Per il Cefriel le sfide da vincere sono tre: la comprensione delle minacce alla sicurezza informatica; la promozione della cultura cyber anche verso i non specialisti; la riduzione del rischio cyber lavorando anche sul fattore umano. E queste sfide sono declinate in 10 punti:
1) Consapevolezza. La comprensione del rischio effettivo e potenziale è la leva che servirebbe a PMI, grandi imprese e Pubbliche Amministrazioni per definire priorità di investimento nella protezione del proprio patrimonio informativo aziendale.
2) Strategia. Sviluppare la giusta visione di insieme (ad esempio, chiedersi se con lo smart working sistematico dei dipendenti si sono aggiunte falle di sicurezza e dove).
3) Visione olistica. Guardare alla sicurezza informatica come un processo non come un prodotto, agendo in modo sostenibile e decidendo dove investire nel modo corretto le proprie risorse economiche.
4) Pianificazione. Le imprese dovrebbero agire con un approccio di lungo termine e, al contempo, eseguire interventi quick-win.
5) Interdisciplinarità. Per aumentare la resilienza ai rischi cyber occorre interdisciplinarità, perché il cybercrime stesso agisce con attacchi che si basano sull’amalgama di molte discipline.
6) Elemento umano. Azioni di awareness per chi può subire un attacco cyber, di training e learning by doing per chi deve difendere l’azienda e per chi deve decidere, avendo un piano formativo strutturato e sostenibile, in cui il Ciso sia “interconnesso” con l’azienda e le figure apicali.
7) Allenamento. Testare le difese aziendali, preparare il team di Security Incident Response e stimolare la sua “memoria muscolare” (l’agilità cognitiva) in situazioni di stress.
8) Sostenibilità. Parlare di sostenibilità della cybersecurity non significa riferirsi agli aspetti energivori, ma approcciare la tematica in termini di sostenibilità di governance, tecnologica, economica, di processo, umana e di conoscenze.
9) Comunicazione. Necessario ottimizzare la comunicazione tra i gruppi dirigenziali, i comitati consultivi, i team di leadership esecutiva, i CISO, le vittime, anche utilizzando la stampa ed i canali social. Un compito che spesso affronta il CISO stesso, senza una specifica preparazione.
10) Aggiornamento costante delle competenze.
Occorre tenere allineate ed aggiornate le competenze di un gran numero di figure professionali, con tecniche di formazione ed apprendimento efficaci. Insomma occorre un programma di azioni di breve, medio e lungo termine, basato sulle best practice cyber ma calato in modo sartoriale sulla propria realtà perché ogni azienda presenta rischi specifici.