Published on February 22, 2022
Spett Agenzia per la Cybersicurezza Nazionale, Gentilissimo Prof Roberto Baldoni:
Mentre leggiamo gli sviluppi futuri della appena nata Agenzia per la Cybersicurezza Nazionale, noi che lavoriamo in questo settore da anni siamo presi da due fuochi contrapposti:
- da un lato la speranza che finalmente in Italia cambi qualcosa in merito all’approccio sulle questioni inerenti la sicurezza informatica
- dall’altro il timore che si replicheranno meccanismi ormai consolidati e verticistici che hanno portato spesso ad una adesione formale ma non sostanziale alle esigenze del paese in merito a tale sicurezza.
Intendiamoci, le colpe non sono interamente da afferire ai governi e le amministrazioni passate. Deficienze culturali e scarsa competenza sui temi della digitalizzazione sono piaghe non solo della PA ma di tutto il comparto produttivo italiano, che soffre, fatte le dovute eccezioni, di una arretratezza digitale strutturale.
Se davvero vogliamo avere successo in un percorso in cui la digitalizzazione diventi davvero digitalizzazione e non mera aggiunta di componenti digitali, spesso mal progettati, su processi analogici, se davvero vogliamo davvero introdurre l’accountability (che non vuol dire attribuzione delle colpe, ma “responsabilità” nel senso più alto: decisionale e di indirizzo), se realmente vogliamo che la sicurezza dell’informazione diventi una componente chiave nello sviluppo nel nostro substrato industriale e della pubblica amministrazione occorre mettere i piedi per terra ed affrontare la realtà.
La disproporzione tra il “percepito” e la “realtà” in cui l’Italia si trova in termini di coscienza e conoscenza digitale è molto elevata. E questo è legato a diversi aspetti prima citati, ma anche ad un approccio che è sempre stato legato ad una adesione “formale” e non “sostanziale” alle esigenze del paese.
Non si tratta delle solite lamentele di un gruppo di “nerd” slegati dalla realtà. Si tratta di problematiche concrete, che hanno anche colpito le capacità del sistema paese di competere da pari in un mondo ove l’informatica è oramai una conditio sine qua non.
Una incapacità di vedere che ci ha portati ad essere il terzo paese in termini di attacchi ransomware, mentre la consapevolezza digitale è ai livelli più bassi d’europa.
Gli stipendi e le possibilità di carriera sono solo uno degli aspetti per cui molti hanno dovuto o voluto trasferirsi all’estero.
La mancanza della percezione del “valore” della sicurezza informatica e della competenza ed esperienza richiesti è uno degli elementi, ma la mancanza di un mercato che punti sulla qualità ed il riconoscimento della importanza di tali competenze è un’altro fattore non trascurabile.
E su questi non si lavora solo in termini di “stipendio”. Già in passato si fecero tentativi, in altri settori, di far rientrare i cervelli con scarsi risultati. Questi rientrano solo se oltre al lancio momentaneo di programmi di corto respiro che possano fingere da “specchietto delle allodole” esiste una concreta volontà di creare un ambiente adatto alla loro permanenza.
Un ambiente che favorirebbe anche la crecita interna delle competenze che servono.
Mentre aspettiamo che arrivi il 2023 con il personale assunto dalla Agenzia, perchè questa sia di utilità reale e fattiva, e che possa incidere in maniera positiva sulle esigenze oramai non rimandabili del sistema paese occorre realizzare che non sono 300 esperti che rientrano o vengono assunti che potranno cambiare le cose.
Il paese, e la sicurezza informatica, non ha bisogno solo di Penetration Tester o Ethical Hackers, che pur essendo elementi importanti nel discorso della sicurezza informatica non ne coprono completamente tutti gli aspetti. Abbiamo bisogno di manager competenti, di strutture apicali che comprendano e sappiano valutare i rischi informatici con una prospettiva che tenga conto delle loro esigenze di business e delle necessità del paese.
Ma occorre anche capire che la creazione di queste risorse richiede tempi e attività che non possono venire da un approccio apicale che dia, in maniera astratta, indicazioni che poi non possono essere calate nella realtà.
Occorre immergersi nella realtà del paese e capirne quale sia il concreto livello di comprensione, maturità, competenza e necessità.
Non ho dubbi che, data la provenienza del dott. Baldoni, esistano già forti legami, ad esempio, col mondo universitario, ma questo non basta.
In questo senso il coinvolgimento delle associazioni di categoria in un virtuoso rapporto di scambio di informazioni che, da un lato, delinei le esigenze e dall’altro le difficoltà, sarebbe da auspicarsi come tavolo permanente di confronto.
E, altresì, sarebbe necessario aprire tavoli diretti con i vendor che fanno digitalizzazione e sicurezza al duplice scopo di avere un quadro chiaro di quali siano le esigenze da parte del paese in termini di sicurezza da trasmettere ai vendor, e quale sia il percepito dei vendor in merito a tali esigenze contestualizzati alle tecnologie correnti, trend di sviluppo, e, perchè no, anche suggerimenti ed esperienze.
Infine ci sono coloro che da anni lavorano alla sicurezza informatica anche qui in Italia, e che hanno maturato una esperienza ed una visione chiara di quali siano i limiti e le esigenze da indirizzare nel paese che potrebbero fornire ai 300 giovani e forti, all’agenzia ed al paese intero un supporto di comptenze ed esperienze che fin troppo è stato, se non trascurato, non valutato pienamente. Penso a persone che lavorano nei molteplici aspetti della sicurezza e che hanno competenze sui vari domini, ivi compresa compliance o aspetti di informatica legale.
In questo senso mi viene facile nominare #clusit, #aipsi, #aipsa ma anche altre associazioni che sul territorio da anni cercano di portare consapevolezza e conoscenza, penso ancora a ruota libera a eventi di valore assoluto come #HackIngBo.
Spett. Agenzia, se vogliamo che il vostro sia un esercizio non teorico ma un concreto supporto al paese occorre allora aprirsi sin da subito al paese stesso, e se è vero che vi sono risorse preziose che sono all’estero, è anche vero che non ascoltare i territori e le loro esigenze è un approccio che non può portare altro che alla compliance di carta e non alla reale e feconda collaborazione che sola può indirizzare le problematiche culturali e di conoscenza che in questo momento pongono il nostro paese in una non soddisfacente posizione in termini di sicurezza informatica.
Forse 300 persone, tra cui neolaureati, potranno mettere in moto il motore della agenzia, ma questa non inciderà nel paese se nel paese non porrà radici, ascolto e comprensione.
cordialmente
Antonio Ieranò
PS: grazie per chi ha avuto la voglia, la pazienza ed il tempo di leggere. In questo caso i commenti sono ben voluti, che è ora di rimboccarsi le maniche e mettere in moto il cambiamento.
Nessun commento:
Posta un commento