INFRASTRUTTURE CRITICHE

Piramide di Anthony e dottrina militare: due suggestive chiavi di lettura della NIS 2

La complessità delle cyber minacce richiede un approccio strutturato e multidimensionale alla sicurezza di sistemi e reti. La Direttiva NIS 2 mira a rafforzare la resilienza con nuovi requisiti e regole. Ecco come interpretarli attraverso la lente della piramide di Anthony e di alcuni principi della dottrina militare

Pubblicato il 11 giu 2024

Giuseppe Alverone

Consulente e formatore Privacy e Cybersecurity. DPO certificato UNI CEI EN 17740:2024

Monica Perego

Consulente, Formatore Privacy & DPO

Piramide di Anthony dottrina militare NIS 2

La Direttiva NIS 2 predispone specifiche regole per le pratiche di igiene informatica distinguendo quelli che a noi sono apparsi come due livelli chiave: uno operativo, rivolto agli individui incaricati della gestione di sistemi, reti e applicazioni e uno tattico, relativo alle organizzazioni che rivestono il ruolo di soggetti essenziali e importanti.

Ora, è fondamentale approfondire e analizzare come questi due livelli si integrano e interagiscono all’interno del più ampio ecosistema della cibersicurezza, garantendo una protezione efficace e coordinata delle infrastrutture digitali.

Questo approccio innovativo permette di costruire un sistema di difesa multilivello, migliorando la capacità di prevenzione, rilevamento e risposta agli attacchi informatici e proteggendo così le infrastrutture critiche e la sicurezza nazionale.

Direttiva NIS 2 per la sicurezza delle infrastrutture critiche: quando e a chi si applica, le sanzioni

Indice degli argomenti

Differenze tra cyber sicurezza e igiene informatica

L’art. 18 della NIS 2 riguarda la valutazione del livello generale di consapevolezza in materia di Cibersicurezza e igiene informatica tra i cittadini e le organizzazioni, comprese le piccole e medie imprese. È quindi del tutto evidente che la stessa NIS 2 considera la cibersicurezza e l’igiene informatica come due aspetti distinti, e questo punto merita di essere messo in risalto.

Ora, nell’articolo 6 delle Definizioni della NIS 2, la cibersicurezza è definita come: “l’insieme delle attività necessarie per proteggere la rete e i sistemi informativi, gli utenti di tali sistemi e altre persone interessate dalle minacce informatiche (articolo 2, punto 1, del regolamento (UE) 2019/881)”.

Contestualmente, la stessa Direttiva, al Considerando 78, chiarisce che le misure di gestione dei rischi di cibersicurezza dovrebbero prevedere un’analisi sistemica, tenendo conto del fattore umano, al fine di avere un quadro completo della sicurezza del sistema informatico e di rete.

Di conseguenza, è opportuno promuovere energicamente l’«igiene informatica», vale a dire semplici misure di routine che, se attuate e svolte regolarmente dalle persone fisiche e dalle organizzazioni, riducono al minimo la loro esposizione a rischi derivanti da minacce informatiche.

Quindi, non vi è dubbio che l’igiene informatica è parte integrante della cibersicurezza e rappresenta le basi fondamentali di essa.

Ad ulteriore conferma di queste argomentazioni, nella tabella seguente vengono evidenziate – in un’unica vista – le differenze tra cibersicurezza e igiene informatica.

*Parametri*	*Cibersicurezza*	*Igiene informatica*
Definizione	L’insieme delle attività necessarie per proteggere la rete e i sistemi informativi, gli utenti di tali sistemi e altre persone interessate dalle minacce informatiche.	Componente essenziale della sicurezza informatica che comprende semplici misure di routine che riducono al minimo l’esposizione a rischi derivanti da minacce informatiche.
Obiettivi	Proteggere la confidenzialità, l’integrità e la disponibilità dei dati, oltre ad altre proprietà come autenticità, non ripudio e affidabilità. (Per approfondimenti, vedere i vari articoli degli autori pubblicati su questa rivista).	Ridurre il rischio di incidenti di sicurezza attraverso pratiche regolari e di carattere proattivo.
Ambito	Prevede misure prevalentemente di tipo tecnico quali la sicurezza delle reti, la protezione contro malware e ransomware, la risposta agli incidenti, la conformità alle normative di sicurezza (si vedano – in prevalenza – controlli della sezione 8 della ISO/IEC 27001:2022).	Pone l’attenzione su azioni individuali (ovvero in capo al singolo) e organizzative di base che contribuiscono alla sicurezza informatica complessiva (si vedano alcuni controlli della sezione 5 e della sezione 8 della ISO/IEC 27001:2022).
Strumenti e tecniche	Utilizza sistemi quali i firewall, quelli per il rilevamento delle intrusioni, la crittografia, la gestione delle identità e degli accessi, ecc.	Richiede aggiornamenti regolari del software, gestione nell’utilizzo delle password, attenzione nella navigazione su internet, validi criteri di salvataggio dei documenti realizzati con SW di produzione individuale ecc.

Cibersicurezza e igiene informatica: un approccio integrato

Sulla base di quanto rilevato finora, possiamo affermare che la protezione delle infrastrutture informatiche si basa su due approcci fondamentali: la cibersicurezza e l’igiene informatica.

Come si è cercato di evidenziare nella precedente tabella, la cibersicurezza coinvolge strategie complesse e tecnologie avanzate per proteggere le infrastrutture informatiche da minacce sofisticate. Questo approccio sistemico e strutturato è gestito da professionisti che implementano firewall, sistemi di intrusione, crittografia avanzata, monitoraggio continuo e piani di risposta agli incidenti. Sono misure che mirano a garantire una protezione a lungo termine e richiedono un alto livello di competenza tecnica.

Parallelamente, l’igiene informatica si concentra su pratiche quotidiane che ogni utente può adottare per mantenere la sicurezza del sistema. Queste includono l’aggiornamento regolare del software, l’uso di password forti e uniche, la consapevolezza delle minacce come il phishing e i malware, e l’esecuzione regolare di backup dei dati.

L’igiene informatica è fondamentale per prevenire problemi quotidiani di sicurezza che potrebbero sfuggire ai controlli automatizzati delle misure di cibersicurezza.

Quindi, l’interdipendenza tra cibersicurezza e igiene informatica è essenziale per la sicurezza complessiva di un’organizzazione.

Quindi, mentre la cibersicurezza fornisce una difesa strategica e a lungo termine, l’igiene informatica riduce i rischi quotidiani e previene incidenti minori che potrebbero diventare problemi più grandi. Così, integrando entrambi gli approcci, è possibile creare un ambiente digitale sicuro e resiliente, capace di affrontare le sfide presenti e future del panorama delle minacce informatiche.

La piramide di Anthony applicata alla cibersicurezza

La piramide di Anthony, sviluppata negli anni 60 da Robert Anthony economista statunitense, docente di controllo di gestione aziendale alla Harvard Business School, è un modello gestionale che suddivide i processi decisionali aziendali in tre livelli principali:

strategico: stabilisce gli obiettivi a lungo termine e la direzione complessiva dell’organizzazione;
tattico: converte gli obiettivi strategici in piani dettagliati a medio termine;
operativo: implementa le attività quotidiane necessarie per eseguire i piani tattici e raggiungere gli obiettivi strategici.

Secondo quanto finora descritto, è possibile applicare questo schema al quadro multilivello che emerge da un’attenta lettura della Direttiva NIS 2.

Così, la cibersicurezza può essere vista su un livello strategico, con l’igiene informatica distribuita su due ulteriori livelli distinti: quello tattico relativo alle organizzazioni e quello operativo relativo alle persone incaricate di gestire i sistemi e le reti.

Cibersicurezza a livello strategico: Questo livello riguarda le decisioni di alto livello che stabiliscono le politiche di sicurezza informatica dell’organizzazione, gli obiettivi a lungo termine e le risorse necessarie per proteggere l’infrastruttura digitale. Include la definizione di una strategia di sicurezza informatica, l’adozione di standard internazionali come ISO/IEC 27001:2022 e la gestione del rischio a livello globale.
Igiene informatica a livello tattico: A questo livello, le organizzazioni che rivestono il ruolo di soggetti essenziali ed importanti, implementano le politiche di sicurezza definite a livello strategico. Ciò include la pianificazione di misure di sicurezza specifiche, la formazione del personale, il monitoraggio della conformità alle normative e la gestione delle risorse di sicurezza. Le decisioni tattiche supportano l’integrazione della sicurezza informatica nelle operazioni quotidiane dell’azienda.
Igiene informatica a livello operativo: Questo livello riguarda le attività quotidiane svolte dal personale operativo per mantenere la sicurezza dei sistemi e delle reti. Include l’implementazione delle pratiche di igiene informatica come l’aggiornamento regolare del software, la gestione delle password, la risposta agli incidenti di sicurezza e l’esecuzione di backup dei dati. Le decisioni operative assicurano che le misure di sicurezza siano applicate in modo efficace e continuo.

In sintesi, come evidenziato nella tabella seguente, la piramide di Anthony offre una struttura utile per comprendere e organizzare le diverse dimensioni della cibersicurezza, garantendo che le strategie di sicurezza siano integrate a tutti i livelli dell’organizzazione.

La piramide di Anthony applicata alla cyber security.

Dal campo di battaglia al ciberspazio: gli schemi militari visibili nella NIS 2

In verità, la piramide di Anthony, utilizzata nel management moderno, ricalca antichi schemi militari che prevedono la suddivisione della missione bellica in compiti specifici distribuiti tra i vari livelli di comando.

Ed è interessante constatare come la struttura della NIS 2 rispecchi proprio le strategie militari tradizionali, con un focus sulla “cascata del compito” e sulle “operazioni multi-dominio”.

Nel contesto militare, la “cascata del compito” è un metodo attraverso il quale – al fine di trasformare una “VISIONE” in una “MISSIONE” – le direttive strategiche del Vertice, vengono scomposte in missioni operative e tattiche. Questo approccio garantisce che ogni livello della gerarchia militare comprenda il proprio ruolo specifico nella realizzazione dell’obiettivo finale.

Un altro aspetto critico della NIS 2 è la necessità di garantire sia la sicurezza fisica che quella digitale. È, questo, un modello che rispecchia le moderne “operazioni multi-dominio” militari. Queste operazioni coinvolgono l’integrazione e il coordinamento delle forze attraverso terra, aria, mare e spazio cibernetico, per garantire una difesa omnicomprensiva.

Così, in maniera analoga, la NIS 2 pone il focus sulla “Security Convergence”, prescrivendo un approccio multirischio che combina protezioni fisiche e digitali. Questo richiede che i soggetti essenziali ed importanti non solo implementino misure di sicurezza cibernetica, ma proteggano anche le infrastrutture fisiche associate alle reti e ai sistemi informatici. Tale approccio multi-dimensionale (fisico e digitale) combinato con quello multi-livello (strategico, tattico e operativo) è essenziale per affrontare le minacce moderne, che spesso colpiscono simultaneamente su più fronti.

Conclusioni

L’analisi della NIS 2 attraverso la lente della piramide di Anthony e dei citati schemi militari offre una prospettiva unica della struttura e dell’efficacia della Direttiva UE.

La crescente complessità delle minacce informatiche richiede un approccio stratificato e multidimensionale.

È l’approccio che la NIS 2 implementa efficacemente attraverso la suddivisione delle responsabilità su livelli strategici, tattici e operativi. Abbiamo visto come questo metodo non solo rispecchi le antiche strategie militari, ma dimostri anche la robustezza e l’adattabilità delle strutture di difesa tradizionali in contesti moderni e digitali.

In definitiva, la NIS 2 adotta un approccio che ricorda molto i paradigmi militari, conferendo una robustezza e una completezza alla difesa delle infrastrutture critiche in Europa.

Questa struttura multilivello e multidimensionale non solo rafforza la sicurezza delle infrastrutture digitali, ma prepara anche i soggetti essenziali e importanti a fronteggiare le sfide future del panorama delle minacce informatiche.

@RIPRODUZIONE RISERVATA

Giuseppe Alverone

Consulente e formatore Privacy e Cybersecurity. DPO certificato UNI CEI EN 17740:2024

Fondatore e amministratore unico di DATA FABER s.r.l.s., società specializzata in formazione, consulenza e progettazione sui temi della protezione dei dati, della sicurezza digitale e della gestione del rischio. Già Generale dei Carabinieri, DPO dell’Arma e Recruiter in ambito militare, oggi svolge l'attività di consulente, formatore e divulgatore nei campi della privacy, cyber security e governance del rischio. Laureato in Giurisprudenza (Università “La Sapienza” di Roma) e in Scienze della Sicurezza Interna ed Esterna (Università di Roma Tor Vergata), con Master e Corsi di Perfezionamento all'Università Statale di Milano, ha alle spalle un percorso militare di eccellenza: Scuola Militare Nunziatella di Napoli, Accademia Militare di Modena, Scuola Ufficiali Carabinieri, Scuola di Guerra di Civitavecchia, oltre a specializzazioni in alpinismo, in paracadutismo e quale Ufficiale Perito Selettore (Recruiter in ambito militare). Oggi accompagna vertici pubblici e privati nel comprendere e applicare norme come GDPR e NIS 2, trasformandole in leve strategiche di difesa, reputazione e continuità operativa. È DPO certificato UNI CEI EN 17740:2024, Auditor/Lead Auditor ISO 27001:2022, membro del Comitato Scientifico dell’Istituto ASAPIENS e docente nei corsi propedeutici alla certificazione dei DPO. Autore di manuali e saggi tra cui “Quaderno operativo di cybersecurity e privacy”, “Il modello organizzativo NIS 2 (MONIS)”, “Compliance privacy: Percorsi per imprese e P.A.”, “La DPIA nelle smart city”, oltre a numerosi articoli su riviste specialistiche. Il suo lavoro unisce visione strategica, rigore giuridico e capacità operativa, con l’obiettivo di diffondere cultura e strumenti concreti per una protezione dei dati e una cyber security a misura di persone e organizzazioni reali.