Gli Stati Uniti sono in procinto di lanciare uno sportello dedicato a linee guida da seguire in tema di cyber security. “Cyber.gov – questo il nome del portale – sarà un raccoglitore di best practice“, ha annunciato durante un summit a Washington Greg Touhill, primo capo della sicurezza informatica ameriana. “Ci siamo focalizzati sull’attuazione di buone pratiche all’interno delle organizzazioni”, ha rimarcato il chief information security officer (Ciso) federale, che non crede che “le norme siano sempre il miglior approccio” poiché “le regole non producono best practice mentre sono le best practice a produrre le norme”.
Touhill, in carica da settembre, ritiene che venga ancora applicata una serie di politiche ormai obsolete: “Il fatto che le agenzie seguano criteri risalenti al 2003 – ha detto – non vuol dire che quei criteri siano i migliori per combattere le minacce informatiche. Quasi ogni singolo caso di incidente informatico su cui interviene l’Industrial Control Systems Cyber Emergency Response Team, potrebbe essere evitato. L’incapacità di tenere i sistemi correttamente aggiornati e configurati, l’uso di password e username cui si risale troppo facilmente, strumenti vecchi e non adeguatamente supportati ed esecuzione di codici malevoli sono problemi prevedibili, che portano a fallimenti colossali. Credo che uno dei fattori che porta a questi fallimenti – ha spiegato – sia proprio la scorretta gestione del rischio. Ed è qui che Cyber.gov può intervenire”.
Touhill ha poi aggiunto: “Diventeremo partner di tutti i governi statali, degli enti governativi e di organizzazioni come il Nist, in modo da avere un sportello unico agevole per la cyber informazione che tratti obiettivi, strategie, implementazione strategica, best practice e interessi comuni. Ovviamente, i lavori sono ancora in corso”. Il sito, infatti, dovrebbe essere online entro un paio di settimane e lo staff di Touhill, a quanto detto, sta lavorando sulla redazione degli orientamenti di base per il sito. Il capo della sicurezza informatica Usa vorrebbe, inoltre, stabilire un consiglio consultivo con Ciso e rappresentanti del settore privato “per aiutarci a infondere alcune buone idee”.
La cyber-igiene è solo una parte dell’approccio su più fronti per la cyber security di Touhill, secondo il quale innovazione, investimenti, e informazione devono essere una risorsa, così come un personale formato e sempre aggiornato. Per questo motivo, nel 2017 sono state introdotte nuove tecniche di educazione e formazione. Secondo Touhill, i corsi di aggiornamento in campo informatico non possono essere rappresentati esclusivamente da software di revisione teorici con cadenza annuale. “Ci concentriamo troppo su tecnologia e roba da tastiera” ha commentato, mentre invece si dovrebbe lavorare anche su questioni più semplici, “dove le autorità di vigilanza devono operare a stretto contatto con i dipendenti per identificare le informazioni chiave e le modalità per proteggerle. Seguiremo un approccio olistico per rinforzare, formare ed esercitare il personale. Non si tratterà solo di una strategia annuale, ma la renderemo un qualcosa di continuo, rendendola interessante e coinvolgente”, ha affermato Touhill, che ha inoltre suggerito una competizione amichevole tra le agenzie governative. “Dobbiamo fare in modo che l’impegno non sia solo a livello federale, ma che tutti nel Paese si concentrino sulla cyber security sulle modalità per gestire il rischio”.
Tra le iniziative suggerite da Touhill anche il coinvolgimento di studenti giovani e meno giovani: “Non sarebbe bello se i ragazzi delle scuole americane usassero la loro energia e la loro creatività per realizzare qualcosa di efficace e duraturo nel campo della cyber security? Sarebbe un ottimo modo per incentivare i ragazzi a scegliere professioni del campo informatico”, ha concluso.
