La resilienza informatica è la capacità di un’organizzazione di prevenire, resistere e reagire agli incidenti di sicurezza informatica. si intende quindi sia la capacità di dare continuità ai servizi e ai processi di un’organizzazione pubblica, sia la capacità di preservare l’integrità delle infrastrutture e dei dati. Una capacità sia ex ante che ex post, come sottolineato da Santi ai microfoni di FPA.
Il primo passo per ogni organizzazione è definire un perimetro di resilienza. Non si potrà garantire continuità a tutto, ma dovranno esserci delle parti accessorie che potranno essere recuperate in un secondo momento. Grande attenzione andrà riservata ad un prevedibile ampliamento del perimetro, che aumenta l’esposizione al rischio. Non tutti i rischi però andranno affrontati nello stesso modo. Secondo Santi: “Alcuni rischi andranno mitigati con una certa priorità, altri rischi andranno mitigati con una minore priorità ed altri dovranno essere accettati o esternalizzati perché le risorse di un’organizzazione pubblica o privata sono finite”.
Rischi che a causa del mutato contesto geopolitico sono aumentati notevolmente. Per le aziende e per le amministrazioni è diventato quindi fondamentale adottare un approccio reattivo per mantenere la resilienza informatica, con azioni mirate per prevenire il rischio connesso alle terze parti. Terze parti che ormai sono coinvolte e utilizzate per la gestione di tutti i processi, dall’ideazione delle nuove soluzioni, passando per la produzione e la commercializzazione di prodotti e servizi. Per questo motivo, secondo Federico Santi: “L’elemento centrale in questo caso è avere quantomeno un framework di riferimento, cioè avere cognizione del fatto che ci siano degli SLA di sicurezza che vanno misurati e che vanno in alcuni casi richiesti o quantomeno controllati all’interno dei contratti”.
Darsi delle metodologie, auditare i livelli di sicurezza di un contratto ed utilizzare prodotti e servizi certificati sono secondo Santi i punti da cui partire: “Adesso, grazie anche a un perimetro di sicurezza nazionale, si sta andando progressivamente anche velocemente verso uno schema di certificazione dei prodotti e dei servizi. Ci saranno dei laboratori, ci saranno degli schemi precisi. Questo consentirà di “pacchettizzare” il livello di fiducia che c’è verso una terza parte, verso un fornitore di servizi di sicurezza”.
L'articolo Federico Santi (DXC Technology):”Per la sicurezza IT, definire prima di tutto un chiaro perimetro di resilienza” proviene da FPA.
0 Commentaires