L’intervista con Michele Zunino, Amministratore Delegato di Netalia e Presidente del Consorzio Italia Cloud, che spiega come NIS2 sia una sfida, ma anche un'opportunità.
Autore: Redazione SecurityOpenLab
La trasformazione digitale ha cambiato il modo in cui viviamo, rendendoci dipendenti da sistemi informatici sempre più complessi che espongono le aziende, grandi e piccole, a rischi cyber sempre più sofisticati. In questo contesto la direttiva NIS2, in vigore dal prossimo ottobre, segna un punto di svolta. Come noto, parliamo di una normativa che impone requisiti di sicurezza informatica più stringenti e mira a rafforzare la cyber resilienza dell'Unione Europea. Ma quali saranno le conseguenze pratiche per le imprese italiane? Ne abbiamo parlato con Michele Zunino, Amministratore Delegato di Netalia e Presidente del Consorzio Italia Cloud, che spiega come NIS2 sia una sfida, ma anche un'opportunità. Da un lato, le aziende si troveranno a dover affrontare costi aggiuntivi per adeguarsi ai nuovi standard di sicurezza. Dall'altro, la normativa stimolerà una maggiore consapevolezza dei rischi informatici e spingerà le imprese a investire in soluzioni più sicure e affidabili.
Proprio la consapevolezza è stato uno dei temi centrali della chiacchierata con Zunino, che ha sottolineato come sia il primo passo verso una cybersecurity solida perché “la sicurezza informatica non è solo una semplice questione tecnologica, ma un vero e proprio problema culturale che affonda le sue radici nella percezione stessa del rischio”. Un concetto che “le grandi aziende hanno percepito benissimo e hanno fatto proprio, attuando già le azioni più opportune, al contrario delle medie e piccole aziende per le quali tutto si riduce a una questione di costo”, dimostrando di non avere alcuna percezione di quale sia il reale problema.
Se la prima questione è il gap fra piccole e grandi imprese, la seconda riguarda i motivi alla base della scarsa consapevolezza, che vanno dalla mancanza di risorse alla barriera tecnologica, per poi chiudere sulla cultura aziendale. Il paradigma è ben noto: le PMI spesso non dispongono di risorse economiche e know-how necessari per implementare adeguate misure di sicurezza. In questo, l’evoluzione tecnologica non aiuta perché rende difficile per le aziende tenere il passo con le minacce informatiche. Una cultura aziendale che non considera la sicurezza come un abilitatore di business ma come un costo frena poi ogni possibile miglioramento sui punti precedenti.
Quelli citati sono solo alcuni degli ostacoli alla mancata costruzione della resilienza informatica, ma hanno conseguenze potenzialmente devastanti sulle aziende: un attacco informatico può comportare non solo perdite finanziarie significative, ma anche danni reputazionali gravi e l'interruzione dei servizi ai clienti.
Per invertire questa tendenza, è fondamentale promuovere una cultura della cybersecurity a tutti i livelli. Non solo tramite la formazione, ma adottando un cambio di approccio sostanziale che passa per “il cambiamento, non attraverso il rafforzamento dell'esistente - spiega Zunino, che aggiunge: se chiudo gli occhi e guardo avanti dieci anni, non credo che le PMI italiane potranno permettersi un proprio sistema informativo. Dovranno necessariamente scegliere un cloud provider al quale affidare tutta la sicurezza di base e dedicarsi internamente soltanto alla gestione del loro parco applicativo. Perché tutto il resto verrà gestito da qualcuno che, nel pacchetto delle infrastrutture e delle piattaforme, mette anche il tema della sicurezza come elemento integrato”. Zunino vede quindi un cambiamento epocale nel modello organizzativo, slegato dal costo o dai concetti di on-premise o cloud. Immagina un futuro nel quale il tema sarà il perimetro. In tutto questo l’evangelizzazione servirà? Certo e sarà da fare, anche se “purtroppo la migliore evangelizzazione consiste nel prendere alcune facciate contro il muro, nei blocchi di sistema e nelle multe” sottolinea Zunino. Qui ci si aggancia a una delle maggiori novità di NIS2: le sanzioni, che in precedenza non erano previste.
A che cosa serviranno le multe è presto detto: per allinearsi alla normativa, almeno sotto l’aspetto della spunta delle richieste minime necessarie. Che è comunque meglio di nulla perché da qualche parte bisogna pur iniziare. Poi però il lavoro da fare sarà moltissimo in quanto, come ricorda Zunino, “la gestione della sicurezza va ben oltre l’acquisto e l’installazione di un prodotto, è data da un insieme di procedure, di competenze, di attività e di analisi che sono complesse e di conseguenza necessariamente costose”, e che devono essere messe in atto se si vuole raggiungere la resilienza.
Il focus di Netalia è proprio il tema della compliance, tanto è vero che l’azienda è stata tra le prime in Italia a portare sul mercato il messaggio che “non è sufficiente avere un’alta capacità computazionale in termini di potenza, occorre poterla controllare”, per questo ha “realizzato le più affidabili infrastrutture a supporto di servizi, che intrinsecamente rispondono al perimetro regolatorio normativo e garantiscono a chi utilizza le piattaforme Netalia come elemento abilitante dei propri parchi applicativi, uno standard di sicurezza elevato, grazie al fatto che la compliance è vista come un elemento di design del servizio stesso, non qualcosa di applicato a posteriori”.
Il tema della compliance è di primaria importanza perché ci stiamo muovendo in un perimetro regolatorio normativo che, ricorda Zunino, è in continua evoluzione e richiede pertanto un costante sforzo di adeguamento. “Oggi è abbastanza chiaro che ACN regola per l'Italia tutta una serie di temi, che in precedenza non esistevano” e questo ha creato una parziale sovrapposizione tra il retaggio del passato e le nuove regole.
Del resto, non ci si può e non si deve auspicare una situazione statica per la natura stessa della cybersecurity, che è un settore in continua evoluzione, con tecnologie che cambiano velocemente e attacchi che si muovono di conseguenza. Questo è uno dei motivi per i quali da una parte la regolamentazione normativa faticherà a star dietro al cambiamento, dall’altra le aziende non strutturate non riusciranno a tenere il passo e dovranno affidarsi ai servizi gestiti.
“Verosimilmente - perché non lo sapremo prima di un anno dall’entrata in vigore - mi aspetto un aumento della spesa per tutto quello che è legato ai temi di governance e sicurezza. Immagino che presto, oltre che sulla potenza, ci sarà un'attenzione forte su tutti i temi della compliance, della sicurezza, della governance, e uno spostamento dei budget abbastanza rilevante. Mi aspetto anche un criterio di selezione molto diverso dei fornitori di infrastrutture e servizi cloud” spiega Zunino.
In altre parole, i temi della compliance diventeranno dei driver di scelta. Non solo: Zunino si aspetta un'adozione del cloud molto più forte, perché a suo avviso sarà l'economia di scala l’unico elemento che permetterà veramente di poter dare una risposta ai temi di compliance. “Sistemi troppo piccoli diventano eccessivamente costosi, quindi di fatto non più sostenibili nell'ambito dei budget delle PMI” chiude Zunino.
Inoltre, il passaggio al cloud non potrà essere uno shift-left nel lungo periodo: “nell'immediato si tenderà un po' a fare quello che si riesce, probabilmente il primo passaggio sarà l’acquisto di servizi di Infrastructure-as-a-Service in sostituzione del data center interno. Poi gradualmente si sfrutteranno anche tutte le funzionalità che i provider mettono a disposizione per il refactoring della parte applicativa”. Le aziende hanno già sposato questo approccio, perché Zunino constata come molti stiano pianificando il passaggio a piccoli passi, piuttosto che buttarsi in progetti troppo complessi e difficili da gestire.
Tornando alla NIS2, c’è un’altra questione da non sottovalutare e che dovrebbe portare effetti positivi: in molti casi le piccole e medie imprese hanno difficoltà a calcolare il danno della mancanza di disponibilità dei sistemi. In altre parole, sottostimano il danno emergente, riconducendo tutto a un costo IT, mentre invece non è così. Per chiarire il concetto prendiamo ad esempio quanto accaduto con l’errato update di CrowdStrike: “il danno emergente non è che non funzionavano i computer, è stato il blocco del trasporto aereo, sono stati i passeggeri rimasti a terra che hanno dovuto essere gestiti, il problema è molto più ampio e in certi contesti di business (e.g. le PMI) non se ne ha la consapevolezza.
Una considerazione, quest’ultima, che porta sul tavolo un’altra nota dolente: la gestione corretta delle procedure di Crisis Management. Dovrebbe esserci un piano di risposta perché richiesto da alcune certificazioni, ma spesso di fatto il piano non c’è. Viene stilato un documento come richiesto dalla normativa, ma nel concreto quei processi non vengono gestiti all'interno delle organizzazioni perché l’implementazione è costosa (da qui l’aspettativa di un incremento dei costi). Però è necessaria per prendere consapevolezza del rischio, del danno emergente e agire di conseguenza.
Nella chiacchierata con Zunino non è mancata l’opportunità per mettere l'accento anche sulla necessità di una politica industriale digitale a livello nazionale. Quello che è emerso in estrema sintesi è che l'Italia ha bisogno di una strategia chiara e coordinata per promuovere lo sviluppo del digitale e rafforzare la sua competitività a livello internazionale.
Il primo passo di questo percorso consiste nel DDL Cybersicurezza, che ha un primo effetto benefico proprio nella creazione di consapevolezza: un compito difficile secondo Zunino, perché “stiamo parlando di argomenti complessi che hanno implicazioni di tipo geopolitico e di conseguenza non facili da trattare in modo asettico”. Questo significa che il decreto è sicuramente perfettibile, ma al tempo stesso è un buon punto di partenza, da affinare gradualmente nel tempo, anche in funzione dei cambiamenti che avverranno per via di quella evoluzione del mercato a cui abbiamo fatto riferimento sopra.
In particolare, per migliorare l’attuale decreto occorre una “consapevolezza politica di che cosa stiamo facendo, delle scelte che facciamo oggi e delle loro implicazioni nel lungo termine”. In altre parole, occorre una politica industriale, digitale, per questo Paese, che oggi forse ancora non esiste.
Il messaggio positivo che lascia Zunino è che “siamo nella condizione di poter disegnare il nostro futuro. La crescita di consapevolezza graduale a cui stiamo assistendo arriverà anche a determinare il vero valore del digitale all'interno del perimetro di interessi e a far comprendere che questo perimetro di interessi va tutelato al meglio”. Affinché questo accada dobbiamo imparare a fare squadra, contrastando l’abitudine italiana al campanilismo, perché “stiamo parlando di mercati che per funzionare hanno bisogno di economie di scala”.