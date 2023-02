La crescente entità degli attacchi informatici, l’aumento degli utenti Internet, unitamente allo sviluppo e all’evoluzione dei prodotti digitali, inducono alla promozione di una cultura diffusa alla cybersecurity che necessariamente si realizza mediante interventi educativi e di formazione affinché le prassi di protezione diventino parte dei comportamenti e delle abitudini di tutte le persone.

Dato che la minaccia ha una dimensione globale, anche la cultura della sicurezza informatica può essere promossa a molti livelli attraverso l’educazione, la consapevolezza, la formazione e l’addestramento dei singoli. Nelle organizzazioni invece, la cultura della sicurezza informatica equivale alla promozione di pratiche di sicurezza informatica integrate con il lavoro quotidiano.

La Cyber Security Italy Foundation, il competence Center Cyber 4.0 del MISE e le università ad esso associate hanno avviato percorsi di studio per contribuire concretamente allo sviluppo di una solida e concreta cultura alla cybersicurezza.

L’importanza della Cultura diffusa alla Cybersecurity

Il concetto di CyberSecurity Culture (CSC) si riferisce alla conoscenza, alle convinzioni, alle percezioni, agli atteggiamenti, ai presupposti, alle norme e ai valori delle persone in merito alla sicurezza informatica e al modo in cui si manifestano nel comportamento delle persone con le tecnologie dell’informazione (Fonte ENISA).

Perché si realizzi davvero una cultura diffusa della sicurezza nei vari livelli della ns società e nelle organizzazioni pubbliche e private, sarebbe necessario che la Cybersecurity non fosse più considerato come un tema di nicchia o da “addetti ai lavori” del comparto IT, bensì fosse parte integrante delle abitudini e dei comportamenti di ogni giorno nei contesti lavorativi, o personali, pubblici e privati.

A sottolinearlo diversi esponenti delle Istituzioni, ed esperti del settore riuniti il 26 febbraio per la presentazione ufficiale alla Camera dei Deputati della Cyber Security Italy Foundation, la prima fondazione no profit italiana sul mondo cibernetico. Fra gli obiettivi fondanti del suo “manifesto”, l’esigenza di promuovere l’innovazione tecnologica mediante percorsi di formazione, borse di studio, master universitari, occasioni di convegno e congressi ma anche favorire il trasferimento del know how della Cybersecurity.

Durante la giornata di presentazione della Fondazione diversi esponenti della PA e il vicedirettore dell’Agenzia per la Cybersicurezza Nazionale (ACN) hanno ricordato alcuni elementi cruciali in tema di cultura alla sicurezza informatica: l’onorevole Giuseppe Bicchielli ha chiarito come la sicurezza cibernetica non dovrebbe essere considerata come un tema di nicchia, bensì di tipo centrale per il Paese: “Tutti noi siamo coinvolti nella materia cibernetica e tutti beneficiamo della sicurezza. Il problema è la cultura all’approccio verso la cybersecurity, un problema non solo della PA. Non abbiamo cultura di cosa significa vivere in una realtà digitale e digitalizzata. È una questione di sovranità nazionale. Per un sistema come quello cibernetico, il fatto che gli hardware e i sistemi operativi non sono in mano ad aziende italiane rappresenta una criticità“.

Anche il senatore Marco Silvestroni, segretario di presidenza, ha evidenziato come il tema sia decisamente sottovalutato plaudendo a realtà ed eventi che puntino alla diffusione della cultura cyber per far evolvere il Paese verso la meritocrazia e la preparazione in termini di competenze.

L’on. Alessandro Colucci dell’Ufficio di Presidenza della Camera, promotore dell’Intergruppo parlamentare sulla cybersecurity ha sottolineato come sia importante diffondere la cultura della cyber sicurezza mediante un’azione decisa della politica, del Governo, delle Istituzioni. Camera e Senato con le loro rappresentanze di maggioranza e di opposizione dovrebbero portare la tematica nelle commissioni e nelle aule, per poter fornire risposte, anche normative a questa esigenza.

Nunzia Ciardi, Vice Direttore dell’Agenzia per la Cybersicurezza Nazionale ha sottolineato come la digitalizzazione sia la nuova realtà delle nostre vite, che sono quindi a rischio sicurezza: “Sappiamo quanto si faccia fatica ad avere una vera cultura della sicurezza cyber e per questo, iniziative come quelle della Fondazione sono benvenute, perché contribuiscono alla formazione, all’awareness e alla cultura della sicurezza affinché si realizzi un’ulteriore possibilità di capillarizzare la sensibilità su questi temi considerati importanti dagli addetti ai lavori, ma non dalle persone comuni, che sanno e sentono dalla cronaca, ma non metabolizzano a sufficienza questa trama digitale e quindi non la gestiscono correttamente. La rivoluzione digitale non è stata solo ingente, ma è stata anche veloce perché è esplosa in circa 30 anni e questo breve lasso temporale ne complica la metabolizzazione. L’importanza della resilienza prevenzione e opposizione è fuor di dubbio, ma raggiungere questi obiettivi è considerato oneroso e complesso e le conseguenze sono spesso drammatiche. L’Italia consuma software ma non lo produce, e purtroppo chi è owner di tecnologie (Sovranità tecnologica) ha la possibilità di orientare il mercato e se vuole, anche alterarlo”.

L’importanza della formazione e cultura alla sicurezza è stata confermata anche da Ivano Gabrielli, direttore del Servizio della polizia postale e delle comunicazioni, che ha ricordato come l’Italia rappresenti “un modello per la cybersicurezza all’avanguardia con un’architettura significativa e poiché ogni giorno ci si deve confrontare con una minaccia che per definizione è ibrida, particolarmente insidiosa, con peculiarità di transnazionalità e di criminalità organizzata, è necessario lo sviluppo di una formazione continua e di un continuo approfondimento tematico”.

Il concetto di continuità è stato ripreso anche dal sottosegretario agli Affari Esteri Giorgio Silli che ha ricordato come si parli tropo poco di Cybersecurity nei contesti politici e come la Cybersicurezza sia ancora oggi una parola ancora troppo poco conosciuta dall’opinione pubblica, mentre dovrebbe diventare un tema di dominio pubblico, continuamente trattato.

Come avviare lo sviluppo di una Cultura alla Cybersecurity

Secondo il documento sviluppato dall’ENISA in materia di Cultura alla Cybersecurity (CSC), sono molteplici i fattori alla base della creazione e mantenimento di un approccio culturale alla Sicurezza informatica perché intervengono elementi valoriali, convinzioni, atteggiamenti, comportamenti e abitudini che molto hanno a che fare con gli individui e meno dalla tecnologia.

Per questo motivo spesso si parla di “firewall umano” quando si vuole indicare la singola persona come difensore e agente di prevenzione delle minacce digitali.

Per raggiungere questo obiettivo, tuttavia, è necessario passare per un percorso di istruzione che richiede di render consapevoli delle minacce, mediante un percorso formazione introduttivo, ovvero di “consapevolezza della cybersecurity” (Cybersecurity awareness), per poi introdurre progressivamente la formazione più specifica sui diversi concetti della sicurezza informatica, fino ad arrivare a conoscere le misure tecniche di protezione e sicurezza informatica ed i processi che ne prevedono l’adozione.

L’ultimo passo è la formazione esperienziale che, con tecniche di addestramento, permette di esercitare l’uso delle tecniche teoriche introducendo il fattore tempo e lo stress come ulteriori elementi esercitativi.

Le organizzazioni che vogliono creare una cultura alla Cybersecurity possono seguire il documento ENISA e impostare la roadmap a loro più adatta, educando il personale non tecnico e focalizzando le energie e gli skill del personale tecnico. Tuttavia, per formare le nuove leve, per il reskilling di tecnici e di personale specialistico sui temi della Cybersecurity, le maggiori università italiane hanno da tempo aggiunto alla loro offerta formativa anche percorsi di Master di primo e secondo livello in Cybersecurity.

La distinzione risiede nei requisiti di accesso: per un Master di primo livello è richiesta una laurea triennale (o titolo riconosciuto dalla legge equipollente, per esempio diploma universitario) mentre per accedere ad un Master di II livello è necessario essere in possesso di una laurea specialistica/magistrale o di vecchio ordinamento.

Ogni bando può comunque richiedere ulteriori requisiti. L’offerta formativa in Cybersecurity è presente in diversi atenei italiani sia pubblici sia privati; solo nella città di Roma si contano: master SIIS Sapienza (Master di II livello in Sicurezza delle informazioni e informazione strategica), master di primo livello in Cybersecurity della Link Campus, Master in Cybersecurity della Luiss Guido Carli, master di primo livello in Cybersecurity LUMSA, master di secondo livello in “La Cybersecurity per la protezione dei sistemi di controllo nell’industria 4.0 e nelle infrastrutture critiche” a Roma Tre, master di secondo livello in “Competenze digitali per la protezione dei dati, la cybersecurity e la privacy – Digital competences in data protection, cybersecurity and privacy presso Tor Vergata.

Il master “”Management e Cybersecurity”

Sempre a Roma è possibile annoverare anche il Master di secondo livello di prossima apertura dal titolo “Management e Cybersecurity”, frutto dell’accordo siglato fra l’ateneo e-campus con la Cybersecurity Italy Foundation. Il master, della durata di dodici mesi, ha l’obiettivo di formare figure professionali specializzate in un settore in cui lo skill gap e il reskilling di figure di sicurezza è ormai una priorità.

Fra le materie insegnate vi sono Economia della conoscenza, ICT Security Management, Cyber Intelligence & Defense, Cloud security. I docenti sono stati scelti come un mix di esperienze nei contesti dell’università, del settore privato ed esperti che provengono anche dal Comitato Tecnico Scientifico della Cyber Security Italy Foundation (Fonte Ansa).

Il master si aggiunge agli altri già disponibili presso l’ateneo digitale: il Master di primo livello in Data Protection Officer Cyber & Risk Manager e il Master di secondo livello in Scienze Informative per la Sicurezza.

La formazione esperienziale Cyber x-mind for future del Competence Center Cyber 4.0

Un percorso formativo di tipo esperienziale invece è dato dall’iniziativa CyberX – Mind4Future sviluppata dal centro Cyber 4.0, competence Center di Cybersecurity del MISE, in collaborazione con Leonardo e presentata a Roma il 19 Gennaio. L’iniziativa ha raccolto 518 iscritti che proveranno a vincere una delle 10 borse di studio messe a disposizione.

La formazione avanzata riguarda: crittografia, sicurezza delle reti di calcolatori, analisi del codice binario, sicurezza dei sistemi e delle reti. (la lista completa dei diversi temi della sicurezza informatica è pubblicata sul sito dell’iniziativa n.d.r.).

Il percorso teorico è propedeutico alla partecipazione ad un Capture The flag (CTF), una competizione a squadre, per confrontarsi su dinamiche di problem solving e attacco/difesa.

Infine, è prevista anche una fase di addestramento pratico su una piattaforma di tipo “Cyber Range”, per effettuare ulteriori esercitazioni di attacco e difesa in un ambiente simulato e adeguato a riprodurre sistemi cyber-fisici.

Le università coinvolte, perché associate con Cyber 4.0, sono La Sapienza, Tor Vergata, Roma Tre, Campus Biomedico e Luiss Guido Carli di Roma, l’università della Tuscia, Università di Cassino e del Lazio Meridionale e l’Università dell’Aquila.

