Quanto ho assistito alla nascita del Framework nazione sulla Cyber security, devo essere sincero, nutrivo aspettative alte e positive, anche se in fin dei conti si trattava di un CTRL+C CTRL+V del NIST, ma mi dicevo perché avremmo dovuto reinventare la ruota? Mi aspettavo di partire dalle guide NIST per andare oltre, di declinare i buoni principi del NIST sul tessuto produttivo del nostro paese, che è ben diverso da quello a cui si rivolge in NIST.
Sebbene il NIST abbia formulato ottimi modelli; il successo di un Framework basato sul NIST è legato alla capacità di calarlo nel contesto delle aziende italiane; di adattarsi ad un tessuto manifatturiero costituito per la maggior parte da piccole e medie imprese che usano la tecnologia come abilitante del business e che spesso hanno già problemi a implementare le misure di sicurezza richieste dalla compliance.
Le ultime pubblicazioni del gruppo di lavoro cybersecurityframework mi sembra vadano nella direzione opposta, continuiamo a fare gli accademici, i dotti della materia che se la suonano e se la cantano, a mio avviso o cambiamo rotta o non avremo un futuro.
Se vogliamo che il nostro paese cambi passo nei confronti della tecnologia e della security dobbiamo fare un passo indietro scendendo dalle cattedre e andando nelle aziende; iniziare a parlare il loro linguaggio, essere pragmatici e concreti dimostrando come e quanto la Cyber security può aiutare significativamente il day by day aziendale.
Concretezza e semplicità sono l'unica soluzione per declinare gli ottimi principi del Frame work Cyber security in regole operative del quotidiano che qualunque azienda può e riesce ad implementare con il minimo sforzo; dalla manifattura con 10 computer, 1 nas e 5 server, fino alla corporate con più 1000 server.
Dobbiamo ricordarci che non tutte le aziende si occupano di IT, anzi per la maggior parte l'IT è una facility e la Cyber security una facility della facility che va ad impattare sul conto economico dell'azienda.