Ci sono molti studi che descrivono più o meno in dettaglio lo stato della cyber security delle varie nazioni. Rispetto ad altri, il Global Cybersecurity Index dell'ITU (la International Telecommunication Union) ha il crisma di una maggiore "ufficialità" per via dell'organismo internazionale che lo compila. Anche se ha un obiettivo ben specifico: valutare non tanto le vulnerabilità e i punti di forza delle aziende e delle organizzazioni locali, quanto indicare lo stato di preparazione complessiva di fronte alle minacce in rete. Anche dal punto di vista delle normative e delle organizzazioni mirate che una nazione ha sviluppato.

Per una nazione, il GCI è il risultato della valutazione di una ventina di indicatori chiave che afferiscono a cinque tipologie principali di misure messe in atto: legali, tecniche, organizzative, capacità di sviluppo (formazione, awareness, training, educazione), cooperazione tra aziende e pubblico/privato.

Per l'ITU una parte essenziale è quella normativa. Mettere in atto leggi specifiche collegate alla cyber security ed alla privacy dei dati viene considerata la base per lo sviluppo generale della sicurezza IT. Anche come consapevolezza dei singoli cittadini. Il GCI quindi valuta positivamente che sempre più nazioni abbiano norme specifiche che toccano la data protection, obbligano a notificare le violazioni di sicurezza, normano la gestione dei furti di informazioni personali. Questa è la base, lato tecnico gli indicatori chiave sono invece soprattutto legati alla creazione e all'organizzazione di Computer Incident (o Computer Emergency): gli spesso citati CIRT e CERT. Che devono agire sia lato controllo delle minacce alla sicurezza, sia come centri di awareness. È un bene quindi che sia cresciuto il loro numero e che, nelle nazioni più sviluppate, stiano crescendo quelli specializzati per settore di mercato.
Il passo successivo è integrare norme ed organizzazioni come CIRT e CERT in un tessuto organizzato che ne consenta la sinergia. Qui il GCI indica un trend apparentemente paradossale: nelle nazioni dove esiste uno strato solido di infrastrutture di telecomunicazioni, si fa più fatica ad introdurre misure operative per la cyber security. È come se uno zoccolo duro "storico" forte infrastrutturale impedisse di affrontare la cyber security con una visione più aggiornata alle attuali tematiche della sicurezza. In particolare una incentrata su una visione complessiva della protezione delle infrastrutture critiche nazionali, in ottica anche di resilienza di fronte alle emergenze globali.

Il nodo chiave è la definizione di quelle che l'ITU chiama National Cybersecurity Strategy (NCS). Piani nazionali complessivi che hanno anche il compito critico di chiarire obiettivi, ruoli, responsabilità nell'implementazione della sicurezza nazionale digitale. Con attività regolari di assessment ed auditing delle politiche stesse, che devono essere sempre aggiornate. Tutti aspetti per i quali le nazioni genericamente definite come sviluppate performano meglio di quelle in via di sviluppo. Anche semplicemente per un fattore evidente di correlazione: l'interesse per la cyber security è proporzionale alla quota dei cittadini e delle imprese che sono online. E il digital divide è ancora forte a livello globale.

I numeri del GCI

Per tutte le considerazioni fatte sopra, è logico aspettarsi che il punteggio del GCI (da 0 a 100) sia più alto nelle nazioni più sviluppate, più ricche, più orientate al digitale. E in buona parte è così: la top ten del GCI vede nell'ordine USA (a quota 100 punti), Regno Unito, Arabia Saudita, Estonia, Corea del Sud, Singapore, Spagna, Russia, Emirati Arabi Uniti, Malesia (98,06). L'Italia è in posizione 20 con 96,13 punti (al netto di diversi ex-aequo, in realtà è ventisettesima). A livello regionale (cioè europeo) siamo tredicesimi.
Dove andiamo bene e dove no? Il massimo dei voti (20 su 20) lo prendiamo nella parte delle misure organizzative. Bene anche la componente legale-normativa, la capacità di sviluppo complessiva del mondo cyber security e l'aspetto legato alla cooperazione tra diverse entità. Punteggio bassino invece nella componente tecnica. Segno che dalla teoria alla pratica abbiamo ancora qualche ostacolo di troppo.