INFORMATICA: CONDIVISIONE E SICUREZZA

Agenzia UE identifica incentivi e sfide per la condivisione delle informazioni sulla sicurezza informatica

L’agenzia UE per la “sicurezza cibernetica” ENISA, cioé l’Agenzia Europea per la Sicurezza delle Reti e delle Informazioni, ha lanciato un nuovo studio sulle barriere e gli incentivi per la condivisione delle informazioni sulla sicurezza informatica.Lo studio mostra, per esempio, che per i professionisti gli incentivi economici sono molto più importanti di quanto indicato nella letteratura.L’importanza della condivisione delle informazioni per la Protezione delle Infrastrutture Critiche Informatizzate – CIIP è ampliamente riconosciuta sia dai policy-maker che dalle comunità tecniche e dei professionisti. L’agenzia ha condotto studi in gruppi ‘peer-to-peer come per es. gli Information Exchanges (IEs) e gli Information Sharing Analysis Centres (ISACs). Lo studio identifica le barriere e gli incentivi più importanti per la pratica giornaliera negli IE e negli ISAC per il CIIP. Questa ricerca è diversa rispetto ad altri rapporti in quanto si concentra sulle esperienze dei professionisti. Il materiale deriva da tre fonti: analisi della letteratura, interviste e un esercizio ‘Delphi’ in due fasi con i professionisti della sicurezza. Molte delle barriere e degli incentivi individuati nella letteratura non hanno molta importanza per i professionisti e per i funzionari della sicurezza che lavorano negli IE. Il ‘vera’ lista di incentivi per i professionisti, invece, comprende: incentivi economici (cioé risparmi sui costi), incentivi di qualità, valore e uso delle informazioni condivise. Le barriere principali per la condivisione delle informazioni sono informazioni di scarsa qualità, cattiva gestione e/o rischi di reputazione. L’agenzia ha prodotto 20 raccomandazioni per i vari tipi di pubblico target, per es.: – Gli Stati Membri devono stabilire una piattaforma nazionale di condivisione delle informazioni e cooperare con altri Stati Membri. – Il settore privato dev’essere più trasparente nel condividere le informazioni, deve migliorare le misure di prontezza in base alle informazioni scambiate – La ricerca e l’Accademia devono quantificare i benefici e i costi legati alla partecipazione alle piattaforme; intraprendere studi analitici riguardo a dove si sarebbe potuto prevenire gli attacchi o diminuirne gli impatti. – Le istituzioni UE e l’ENISA devono stabilire una piattaforma di condivisione delle informazioni paneuropea per gli Stati Membri e per le parti interessate private.
La European Public Private Partnership for Resilience(EP3R) della Commissione Europea all’indirizzo(http://ec.europa.eu/information_society/policy/nis/strategy/activities/ciip/impl_activities/ep3r_29_06_2010/index_en.htm) è la principale iniziativa politica in quest’area.