Nella giornata dello scorso sabato 16 dicembre, si è tenuto preso l’Hotel Forum di Roma il XIII congresso organizzato da ANSSAIF sul tema ‘Quali scenari saremo chiamati ad affrontare? Siamo veramente pronti?’
Come tradizionalmente avviene, è stata una giornata di lavori ricca di interventi specialistici e importanti spunti di riflessione.
Un primo momento ha riguardato lo stato dell’arte delle molteplici iniziative avviate dall’associazione. ANSSAIF infatti, iscritta di fatto nella Coalizione per le competenze digitali costituita dall’AgID con il Progetto per i progetti in ambito di sicurezza, ha come obiettivo quello di affrontare il tema a 360 gradi, in relazione alle questioni che coinvolgono aziende (anche le PMI), scuole e cittadini.
In questo ampio contesto è da sottolineare l’impegno dell’associazione nel sensibilizzare le aziende alle minacce terroristiche, con l’attivazione di un Osservatorio sul Terrorismo. Inoltre si pone l’obiettivo di assumere l’importante ruolo di facilitatore nei rapporti di istituzionalizzazione. E’ un’esigenza ormai impossibile da ignorare, anche in relazione al legame giuridico che correla l’eventuale assenza o superficialità delle misure adottate nel Modello di Organizzazione e Gestione Aziendale alle responsabilità amministrative derivanti in caso di incidente (ex D.Lgs. 231/01). A questo proposito un importante gruppo bancario ha condiviso le attività svolte nell’ambito della definizione di procedure dedicate all’invacuazione dei dipendenti, con il coinvolgimento delle Risorse Umane e dell’Ufficio Comunicazione Interna, in caso di attacco terroristico.
Allo scopo di individuare i fattori rilevanti nell’aggiornamento del “contesto sicurezza”, con il contributo di Corrado Giustozzi, senior cyber security strategist e membro del Permanent Stakeholders’ Group dell’ENISA, si è analizzato il significativo ampliamento della superficie vulnerabile.
Sono coinvolti i sempre più numerosi dispositivi IoT, che Giustozzi definisce “oggetti stupidi che cooperano a rendere stupidi anche gli utenti”. A proposito dei servizi in cloud messi a disposizione dai Big dell’informatica, questi possono essere considerati – come avvisa Giustozzi – parte di una strategia per ridurre la superficie d’attacco.
Le società che lo fanno per core business certamente riescono a garantire un livello di sicurezza più apprezzabile rispetto a società che si occupano d’altro e che tentano di garantire la sicurezza dei dati mantenendoli in house.
E’ poi emersa in modo più chiaro rispetto al passato la complessità del concetto di sicurezza. Non è solo una questione di tutela del business, bensì anche una responsabilità sociale nei confronti degli interessati dai trattamenti che le organizzazioni compiono sui dati personali. Ciò si rileva anche in base a quanto evidenzia Prometeo, con un’intervento mirato a descrivere le novità significative del GDPR, mettendo ben in luce la necessità di difendere i diritti delle persone, così come definito nella Carta dei Diritti Fondamentali dell’Unione Europea, tra cui quello alla privacy (ex art. 8). Inoltre la Prof.ssa. Sardilli, con l’intervento sul potenziale del presente tra rischi e opportunità, condivide come l’azione di uno abbia influenza su molti. Per fronteggiare i crescenti segni di disagio collettivo è necessario mettere in comune il sapere, con l’obiettivo ultimo di alimentare un’intelligenza intersistemica.
A conclusione, la rielaborazione di un detto pellerossa, che coinvolge anche i temi legati alla sicurezza: la realtà non è l’eredità dei padri, ma un debito da rendere ai figli.