governativi (DPCM 223/2021) capaci di prevenire e fronteggiare attacchi fantascientifici. È bene ricordare, infatti, che esiste una netta differenza tra l’Information Security e la Cyber Security, benché vi sia l’erronea e diffusa tendenza a utilizzarle in modo intercambiabile, quasi fossero sinonimi. L’Information Security si riferisce alla protezione dei dati fisici e digitali da uso, accesso e modifica non autorizzati. La Cyber Security, invece, alla protezione dei soli dati digitali da uso, accesso e modifica non autorizzati. È un di cui. Se chiediamo a uno del mestiere di quale titolo preferirebbe fregiarsi, direbbe senza indugio il primo, perché contiene il secondo. Al di sopra di entrambe, l’infinito Cyber Space – fig. 3.
Non occorre essere un guru in Information Security per avvertite un moto di tenerezza al suono del prefisso cyber (timone), basta un po’ di curiosità linguistica. È proprio il suo etimo, infatti, a svelarci la relazione metonimica che regge le due sfere della Security: l’Information sta alla Cyber, come il veliero sta al timone. E il Cyber Space? L’oceano intergalattico quadridimensionale in cui naviga il nostro veliero servendosi anche (e non solo) del tanto magnificato timone. Magari andrebbe deferentemente sussurrato all’orecchio del solerte Legislatore.
Conclusione
Caro Legislatore, il nostro, per quanto ponderoso, è appena un sussurro perché il tema nella sua complessità è tale da atterrire e rendere afona ogni voce. Perché correre il rischio che d’improvviso sia un coro a levare la protesta? Sia un coro a intonare l’allarme? Sia un coro a svegliare le coscienze? A quando un Testo Unico? Noi intanto riflettiamo.