In un contesto digitale dove l’Europa promuove l’apertura contro il lock-in dei giganti Usa, la direttiva NIS2 spinge la sicurezza informatica verso un processo più ampio, ma è solo uno degli strumenti disponibili. L’Owasp Top 10, ad esempio, fornisce già le basi per la gestione dei rischi. È però necessario andare oltre, promuovendo un salto di qualità, integrando principi di resilienza e continuità operativa (disaster recovery) direttamente nello sviluppo, in linea con la visione strategica europea.
È insomma arrivato il momento di una checklist di buone pratiche aperte, che potremmo chiamare Software Top 10.
Purtroppo oggi il panorama digitale globale operante sul Vecchio Continente è definito da due visioni divergenti, una forte dagli Usa e una flebile dall’Europa. Da un lato, i giganti statunitensi del web hanno costruito i loro imperi su modelli di business fondati sul lock-in dei dati e del software, creando ecosistemi chiusi che rendono difficile per gli utenti e le aziende migrare o interagire con servizi concorrenti. L’Europa continua a comprare servizi che esportano denaro e lavoro senza rispettare le normative locali.
Dall’altro, l’Europa sta promuovendo attivamente una visione opposta: un mercato digitale unico, aperto e interoperabile, privo di queste barriere. Già oggi i fornitori di servizi europei potrebbero assorbire forti commesse pubbliche, che però non arrivano mai.
È in questo contesto di de-commoditizzazione e apertura che normative come la Direttiva NIS2 trovano il loro vero significato. Questa transizione, se questo diventerà, ha un grosso peso e incertezza: per governarla abbiamo bisogno non solo di nuovi standard, ma anche di molto buon senso.
Specificamente per la sicurezza delle applicazioni abbiamo già un punto di riferimento solido come l’Owasp Top 10, che si concentra sulle vulnerabilità delle applicazioni web, offrendo un punto di partenza anche per la conformità alla NIS2. Per fare un esempio, il requisito di “gestione dei rischi” della direttiva può essere affrontato direttamente mitigando alcuni rischi elencati nell’Owasp Top 10, come il Broken Access Control e gli Injection flaws. Alcune narrazioni su questa norma sembrano dire che per la compatibilità basti un solo DRaas (disaster recovery as a service) o poco più, ma in realtà non è così e non basterà aggiungere un ulteriore pacchetto ai quaranta che già si affastellano negli accartocciati data center attuali. Il focus sulla resilienza dei sistemi informatici imposto dalla NIS2 amplia la prospettiva dal singolo bug di codice alla gestione complessiva della sicurezza, il che rende essenziale un approccio proattivo e completo.
Ma non esiste solo la sicurezza. Per questo è forse tempo di proporre un framework più ampio, che senza fantasia chiameremo Software Top 10. Questo nuovo decalogo dovrebbe abbracciare la filosofia europea per lungo tempo.
La resilienza della Software Top 10
La lista Software Top 10 promuoverebbe un approccio più ampio alla qualità sin dalla fase di progettazione, integrandosi con Owasp Top 10 e successivi impianti di sicurezza, garantendo alle aziende proprietà e portabilità di dati ed applicazioni.
Alcuni esempi di punti per la checklist potrebbero essere le API per i dati pubblici in modalità cloud-native, magari come cluster di managed Kubernetes; la documentazione in repository Git con pubblicazione sulla Dop (Digital operating platform) e conservazione a lungo termine in STaaS (Storage as a Service) con policy di immutabilità; dashboard di progetto con metriche in tempo reale (sempre della Dop) con Rag (Retrieval augmented generation) per trasformare questi dati in risposte analitiche. Si pensi come questo punto spingerebbe in avanti verso l’integrazione a livello europeo.
La direttiva NIS2, come già detto, impone alle aziende di implementare misure di Disaster Recovery e continuità operativa. Questo concetto si integrerebbe perfettamente con i principi della Software Top 10 nella promozione di architetture resilienti e di framework di data ownership facilmente integrabili nell’IT esistente con una gestione moderna che elimina i problemi di egress cost: i dati standardizzati e interoperabili sono più facili da migrare e ripristinare su nuove infrastrutture in caso di disastro.
Nella gioia di innovare e standardizzare, non bisogna trascurare il lavoro pregresso. Tutte le operazioni previste da Owasp Top10, da NIS2 e dalla nostra ipotetica Software Top 10 dovrebbero essere rese compatibili con una lunga lista di standard. Certamente l’Iso/Iec 27001, che riguarda i sistemi di gestione della sicurezza delle informazioni, e l’Iso/Iec 27034 che si concentra sulla sicurezza delle applicazioni, ma anche altri come il Pmbok, Project Management Body of Knowledge pubblicato dal Project Management Institute.
Per ora, però, all’orizzonte non c’è nulla: chi ha proposte, si faccia avanti!