Qualche piccola riflessione :
1) la sicurezza informatica non si misura in base ai fondi stanziati e non è solo un problema economico . I managers prima investivano troppo poco .. oggi il rischio è opposto . Ogni forma di sicurezza non si compra ma si realizza con comportamenti adeguati.
2) Il problema non è concentrare le decisioni ma piuttosto renderle uniformi e coerenti tecnicamente e giuridicamente per tutto un insieme di soggetti vulnerabili.
3) Immaginare di comprare la sicurezza informatica insieme ad una soluzione “certificata” o meno equivale a spendere molto per l’ultimo modello di automobile ed essere sicuri in assoluto di non avere alcun rischio di incidente . Il Titanic ‘inaffondabile’ era la nave più sicura al mondo.
4) Più che di Cybersecurity dovremmo parlare di gestione del rischio infomatico e riflettere su modelli organizzativi e formazione proattiva … il pericolo ,come la pandemia ha dimostrato, e’ dietro l’angolo e si affronta con accorgimenti individuali condivisi.
5) un approccio solo tecnico alla sicurezza di fronte a qualsiasi rischio serve a poco… si può avere il migliore dei congegni alla porta di ingresso ma lasciando le finestre aperte o confidando troppo sulla propria immunità non si fa che avvicinare il pericolo esorcizzato.
6) pubblico e privato dovrebbero agire insieme ma e’ rischioso anche confondere i ruoli : attenzione si confusione magari no.
7) la sicurezza è problema globale e richiede soluzioni immediate e globali. Immaginare di prescindere dai grandi attori internazionali è come pensare di fare circolare solo certi veicoli ‘sicuri’ mantenendo le stesse strade ( le reti ) poco illuminate se non dissestate … il tutto in un potenziale scenario bellico.
8) la sicurezza informatica (e non) non si fa con le parole e con le strategie ma con i fatti e i comportamenti virtuosi. Non bastano i congressi e le conferenze ma forse bisogna concentrarsi sui buoni esempi guardando anche fuori dai nostri confini nazionali che di buoni esempi ne hanno ben pochi.
9) la sicurezza informatica è un percorso non difficile ma univoco e serio e non si differenzia perché ‘informatica’ dalla nozione di sicurezza comune in tanti ambiti: serve un approccio multidisciplinare e non burocratico . Servirebbe perciò una cultura della sicurezza condivisa e spontanea e non imposta con compliance e con sanzioni.
10) non sto rivelando alcuna novità ma sintetizzando il mio lavoro del 2003 -credo il primo in materia – magari superato quanto a richiami tecnici ma forse ancora utile quanto a suggerimenti regolamentari tanto che la prefazione fu curata insieme quasi a sottolinearne il carattere ‘global’ da Romano Prodi che all’epoca era Presidente della Commissione UE e che proprio in tale sede insisteva su regole ‘soft’ e da Lee Loevinger (fu il Suo ultimo lavoro ed è stato negli USA il fondatore dell’idea stessa di informatica giuridica).
