Secondo la Joint Cyber Unit, piattaforma virtuale e fisica che mira a rafforzare la cooperazione tra istituzioni, agenzie, organismi e autorità dell'UE negli Stati membri - entrata a pieno regime in questi giorni secondo i piani della Commissione Europea – la cybersecurity è collaborazione.
È l’intera organizzazione che deve collaborare per stare al passo con la crescente sofisticatezza degli attacchi hacker, così da essere in grado di prevenirli e/o reagire efficacemente qualora si verificassero.
Questa visione è condivisa anche da Axis Communications, realtà di riferimento nel settore della videosorveglianza che ha individuato tre step fondamentali per mettere a punto una solida strategia di cybersecurity:
- Analizzare il rischio e assegnare le responsabilità
- Comprendere e contestualizzare il quadro normativo
- Lavorare insieme per ridurre al minimo il rischio
Analizzare il rischio e assegnare le responsabilità
Non può prescindere dall’attenta analisi delle reali probabilità che una minaccia informatica riesca effettivamente a fare breccia attraverso i sistemi di sicurezza impostati. Partendo da una consapevolezza: nessuno è davvero al sicuro.
All’interno dell’organizzazione, ci deve essere modo di discutere apertamente e in maniera approfondita del concetto di responsabilità condivisa, che va applicato a tutti gli stakeholder che compongono la catena di valore.
La cybersecurity va intesa come un processo, o meglio un insieme di processi in continua evoluzione, e non come una caratteristica, una capacità funzionale o un traguardo che può essere raggiunto e accantonato.
Il coinvolgimento tra le diverse parti passa, anche, dal sensibilizzare tutti gli attori coinvolti sulla necessità di essere rigorosi e metodici nell'implementazione dei sistemi di sicurezza in termini di cybersecurity, oltre che dall’allertarli sulle possibili conseguenze che una mancata implementazione potrebbe comportare.
Comprendere e contestualizzare il quadro normativo
In uno scenario rigidamente definito e costantemente aggiornato, è cruciale esaminare regolarmente il panorama normativo, con particolare riferimento a quanto applicabile ai sistemi di sicurezza fisica in termini di sicurezza informatica.
All’interno dell’organizzazione e lungo l’intera catena di valore è, inoltre, importante promuovere la conoscenza e la comprensione delle normative rilevanti per il settore, come ad esempio la direttiva NIS2 (Direttiva UE 2022/2555 del Parlamento europeo e del Consiglio del 14 dicembre 2022 sulla sicurezza delle reti e delle informazioni) e la classificazione CER (il Catalogo Europeo del Rifiuto), prestando attenzione al loro impatto sull'implementazione dei sistemi di sicurezza fisica.
L’obiettivo non deve essere semplicemente essere conformi e compliant alle diverse normative, ma estendere l’applicazione dei requisiti da esse richiesti, trasformandoli in principi su cui si basano i concetti di trasparenza e sicurezza dell’intera organizzazione.
Lavorare insieme per ridurre al minimo il rischio
Una volta analizzata la situazione e contestualizzata la teoria, è il momento di agire: ovviamente, seguendo un preciso piano d’azione condiviso. Uno step fondamentale è la discussione e la delineazione delle misure tecniche e procedurali che devono essere integrate in un sistema di sicurezza fisica, per aumentare la protezione contro gli attacchi informatici.
Quindi, bisogna prepararsi alle sfide della catena di valore, rendendo l’intera organizzazione idonea ad affrontarle, dotandosi di tutti gli essenziali strumenti e dispositivi per le esigenze di controllo e protezione, oltre che attuare le procedure fondamentali per la sicurezza.
Collaborazione rimane la parola chiave: è importante stabilire un regolare scambio di best practice per l'implementazione e la manutenzione dei sistemi di sicurezza fisica durante il loro ciclo di vita, così come devono essere esplorate regolarmente le procedure per il monitoraggio della conformità, la prevenzione degli attacchi, gli avvisi di sistema ed audit.
Ultimo ma non per importanza, è fondamentale educare le persone, valutando quale formazione sia necessaria e/o auspicabile per i responsabili della cybersecurity e per tutti gli altri soggetti coinvolti.
