Infrastrutture critiche, Ingegneria della Resilienza

Resilienza e infrastrutture critiche

Resilience Engineering, Resilienza

Ingegneria della resilienza, Resilience Engineering

Written by redazione

La resilienza di un Paese passa per la sicurezza delle sue infrastrutture critiche. Nel FOCUS ON 2022 del rapporto Clusit uscito nei giorni scorsi, Federica Maria Rita Livelli approfondisce il tema con un articolo dal titolo Effetti della guerra sulla sicurezza delle infrastrutture Critiche – Una questione di cyber resilience quale calibrata sintesi di risk management, business continuity & cybersecurity”.

Il consueto rapporto CLUSIT è occasione di riflessione su come sta andando il mondo della sicurezza informatica, in particolare in quest’ultimo viene dato riscontro sull’andamento dei primi 6 mesi di quest’anno che sono stati particolarmente critici sia per le imprese che per le amministrazioni pubbliche.

“La guerra e in generale le tensioni internazionali hanno portato alla crisi energetica e a una situazione di paura e incertezza come non si vedeva da decenni”.

Le infrastrutture critiche, il cui elenco completo è riportato sul sito del Ministero dell’Interno sono le “risorse materiali, i servizi, i sistemi di tecnologia dell’informazione, le reti e i beni infrastrutturali che, se danneggiati o distrutti, causerebbero gravi ripercussioni alle funzioni cruciali della società, tra cui la catena di approvvigionamenti, la salute, la sicurezza e il benessere economico o sociale dello Stato e della popolazione”.

In estrema sintesi, sebbene sia da considerarsi un elenco aperto e suscettibile di implementazione, possiamo individuare le principali quali:

  • gli impianti e le reti energetiche;
  • sistemi di comunicazione e tecnologia dell’informazione e le reti informatiche;
  • la finanza;
  • il sistema sanitario;
  • l’approvvigionamento alimentare e idrico;
  • i trasporti;
  • la produzione, lo stoccaggio e il trasporto di sostanze pericolose;
  • l’amministrazione pubblica soprattutto nell’erogazione dei servizi pubblici essenziali.

Risk Management, Business Continuity e Cybersecurity

I temi ci sono tutti, la resilienza individuata nell’articolo citato in apertura, al di la di definizioni specifiche per la resilienza informatica (si vedano le definizioni nei vari settori) intesa come la “capacità di un’organizzazione di prepararsi, difendersi e riprendersi da minacce/attacchi informatici in modo da limitare le violazioni e garantire la continuità del business senza alcuna interruzione”, vuole porre l’attenzione sullo stato dell’arte delle infratrutture critiche italiane. Il tema in realtà deve interessare tutte le realtà pubbliche e private del nostro paese, in quanto nessuno può definirsi protetto e “autosufficiente” per via di una catena di approvviggionamento che colpisce sia i piccoli che i grandi.

“Pertanto, in un’ottica di approccio risk-based e resilience-based, le Infrastrutture Critiche dovranno implementare i principi di risk management, business continuity e cyber security in modo tale da”:

  • Analizzare i rischi […]
  • Stabilire una governance della sicurezza […]
  • Progettare la Operational Resilience […]
  • Definire l’architettura di Operation security […]
  • Garantire la sicurezza del software di base […]
  • Controllare adeguatamente l’accesso ai sistemi […]
  • Misurare la sicurezza in modo continuo […]
  • Formazione esercitazioni e consapevolezza […]

In conclusione è necessario far crescere la consapevolezzache :

  • La sicurezza informatica deve essere intesa come un processo continuo […]
  • Il settore della cybersecurity non è ancora sufficientemente maturo […]
  • È necessaria un’armonizzazione degli approcci […]
  • La distribuzione delle responsabilità deve essere chiara […]
  • L’ecosistema della sicurezza informatica deve essere basato sulla fiducia […]
  • Lo sviluppo delle capacità di cybersecurity deve fondarsi su collaborazione e la costruzione della fiducia […]
  • Le norme internazionali esistenti in materia di cybersecurity devono essere implementate […]
  • Il diritto internazionale va adeguato alla natura del cyberspazio […]
  • Gli hacker dovranno essere sanzionati/puniti […]

Per la versione estesa dell’articolo è sufficiente registrarsi e scaricare il rapporto completo: registrati e scarica.

Infrastrutture critiche, Ingegneria della Resilienza

Related Articles

Related