L’OCSE ha diffuso le sue linee guida sulla digital security in un documento chiamato “Digital Security Risk Management for Economic and Social Prosperity”, nel quale si cerca di orientare governi e aziende su quali sono gli effettivi rischi per l’economia se si trascura il tema.
Inoltre l’OCSE indica anche una serie di principi, per la precisione otto, che tutte le organizzazioni dovrebbero seguire o quantomeno tenere a mente per non incorrere in pericoli futuri per la propria incolumità digitale, siano esse aziende, enti o addirittura governi. ”Questa iniziativa ribadisce, laddove ve ne fosse ancora necessità, l’importanza strategica della sicurezza digitale” spiega l’esperto Pierluigi Paganini Chief Information Security Officer di Bit4Id e responsabile Responsabile Editoriale del canale Security Notes. ”Viviamo in una società in cui la componente tecnologica ha raggiunto un livello di penetrazione impensabile persino cinque anni fa, tutti noi siamo parte di una rete globale che va protetta così come le informazioni in essa circolanti.”
I principi sono divisi sostanzialmente in due categorie che sono “principi generali”, di carattere contestuale, e “principi operativi” orientati invece alle azioni effettive da mettere in campo nei prossimi anni:
Principi generali
1. Consapevolezza, competenza ed empowerment
Tutte le parti interessate devono comprendere quali sono i rischi effettivi per la sicurezza digitale e devono imparare a gestirli. Le organizzazioni devono essere consapevoli che la sicurezza digitale può influenzare il conseguimento dei loro obiettivi economici e sociali e che la loro gestione del rischio per la sicurezza digitale può influenzare anche gli altri attori. Esse dovrebbero avere la possibilità, attraverso la formazione e l’acquisizione delle competenze necessarie, di comprendere i rischi per aiutare a governare e valutare l’impatto potenziale delle loro decisioni sulla gestione del rischio sulla sicurezza digitale nelle loro attività e nell’ambiente digitale generale.
2. Responsabilità
Tutti devono assumersi la responsabilità per la gestione della sicurezza digitale. Le organizzazioni dovrebbero agire in modo responsabile in base ai loro ruoli, in base al contesto e alla loro capacità di agire al fine di tener conto dell’impatto potenziale delle loro decisioni sugli altri attori coinvolti. Le aziende, gli enti e i Governi dovrebbero in ogni caso riconoscere che un certo livello di rischio per la sicurezza digitale deve essere accettato per raggiungere obiettivi economici e sociali.
3. I diritti umani e i valori fondamentali
Il rischio della sicurezza digitale va gestito in modo trasparente e nel rispetto dei diritti umani e dei valori fondamentali. La gestione del rischio per la sicurezza digitale dovrebbe essere attuata compatibilmente con i diritti umani e con i valori fondamentali riconosciuti dalle società democratiche, inclusa la libertà di espressione, il libero flusso delle informazioni, la riservatezza delle informazioni, la tutela della privacy e dei dati personali; essa deve essere basata su una condotta etica che rispetti e riconosca i legittimi interessi degli altri e della società nel suo insieme. Le organizzazioni mirino quindi ad avere una politica generale di trasparenza sulle loro pratiche e sulle loro procedure di gestione del rischio.
4. Cooperazione
Serve cooperazione anche a livello transfrontaliero. L’interconnessione globale crea interdipendenze tra le parti interessate e necessita di cooperazione in materia di digital security risk management: essa dovrebbe avvenire in maniera trasversale includendo governi, pubbliche amministrazioni e organizzazioni private; infine dovrebbe estendersi anche oltre i confini territoriali di ogni singolo paese, abbracciando forme di partnership transnazionali.
Principi operativi
5. la valutazione del rischio e ciclo di trattamento
I leader e i decision maker dovrebbero garantire che la digital security venga amministrata sulla base della valutazione continuativa del rischio. La valutazione dei rischi per la sicurezza digitale dovrebbe essere effettuata come un processo sistematico e ciclico contuninativo. Le organizzazioni dovrebbero valutare le possibili conseguenze delle minacce sulla vulnerabilità delle attività economiche e sociali in campo e informare i decision maker per il trattamento del rischio. Quest’ultimo dovrebbe mirare a ridurre le problematiche ad un livello relativamente accettabile, tenendo conto del potenziale impatto sugli interessi degli altri soggetti, sull’economia e sulle attività sociali. Il trattamento del rischio comprende varie opzioni: accettare, ridurre, trasferire, evitare o una combinazione di questi elementi.
6. Misure di sicurezza
Va garantito che le misure di sicurezza siano opportune e commisurate al rischio. La valutazione del rischio per la sicurezza digitale dovrebbe portare alla selezione, al funzionamento e al miglioramento delle misure di sicurezza per ridurre le problematiche al livello accettabile determinato nella valutazione del rischio e del trattamento. Le misure di sicurezza devono essere appropriate e commisurate al rischio e la loro selezione dovrebbe tener conto del loro potenziale impatto negativo e positivo sulle attività economiche e sociali che mirano a proteggere, sui diritti umani, sui valori fondamentali e sugli interessi altrui. Tutte le tipologie di azioni dovrebbero essere prese in considerazione, siano esse fisiche, digitali, o relativi a persone, processi e tecnologie coinvolte nelle attività.
7. Innovazione
I leader e decision maker devono assicurare che l’innovazione sia sempre un fattore altamente considerato. L’innovazione dovrebbe essere considerata come parte integrante dei processi di digital security: pertanto vafavorita sia nella progettazione sia nell’esecuzione delle attività economiche e sociali basate sul contesto digitale, nonché nella progettazione e nello sviluppo delle misure di sicurezza appropriate.
8. Preparazione e continuità
Venga assicurato che un piano di preparazione e di continuità sia sempre in esecuzione. Un piano di supporto e di continuità in caso di attacco sia sempre adottato al fine di ridurre gli effetti negativi degli incidenti di sicurezza e sostenere la resilienza delle attività economiche e sociali. Il piano deve individuare le misure per prevenire, individuare, rispondere e riparare i danni degli incidenti di sicurezza digitali. Le organizzazioni dovrebbero fornire processi di attribuzione dei livelli di escalation basati sulla grandezza e sulla gravità degli incidenti, nonché il loro potenziale di estendersi ad altri nell’ambienti digitale. In sintesi, procedure di notifica adeguate dovrebbero essere considerate come parte fondamentale dell’attuazione dei piani sulla digital security.
In conclusione, l’OCSE ha diffuso principi generali e operativi per la gestione della sicurezza digitale al fine di avvisare Governi, Pubbliche Amministrazioni e imprese che senza processi integrati e senza collaborazioni internazionali la prevenzione dei rischi legati alla sicurezza digitale è pressoché impossibile: la creazione di un ecosistema unitario è una priorità fondamentale per la salvaguardia dell’economia globale e della società nel suo insieme. “Sono principi che devono rappresentare un punto di partenza per la definizione e l’attuazione di una cyber strategia a livello nazionale. L’informazione e la conoscenza sono oggi in reale patrimonio di individui, aziende e governi e garantire l’attuazione di principi di sicurezza digitale è indispensabile per preservarli dalle crescenti e sempre più sofisticate minacce informatiche” conclude Paganini.