Complessità e cambiamento
Sintesi delle relazioni presentate al XIX Congresso ANSSAIF[1].
Il Congresso si è aperto con la relazione del professor Luigi di Marco che ha iniziato ponendo il seguente interrogativo ai presenti: “ci troviamo di fronte ad un cambiamento o ad una evoluzione? “.
Di Marco ha giustamente e brevemente Illustrato che cosa è un cambiamento. Il cambiamento è tutto ciò che esce dallo standard in più o in meno. I nostri 5 sensi sono i primi percettori. la filosofia ha aggiunto quelli emozionali. Come possiamo capire qual è lo standard? Innanzitutto, si parte dall’esperimento, si fa “esperienza”. Così si trasforma l’esperienza in “nozione” (scienza), essa, nella sua condivisione, diviene “conoscenza” che infine matura in “consapevolezza” condivisibile. Per un normale sviluppo, questi quattro pilastri, angoli di un immaginario quadrilatero, racchiudono la “responsabilità” che altro non è che la individuazione dello standard a cui tendiamo.
Il Prefetto Domenico Vulpiani ha ampiamente affrontato e documentato il tema del conflitto in Ucraina, ossia di una guerra convenzionale ibrida ed asimmetrica che ha comportato un elevato aumento di tecniche di guerra cibernetica, quali ad esempio la disinformazione e la propaganda, nonché veri e propri attacchi alle infrastrutture. Il prefetto si è anche soffermato sull’evoluzione del crimine informatico: dalle sfide dei giovani ad Anonymous, dalle sfide alle grandi imprese, ai ricatti ed ai blocchi dei servizi essenziali.
Corrado Giustozzi si è agganciato ai relatori precedenti per affermare che siamo in un periodo di “Impensabile complessità” e delinea lo sviluppo dell’ICT nel tempo: dai mainframe non interconnessi ad una rete di nodi interconnessi amministrata da tutti. Alla complessità di una rete altamente magliata, si devono anche aggiungere – ad esempio – problemi derivanti dalla distribuzione e riuso del software “open”.
Dove c’è complessità – ha precisato Giustozzi – c’è difficoltà di gestione e di comprensione del contesto. Siamo comunque pronti a gestirla? No. Tante sono le organizzazioni che hanno investito in misure di sicurezza preventive, ma – ad esempio – non hanno fatto nulla per la reazione agli attacchi.
Giustozzi ha poi concluso con un invito: portiamo il CISO nel board!
Laura Schiavon ha aggiunto alle indicazioni dei relatori che l’hanno preceduta un ulteriore allarme: molte sono le organizzazioni che ritengono di aver realizzato una ottima difesa per le informazioni ed i dati da loro gestiti avendo ottenuto una certificazione di terza parte relativamente ad uno standard specifico internazionale. La sua esperienza, quale consulente, è che queste organizzazioni si devono ricordare che gli standard aiutano a disegnare sistemi di gestione che nascono per dare un indirizzo alle organizzazioni finalizzato a realizzare e gestire le strategie di sicurezza. La dottoressa Schiavon ha fornito diversi esempi e sottolineato che uno dei più frequenti errori compiuti consiste nel non dare la giusta attenzione ai rischi derivanti dalla filiera operativa.
Elisabetta Nori fa riferimento in particolare al Prefetto Vulpiani che ha sottolineato un invito del presidente Mattarella a pensare a nuovi domini quali lo Spazio, la dimensione cibernetica ed anche lo spazio subacqueo.
La dottoressa Nori ha trattato brevemente il tema del contributo dello Spazio alla sostenibilità. La tecnologia spaziale rappresenta uno strumento prezioso a servizio della sostenibilità, ha affermato, illustrando alcuni esempi a diversa scala: da scala globale a locale, dallo studio del cambiamento climatico, all’agricoltura di precisione. Al momento il settore Spazio stesso sta affrontando alcune sfide sulla sostenibilità, quali: la riduzione dei detriti spaziali, l’incremento della cybersecurity, il potenziamento di una governance dello Spazio, globalmente riconosciuta.
In conclusione, Nori ha evidenziato che la tecnologia spaziale, correttamente utilizzata, è sempre più presente ed a servizio della persona e della sostenibilità; infatti può identificare le relative aree di priorità di intervento, ottimizzando l’uso delle risorse e riducendo i tempi di realizzazione.
Elio Ciaccia, facendo seguito a quanto illustrato dal relatore precedente, nel suo intervento ha documentato la crescente impossibilità per il Pianeta di rigenerare risorse naturali per far fronte ai trend attuali di consumo, ove si consideri aggiuntivamente l’iniquità della loro distribuzione e la dinamica demografica. Occorre combinare in termini nuovi Sostenibilità e Resilienza.
Per questo bisogna passare dal mantra dall’Efficienza (tipico della rivoluzione industriale) a quello della Adattività (ricombinare in termini nuovi natura e benessere diffuso).
Un percorso progressivo e non facile nel quale occorre:
– agire (consumare meno, consumare equamente tutti)
– non promuovere insostenibili emulazioni di stili di vita
Un ruolo fondamentale hanno:
– la cultura diffusa
– la ricerca scientifica, l’innovazione tecnologica, l’istruzione e la formazione continua
– le generazioni emergenti su cui grava il futuro e spetta il protagonismo nelle scelte
– le religioni: cristiana, ebraica, islamica, orientali
Alla conclusione del suo intervento ha invitato ANSSAIF a proseguire nell’analisi e nell’individuare il come concretamente “fare” e testimoniare consapevolezza.
Fernando Simonacci, esperto ICT e con una lunga esperienza di lavoro anche nella pubblica amministrazione (PA), pone subito l’accento sui maggiori incidenti cyber che, secondo i dati pubblicati recentemente da ENISA, sono registrati dalla sanità, PA e fornitori digitali. E’ da notare che nella PA poco più del 50% degli enti ha un piano di disaster recovery e business continuity. A sollecitare ulteriori interventi di cyber security ci ha pensato ora la NIS2, direttiva comunitaria che pone l’attenzione anche alla supply chain. Purtroppo, malgrado gli investimenti in infrastrutture e strumenti, nella PA esistono ancora dei problemi burocratici che rallentano quei provvedimenti che invece richiedono rapidità di decisione; Simonacci fornisce alcuni esempi tratti dalla sua esperienza personale.
Il relatore ha quindi ricordato l’importanza di adottare tecniche di resilienza organizzativa che vedono il ruolo fondamentale del management nel:
– prevenire l’inatteso,
– contenere gli effetti del danno,
– imparare dagli errori e soprattutto
– essere di esempio ed aiuto al personale.
Federico Severoni si aggancia alla relazione di Simonacci nel ricordare il contributo alla resilienza organizzativa che lo standard ISO 22316 fornisce, ponendo al centro dell’attenzione il ruolo della leadership e del management.
Segnala quindi due problemi che rendono difficile la diffusione e l’implementazione della cyber security; il primo è la ridotta dimensione delle imprese (in Italia rappresentano il 95% del totale) con conseguenti difficoltà nel conciliare piani a breve e medio termine e nel seguire le indicazioni della resilienza organizzativa. Il secondo riguarda diverse grandi organizzazioni internazionali nelle quali, secondo una recente indagine, vi sono difficoltà derivanti da fattori quali:
– la distanza dal potere dei lavoratori,
– la “mascolinità e femminilità”, e
– la generale difficoltà nella gestione dell’incertezza che rendono difficile la pianificazione a breve e medio termine specialmente in questo particolare momento a livello globale.
Un momento particolare della giornata è consistito nella relazione sul Metaverso presentata da tre dei soci giovani di ANSSAIF: Valentina Procopio, Claudio Lopez, Bruno Mernone[2]. I tre relatori si sono suddivisi il compito anche in base ai loro studi (giuridica per Procopio e Mernone, ingegneristica Lopes) e, dopo una illustrazione del significato e nascita del Metaverso, sono stati illustrati:
– esempi di applicazioni (una laurea ed una festa di matrimonio virtuali),
– problematiche emerse nel corso di una audizione alla Commissione Affari Costituzionali sul Metaverso,
– una disanima delle possibili opportunità ed incertezze per investimenti (che già sono molto avviati),
– chi sono gli attuali maggiori investitori,
– quali i Metaversi più diffusi.
Tra le carenze, i relatori hanno sottolineato la non definizione di chi gestirà i metaversi, quali leggi sono applicabili, le responsabilità relative ai contratti stipulati, la certezza di chi c’è dietro un avatar.
Si suggerisce di ascoltare sul sito le interessanti relazioni.
[1] Sul sito ( www.anssaif.eu ) nella sezione Articoli si possono trovare le registrazioni dei singoli interventi.
[2] Ben quattro sono stati i Soci giovani che hanno presentato una relazione al Congresso (Severoni, Procopio, Lopes e Mernone) e ciò costituisce una grande soddisfazione per tutta l’Associazione.
___________________________________________________________________
Analizziamo l’affermazione di Corrado Giustozzi alla luce delle relazioni del XIX Congresso ANSSAIF
La domanda del prof. Di Marco “ci troviamo di fronte ad un cambiamento o ad una evoluzione?”, mi ha stuzzicato e mi ha indotto a “leggere” le singole relazioni cercando di capire se fornissero una risposta all’interrogativo, che ho interpretato in questo modo: << Quando si afferma che le organizzazioni non sanno gestire i cambiamenti con le conseguenze che stiamo osservando, è perché siamo di fronte a dei cambiamenti dovuti a delle gravi minacce assolutamente non prevedibili, oppure ciò che è avvenuto è una evoluzione / involuzione di problemi e minacce latenti? >>.
La rilettura delle relazioni presentate dagli illustri invitati mi hanno fornito elementi per dare una risposta al citato interrogativo. E in questa direzione sviluppo le mie riflessioni e le sottopongo ai Soci ed agli amici di ANSSAIF.
Il Prefetto Vulpiani ci ha parlato dell’evoluzione del crimine informatico che, come confermato da Giustozzi, esiste – in altra forma- da diversi anni. Senz’altro la (preannunciata) guerra in corso ha un suo ruolo nell’apportare danni, ma la diffusione e aggravamento delle conseguenze sono possibili derivando in larga parte dalla struttura stessa di Internet: un numero enorme di nodi interconnessi. I relatori che si sono succeduti hanno confermato la definizione di Giustozzi, ossia di una ” impensabile complessità”. Sappiamo che dove c’è complessità c’è difficoltà di gestione e ciò può aprire più strade agli errori ed al crimine.
Gli altri illustri relatori hanno lanciato allarmi e soluzioni su settori ed aree in pericolo: la pubblica amministrazione, lo Spazio, le filiere operative, e così via. Giustamente è stata posta anche enfasi sulla non piena comprensione – da parte di molte organizzazioni – delle finalità di metodologie e modelli specifici per realizzare opportuni sistemi di gestione; non ultimo, è stata ricordata la resilienza organizzativa che ha al suo centro la persona umana: dai leaders ai manager e sino ai più giovani collaboratori, tutti uniti nell’assorbire ed adattarsi ad un ambiente che cambia.
Non possiamo infine dimenticare il cosiddetto cambiamento climatico. Effettivamente stiamo vivendo un momento di riscaldamento globale con chiare conseguenze sulla vita e la sopravvivenza delle persone e sulla continuità del business, con possibili impatti ancora più disastrosi sulle prossime generazioni.
Ritorniamo alla domanda iniziale: i problemi e disastri che avvengono sono dovuti a non aver saputo gestire il cambiamento o l’evoluzione?
Provo a fare una rapida disanima:
- Information security: notevoli progressi si sono avuti in questi ultimi anni, e l’impegno nazionale e dell’Europa è consistente. Una impensabile complessità è derivante dal non aver considerato la Security sin dall’inizio (nel 1980 ero in PW e proposi ad una grande impresa italiana di proteggere gli asset con user e password. Il CIO rise! E così i suoi collaboratori); Aggravata ora dalla guerra in atto. Direi che trattasi di una evoluzione non gestita correttamente.
- Protezione degli asset e continuità del business: la conformità ai framework e standard è stata gestita in modo non convinto, come se non fossimo in guerra con criminali internazionali. Direi che trattasi di una evoluzione non gestita.
- Difficoltà nel reperimento di talenti e nel trattenerli in azienda: le organizzazioni sono ancora gestite come ai vecchi tempi. I giovani sono cresciuti: desiderano apprendere, crescere, avere esperienze diverse; cercano collaborazione, rispetto, un ambiente che ispiri fiducia specialmente da parte dei leader e manager, sostenibilità nelle scelte. Si possono ricordare gli inviti ai leader e manager degli anni ’80 e ’90 riassumibili con parole come “Trust” e “love all” (Es.: “Alla ricerca dell’eccellenza”, “Il circolo della qualità”, ecc.). Ultimamente il problema sembra non riguardare solo i talenti, ma tutti gli specialisti che abbandonano le aziende o emigrano. Direi che trattasi di una evoluzione non gestita.
- Lo Spazio: grandi progressi e potenzialità ai quali anche l’Italia ha dato un forte e concreto contributo. Sono auspicabili miglioramenti nella governance e nella gestione dello Spazio come bene dell’umanità. Direi che anche in questo caso trattasi di una evoluzione che ha accentuato il divario sociale e geopolitico più che un cambiamento epocale.
- La pandemia di COVID-19: in Italia e nel mondo vi sono state epidemie disastrose per secoli; e le contromisure opportune furono inventate e gestite più di 500 anni fa (es.: Venezia, XVI secolo: invenzione del Lazzaretto, della Quarantena, di opportune Mascherine per i medici, ecc.). Direi che trattasi di una evoluzione non gestita, più che un cambiamento epocale.
- Il riscaldamento globale: i cambiamenti climatici sono esistiti da quando esiste l’Universo, ma ora vi è una accelerazione negativa correlata all’aumento dell’inquinamento, con conseguenze disastrose sui cittadini, la viabilità, le aziende. In questo caso, considerata bla rapidità, potremmo dire che si tratta di un cambiamento, anche se gli allarmi sono stati annunciati e accolti solo superficialmente da molto tempo.
- Il peggioramento delle relazioni internazionali: l’attacco della Russia all’Ucraina ha messo in crisi un equilibrio commerciale mondiale. Forse sarebbe esploso comunque. Prevedibile? Se guardiamo agli ultimi 20 anni possiamo dire di sì. Direi che trattasi di una evoluzione non gestita.
Mi fermo qui e formulo una domanda che forse si pone anche chi è arrivato a leggere fin qui: possiamo continuare a dire che dobbiamo gestire il cambiamento?
Oppure dobbiamo ammettere che non sappiamo prepararci a gestire le evoluzioni, che nel tempo avvengono, per varie ragioni quali la scoperta e rapida realizzazione di nuove tecnologie, la globalizzazione, la riduzione nelle materie prime, la crescita della popolazione, e così via?
Il grande cambiamento, che mi appare sia emerso dal Congresso e che condivido, può essere riassunto con le parole di Giustozzi: siamo in un periodo di
impensabile complessità!
Non eravamo (e non lo siamo ancora a mio parere) pronti a gestire la grande complessità del mondo di oggi.
Siamo come il pescatore uscito in mare aperto il cui unico filo con ami e piombi si è intrecciato in un modo disastroso? Non può gettare via la matassa che si è formata e quindi deve provare con pazienza a districarla, mentre le onde scuotono la barca e la mettono di traverso al vento, rendendo così ancora più difficile il compito.
Anche noi esperti di Security mettiamoci all’opera.
Rimbocchiamoci le maniche, e, mentre lavoriamo, pensiamo al prossimo futuro preparando i giovani.
Anthony Cecil Wright