SlideShare une entreprise Scribd logo
1  sur  18
Télécharger pour lire hors ligne
Dalla
Compliance a un
Approccio Risk
Based per la
Cybersecurity
2015
Gennaio 2015
© The Innovation Group - 2015 | 1
© The Innovation Group - 2015 | 2
DALLA COMPLIANCE A
UN APPROCCIO RISK
BASED PER LA
CYBERSECURITY
UNA RICERCA DI:
© The Innovation Group - 2015 | 3
CYBERSECURITY & RISK MANAGEMENT LEADERSHIP PROGRAM
Il presente documento è parte dell’attività di Ricerca di The Innovation Group rivolta agli
iscritti a un programma di attività specifico sui temi della Cybersecurity e del Risk
Management. Si tratta di un programma di elevato profilo per favorire la diffusione di
conoscenza sul tema del controllo e della mitigazione del Rischio Cyber, arricchito dalla
partecipazione di Deloitte Italia, in veste di Partner tecnico nello sviluppo dei contenuti,
e di un Advisory Board di esperti e di aziende Leader del settore.
Gli iscritti al programma possono infatti partecipare a:
Workshop e Roundtable dedicate, per entrare in contatto con esperti ed essere
aggiornati sugli ultimi trend dell’industria.
Webinar: una serie di appuntamenti nel corso del 2015 per essere informati sui temi più
attuali del momento.
Canale tematico: un sito con news, commenti sulle evoluzioni normative in corso,
interviste a CSO, Security e Risk Manager.
Ricerche: una selezione di ricerche e studi costantemente aggiornata, oltre che indagini,
survey ed approfondimenti prodotti dagli Analisti di mercato di The Innovation Group e
dal Partner Tecnico Deloitte Italia.
Discussioni: la possibilità di partecipare a dibattiti con gli altri iscritti al programma.
Newsletter: per rimanere in contatto ed essere informati sulle attività e i contenuti del
programma.
Il Cybersecurity e Risk Management Leadership Program ha lo scopo di aiutare le aziende
di diversa estrazione, le organizzazioni, i diversi stakeholder della tematica ad
individuare i gap della propria situazione e le possibili risposte per il miglioramento del
profilo di Cyber Risk, rivolgendosi a coloro che a vario titolo sono coinvolti nelle scelte
legate alla sicurezza in azienda.
Roberto Masiero
Co-Founder
The Innovation Group
Ezio Viola
Co-Founder
The Innovation Group
© The Innovation Group - 2015 | 4
SOMMARIO
INTRODUZIONE 5
DOVE NASCE L’ESIGENZA DI UN APPROCCIO RISK-BASED 6
COME PASSARE NELLA PRATICA DA UN APPROCCIO COMPLIANCE-
BASED A UNO RISK-BASED PER LA CYBERSECURITY 7
APPROCCIO RISK-BASED DELL’EUROPEAN DATA PROTECTION
REGULATION 9
APPROCCIO RISK-BASED DELLA DIRETTIVA NIS (NETWORK AND
INFORMATION SECURITY) 11
CONCLUSIONI 13
BIBLIOGRAFIA 14
© The Innovation Group - 2015 | 5
INTRODUZIONE
Oggi più che mai cybersecurity e risk management sono due practice strettamente
legate.
Un approccio di tipo risk-based nell’affrontare problematiche di cybersecurity, oltre a
riportare nel suo corretto alveo la gestione di uno dei più importanti rischi che
un’azienda si trova oggi ad affrontare, per la presenza e la pervasività dell’informatica,
presenta innegabili vantaggi dal punto di vista economico, permettendo di definire un
giusto investimento per la sicurezza delle informazioni e delle risorse ICT, correlato a una
valutazione economica del rischio.
Questo orientamento è sempre più presente anche negli interventi che Regulators
italiani ed europei stanno facendo sulla cybersecurity.
La tendenza è iniziata fin dalla stesura delle specifiche di Basilea III, da parte della BCE,
poi riprese dalla Circolare 263 di Banca d’Italia “Nuove disposizioni di vigilanza
prudenziale per le banche”.
La circolare, nel suo aggiornamento del 2 luglio 2013, fa esplicito riferimento alla
necessità di un Risk Appetite Framework nel modulare la qualità e la quantità di
interventi necessari a definire la robustezza del sistema informativo, sia che questo sia
interno alla banca o in outsourcing presso società controllate o, ancora, completamente
esternalizzato. Per le banche d’altronde l’approccio risk-based è una necessità, dal
momento che l’accantonamento di capitale richiesto da Basilea III per garantire la
solidità di queste istituzioni finanziarie è proporzionale alle risultanze di una
approfondita analisi del rischio, comrpesa la componente ICT.
Oggi però ci sono 2 altri interventi importanti che l’Unione Europea ha in cantiere, legati
alla cybersecurity e altrettanto caratterizzati da un approccio risk-based. Parliamo della
“European Data Protection Regulation” e della Direttiva su “Network and Information
Security (NIS)”.
Il presente documento vuole essere un primo contributo al tema della gestione del
rischio cyber e dell’evoluzione da un approccio compliance-based verso un approccio
alla cybersecurity basato sulla valutazione e gestione del rischio. A questo ne seguiranno
altri, di approfondimento sulle normative in fase di emissione a livello nazionale ed
internazionale, sulla loro evoluzione, sulle richieste in termini di conformità e sugli
impatti specifici per le singole realtà aziendali.
La circolare 263 di Banca
d’Italia, nel suo
aggiornamento del 2 luglio
2013, fa esplicito
riferimento al Risk Appetite
Framework, nel modulare
la qualità e la quantità di
interventi necessari a
definire la robustezza del
sistema informativo, sia
che questo sia interno alla
banca o in outsourcing
presso società controllate o
completamente
esternalizzato
© The Innovation Group - 2015 | 6
DOVE NASCE L’ESIGENZA DI UN APPROCCIO RISK-BASED
C’è un rischio molto specifico per cui oggi molte aziende private e organizzazioni
pubbliche risultano non preparate: quello relativo alle tecnologie ICT e alla gestione dei
dati e delle informazioni critiche per la singola realtà.
La digitalizzazione ha infatti comportato una crescita enorme del rischio associato ai
sistemi ICT, dovuto alla facilità con cui possono avvenire furti di dati e di Intellectual
Property, il sabotaggio, danni alla continuità del business, il denial of service, il danno di
reputazione e quant’altro.
Al giorno d’oggi non sono più soltanto le organizzazioni “information intensive” (come
banche, utilities, pubbliche amministrazioni) a risultare particolarmente sensibili a
queste tematiche, ma il tema interessa oramai tutti, comprese le piccole aziende che
partecipano spesso a supply chain estese, e possono quindi diventare l’anello debole di
una catena più ampia.
Normalmente le aziende impostano i propri programmi per la cybersecurity sui seguenti
elementi:
 Compliance alle norme: sono valutati gli adempimenti richiesti, ad esempio quanto
è previsto dalle leggi sulla Privacy (D.Lgs 196/2003) o sulle responsabilità degli
Amministratori (D.Lgs 231/01).
 Tecnologia: scelta di un mix di soluzioni per ridurre la vulnerabilità dei sistemi
utilizzati nell’organizzazione (antivirus, antispam e antiphishing, firewall, intrusion
detection e prevention, data leakage protection, ecc.).
 Servizi: consulenza, vulnerability assessment, managed services e formazione sulle
tematiche della cyber security.
Inevitabilmente nel far questo le organizzazioni si trovano nella necessità di dover
affrontare dei costi – e a questo punto comincia ad apparire evidente che il livello di
investimento per la sicurezza deve essere rapportato a un’esigenza imputabile solo alla
singola realtà, e che non può essere determinato da ragioni di compliance.
In sostanza, il livello di investimento va correlato al rischio (reputazionale, di continuità
operativa, finanziario, verso i partner/i clienti) che la singola realtà ritiene di poter
sostenere. Il livello di investimento in cyber security è quindi collegato strettamente alla
business strategy. Va anche considerato che policy di sicurezza eccessivamente
stringenti possono essere vissute dalle persone come un impedimento al business,
risultando di fatto un freno alla capacità dell’azienda di innovare, partecipare a modalità
aperte di collaborazione con terze parti, essere flessibile e rapida nel proprio mercato.
Per seguire un approccio concreto nella definizione di una precisa strategia per la
cybersecurity, correttamente correlata ai bisogni del business, i responsabili di questo
ambito devono partire da un risk assessment che prenda in considerazione almeno le
seguenti classi di rischio specifiche per il mondo ICT:
© The Innovation Group - 2015 | 7
 Rischio di non-compliance: la compliance non deve essere l’unico punto di partenza
per le scelte in materia di cybersecurity, ma si deve comunque considerare
obbligatoria in quanto non rispettarla comporta rischi di sanzioni economiche e di
perdità di credibilità dell’azienda verso il suo mercato. Questo vale oggi in particolar
modo per quanto riguarda la Data Protection, così come richiesta dalle norme
relative alla Privacy.
 Rischio associato ad incidenti che possono seguire un attacco informatico o un data
breach: si possono fare simulazioni di quanto costa a un’azienda la temporanea
inattività dei suoi dipendenti nel caso di interruzione delle operation ICT. Per quanto
riguarda il furto di dati, il danno economico dipende molto dal valore delle
informazioni o può rientrare in un caso di non-compliance per i dati personali.
 Rischio reputazionale: ci sono stati molti casi in cui la non disponibilità di un
servizio, per qualche ora o per interi giorni, ha seriamente danneggiato l’immagine
di istituzioni importanti, ad esempio banche. Ancora peggio sarebbe se venissero
alla luce informazioni su data breach di grandi dimensioni come quelle apparse negli
ultimi anni per quanto riguarda importanti corporation USA. Le nuove norme sulla
Privacy a livello europeo vogliono introdurre la pratica della notifica del data breach,
per cui ci dobbiamo aspettare forti impatti sul fronte reputazionale.
 Rischi legati ai fornitori di servizi e tecnologie digitali. In un economia sempre più
interconnessa, con risorse, dati e servizi che tendono a sposarsi in cloud per
risultare più economici ed efficienti, il rischio di avere un fornitore che non offre
garanzie sufficienti può essere rilevante, e deve essere considerato dalle policy
aziendali. Lo stesso tema vale per la qualità dei prodotti e del software, che devono
il più possibile risultare esenti da vulnerabilità note.
Questo sono solo alcuni degli aspetti che impattano nella determinazione del rischio
Cyber della singola organizzazione: una volta identificati, le aziende devono procedere
alla scelta della propria strategia di risk management. In sostanza, una volta identificati i
rischi bisogna scegliere la strategia più opportuna, dal trasferimento del rischio a terze
parti, all'evitare il rischio, al ridurne gli effetti negativi e infine all'accettare in parte o
totalmente le conseguenze di un particolare rischio. Infine, le aziende devono stabilire
come modificare l’organizzazione e i processi interni in modo da consolidare questo
nuovo modus operandi.
COME PASSARE NELLA PRATICA DA UN APPROCCIO COMPLIANCE-
BASED A UNO RISK-BASED PER LA CYBERSECURITY
I Chief Information Security Officer si chiedono oggi quale è il modo più efficace per
passare a un approccio risk-based nelle scelte relative alla strategia per la cybersecurity.
Da una discussione tra CISO, membri della community Wisegate
1
, essi hanno identificato
3 azioni prioritarie:
1. La compliance deve diventare un elemento del profilo di rischio complessivo
dell’organizzazione: le norme rimangono ma i manager devono cominciare a
pensare in termini di “livello di rischio accettabile”.
1
“Moving From Compliance to Risk-Based Security: CISOs Reveal Practical Tips” , Wisegate Community
Viewpoints, 2013
© The Innovation Group - 2015 | 8
2. Bisogna essere consapevoli del fatto che la tolleranza al rischio della singola
organizzazione cambia nel tempo. Un profilo di rischio sta a indicare il livello di
accettazione dello stesso in un particolare momento, e inevitabilmente cambia nel
tempo. Dal momento che è difficile definire in anticipo il livello di rischio, è utile
avere conversazioni frequenti a tutti i livelli del management.
3. Infine, è fondamentale far sì che la gestione del rischio sia efficace, e per far questo
bisogna aver disegnato il risk management a livello strategico, tattico e operativo.
Un’organizzazione che comincia ad avvicinarsi a un approccio risk-based deve
innanzi tutto testare le soluzioni per la valutazione del rischio; deve lavorare alla
comprensione del risk profile e collaborare con terze parti nella realizzazione di risk
assessment.
Tabella 1: Il risk management della cybersecurity da un punto di vista strategico,
tattico e operativo
LIVELLO DESCRIZIONE
STRATEGICO
A questo livello, il focus è all’interno delle Line-of-business e
della definizione dei rispettivi obiettivi di gestione del
rischio cyber. I Manager della security devono sedersi con le
loro controparti dell’organizzazione – le aree HR, IT,
Amministrative, produttive e quant’altro – per parlare dei
rischi correnti e quanto questi avranno effetto sull’azienda
nei prossimi 3 anni. Ciascuno deve valutare quale rischio è
accettabile, quale trasferibile e quale può essere mitigato.
Attraverso la realizzazione di un’ampia Risk Impact Analysis i
manager arrivano a comprendere gli obiettivi generali del
Piano di Cybersecurity.
TATTICO
A livello tattico, continuano ad essere importanti gli
obiettivi, ma le attività del team della Security cominciano
ad orientarsi verso aspetti di performance nel controllo del
rischio. Vengono definite le misure minime e quindi si passa
a discutere con i manager delle varie Line-of-business in
quali ambiti è possibile assumersi maggiori rischi.
OPERATIVO
Al terzo livello, quello operativo, si passa alla definizione
delle single aree, dalle valutazioni dei rischi (risk
assessments) all’adozione di misure di sicurezza all’interno
dell’intero life cycle di qualsiasi progetto (SDLC, system
development life cycle), alle attività di monitoraggio
continuo, profili di rischio, controlli. A questo livello si
analizza quali controlli per la compliance sono già stati
avviati, si individuano eventuali gap, si identificano nuovi
strumenti dove questi possono servire.
© The Innovation Group - 2015 | 9
Un tema importante – che per ragioni di spazio rimandiamo a un successivo
approfondimento – è poi quello del calcolo del rischio da un punto di vista finanziario
(come è stato fatto ad esempio nel 2010 da ISA e ANSI
2
) tramite un modello basato su
alcuni parametri essenziali, come la probabilità che occorra un determinato evento, la
possibile perdita economica, la possibilità di trasferire in parte il rischio tramite una
polizza assicurativa.
APPROCCIO RISK-BASED DELL’EUROPEAN DATA PROTECTION
REGULATION
Il nuovo Regolamento concerne la tutela delle persone fisiche con riguardo al
trattamento dei dati personali e la libera circolazione di tali dati. Prenderà il posto di
precedenti direttive in materia, ed, in Italia, del D.Legs 196/2003 sulla Privacy.
Come Regolamento infatti, a differenza delle Direttive, che hanno una valenza
prettamente di “linee guida”, non necessita di un passaggio approvativo presso i
Parlamenti dei singoli Stati Membri, ma è subito oggetto di applicazione.
Nel Semestre europeo l'Italia avrebbe voluto fregiarsi dell'approvazione definitiva del
nuovo Regolamento, ma il Consiglio Europeo, presieduto lo scorso 4 dicembre dal nostro
ministro della Giustizia, ha esaminato il testo del Regolamento proposto dalla
Commissione ed emendato dal Parlamento Europeo, ed ha apportato ulteriori modifiche
che, di fatto, ne hanno fatto slittare l'approvazione definitiva a data che, per ora, è
impossibile predeterminare.
L'iter di approvazione degli atti dell'UE prevede infatti che la posizione adottata il 4
dicembre dal Consiglio debba essere ritrasmessa al Parlamento per una ulteriore
votazione. Quest'ultimo esaminerà la posizione del Consiglio e potrà approvare l'atto
oppure respingerlo. In caso di approvazione, dall'entrata in vigore del Regolamento (cioè
dalla data della sua pubblicazione in Gazzetta Ufficiale UE) alla sua applicabilità, devono
poi trascorrere due anni.
La European Data Protection Reform si caratterizza per l’introduzione di una serie di
novità riguardanti il disegno, la gestione ed il controllo dei dati personali (vedi Tabella 2),
proponendo un approccio meno prescrittivo in termini documentali, rispetto ad esempio
alla legislazione italiana, ma più legato ad aspetti realizzativi ed architetturali delle
soluzioni informatiche che stanno alla base dei trattamenti.
2
“The financial management of cyber risk”, 2010 Internet Security Alliance (ISA) / American National
Standards Institute (ANSI)
© The Innovation Group - 2015 | 10
Tabella 2: Principali requisiti del Nuovo Regolamento sulla Data Protection
Requisito Breve descrizione Punto del
Regolamento
Data Protection Officer
Data Processor
Joint Controller
Istituzione di precise figure legate al
trattamento dei dati personali: gestore del
trattamento, responsabile dal punto di vista
giuridico, controller
Capitolo IV -
Articolo 35
Privacy by design and by
default
Adozione di meccanismi di progettazione e
sviluppo nel ciclo di vita del software che
garantiscano il necessario livello di protezione
dei dati
Capitolo IV -
Articolo 23
Security of processing
Implementazione di misure tecniche ed
organizzative per assicurare un livello di
sicurezza nella gestione dei dati personali
appropriata ai rischi
Capitolo IV -
Articolo 30
Breach Notification
Obbligo di notifica dell'avvenuta violazione di
dati personali all'Autorità competente ed ai
singoli individui
Capitolo IV -
Articoli 31 e 32
Privacy impact
assessment
Attività di verifica d'impatto, nel caso di
processi che presentano specifici rischi nel
corso del trattamento dei dati personali
Capitolo IV -
Articolo 33
Record of data
processing activities
"Log" delle attività di trattamento dei dati, da
rendere disponibile alle autorità competenti
Capitolo IV -
Articolo 34
Consent & Transparency
Gestione dell'acquisizione del consenso ed
obbligo della trasparenza nel trattamento dei
dati personali
Capitolo II - III
Right to be forgotten
Gestione della richiesta di cancellazione e di
stop all'ulteriore diffusione dei dati personali,
su richiesta dell’interessato
Capitolo III -
Articolo 17
Right to data portability
Gestione della messa a disposizione dei dati
personali in un formato di uso comune, su
richiesta dell’interessato
Capitolo III -
Articolo 18
Fonte: The Innovation Group, gennaio 2015
L’aspetto più innovativo però, presente soprattutto nella revisione dell’ottobre 2014 a
cura del Consiglio dell’Unione Europea, sta nell’aver scelto un approccio risk-based alle
problematiche di compliance. Questo si riflette ad esempio nei seguenti punti del
capitolo IV del Regolamento, relativo alle misure attuative di carattere tecnologico e
organizzativo:
 L’articolo 23, che prevede che la privacy sia un requisito insito nella progettazione e
nella realizzazione del software di gestione dei dati (“privacy by design and by
default”), è stato emendato per renderlo più vicino al contesto di business della
singola azienda, in modo da tener conto della sua specifica natura, ampiezza,
contesto e obiettivi dei processi di gestione dei dati personali, così come della
probabilità e dell’ampiezza delle minacce ai diritti ed alle libertà degli individui che si
ritiene possano variare da caso a caso.
 Il livello delle misure di sicurezza che l’Articolo 30 considera “appropriate” è
determinato analizzando un più vasto spettro di fattori, incluse le tecnologie
disponibili; il costo di sviluppo; la natura, l’ampiezza, il contesto e gli obiettivi del
© The Innovation Group - 2015 | 11
processo di gestione dei dati personali. Inoltre non si deve prescindere da una
valutazione della probabilità ed ampiezza delle minacce coinvolte, e quindi dal
rischio effettivo e dal potenziale danno economico per la singola realtà aziendale.
 L’obbligo di riportare alle autorità nazionali ed europee le violazioni a dati personali
(data breach notification, Articoli 31 e 32) è limitato a quelle violazioni che
potrebbero comportare un elevato rischio ai diritti ed alle libertà degli individui: “se
i dati compromessi sono criptati o comunque protetti e rimangono quindi
inintelligibili, il data controller non ha l’obbligo di riportare tali violazioni”.
 Le attività di verifica d’impatto (“assessment”) relative alla protezione dei dati
personali, previste dall’articolo 33, sono richieste solo nel caso in cui si processino
dati ad alto livello di rischio per le libertà ed i diritti degli individui, come
discriminazione, furto d’identità, frodi o perdite finanziarie.
 L’articolo 34, che prevede la necessità di consultare le autorità responsabili della
protezione dei dati in tutti i casi in cui si intendano processare dati personali, è
limitato a quei casi in cui il mancato intervento di mitigazione operato da tali
autorità possa elevare in maniera anomala il livello di rischio.
 E’ stato emendato l’articolo 35, proponendo che la nomina del Data Protection
Officer (figura diversa dal Data Controller e dal Data Processor), inizialmente
obbligatoria per le PA e le aziende con oltre 250 dipendenti, sia volontaria, a meno
che le leggi dei singoli Stati Membri non lo prevedano già espressamente.
Per maggiori approfondimenti sulla tematica rimandiamo a un articolo sulla materia
della società Hunton & Williams LLP
3
.
APPROCCIO RISK-BASED DELLA DIRETTIVA NIS (NETWORK AND
INFORMATION SECURITY)
Un ulteriore intervento del Regulator europeo, che riguarda la cybersecurity, è dato
dalla Direttiva concernente le misure per assicurare un alto livello di sicurezza su reti ed
informazioni, comune a tutta l’Unione Europea.
La proposta è del 7 febbraio 2013 ed è stata approvata il 13 marzo 2014. Gli Stati
Membri dovranno implementare la Direttiva (che a differenza di un “regolamento”,
necessita di un passaggio approvativo presso i Parlamenti nazionali) entro 18 mesi dalla
sua adozione, ossia entro agosto 2015.
L’obiettivo è quello di garantire l’affidabilità e la continuità dei servizi digitali, che può
essere compromessa da incidenti nella sicurezza, quali errori umani, eventi naturali,
guasti tecnici o veri e propri attacchi informatici.
Tutto ciò con particolare riguardo per quei servizi essenziali che possono fermare il
mondo del business, generare sostanziali perdite finanziarie o avere effetti negativi sul
3
“Council of the European Union Proposes Risk-Based Approach to Compliance Obligations”, 29 ottobre 2014,
Hunton & Williams LLP.
© The Innovation Group - 2015 | 12
social welfare. Per questo vengono individuati una serie di operatori di servizi critici, a
cui vengono chiesti particolari azioni in termini di risk management e segnalazione dei
security incidents: le “Key Internet Companies”, il settore bancario e le Borse, il settore
energetico (ad es. le compagnie di produzione e distribuzione di elettricità e gas), il
settore della logistica e dei trasporti (aereo, navale, ferroviario e su gomma), la Sanità, la
Pubblica Amministrazione.
Agli Stati Membri sono richiesti i seguenti passaggi:
 Adozione di precisi Piani Nazionali e Strategie per contrastare il rischio Cyber.
 Costituzione di CERT (Computer Emergency Response Team) a livello nazionale,
adeguatamente muniti delle dovute risorse tecniche ed economiche.
 Avvio di un cooperation network a livello europeo per lo scambio di informazioni e
per tempestive segnalazioni di allarmi.
 Segnalazione di incidenti gravi e di significativo impatto sulla sicurezza dei servizi
core di una nazione.
 Enforcement, con possibilità di security audit da parte delle autorità competenti nei
diversi paesi.
Viene inoltre ribadito il ruolo dell’agenzia europea ENISA (European Network and
Information Security Agency), come organismo coordinatore delle azioni di sicurezza e
delle segnalazioni di incidenti. Ad ENISA è riservato anche un ruolo non tanto di
definizione dei livelli minimi di sicurezza, quanto quello di emettere linee guida e
raccomandazioni per l’adozione di “NIS benchmarks and good practices”.
Anche a questa direttiva, nella versione approvata del marzo 2014, sono stati apportati
degli emendamenti che vanno nella direzione di un risk based approach, restringendo
l’obbligo di notifica di incidenti gravi solo a quegli operatori che servono infrastrutture
critiche (escludendo i cosiddetti OTT, Over the Top Operators, quali aziende del calibro
di Google, Facebook, Apple, ecc.) e solo alla propria autorità nazionale, escludendo
l’obbligo che notifiche raccolte a livello nazionale vengano poi fatte circolare a livello di
Comunità Europea.
Alla direttiva, nella
versione approvata del
marzo 2014, sono stati
apportati degli
emendamenti che vanno
nella direzione di un risk
based approach,
restringendo l’obbligo di
notifica di incidenti gravi
solo a quegli operatori che
servono infrastrutture
critiche e solo alla propria
autorità nazionale
© The Innovation Group - 2015 | 13
CONCLUSIONI
I costi che le aziende di ogni dimensione, dalle più grandi alle medio-piccole, devono
affrontare per poter concorrere sul mercato nazionale, europeo ed internazionale
dipendono in una certa misura anche dalle leggi e dai regolamenti che singoli stati e
organizzazioni sovranazionali si danno per garantire il libero scambio delle merci in
regime di sicurezza.
Questo è vero sia dal punto di vista fisico che dal punto di vista informatico, in relazione
all’acquisto, alla vendita ed alla distribuzione di beni e servizi attraverso internet.
Oggi uno degli obiettivi in tema di riduzione dei costi complessivi dell’azienda, è quello di
correlare eventuali danni derivanti dai rischi e dalle minacce (insolvenza di clienti e/o
fornitori, frodi, danni finanziari, danni di immagine - per furti di informazioni, interruzioni
del servizio, ecc.) con gli investimenti, necessari ed a volte obbligatori, per farne fronte.
Questo è possibile grazie ad un approccio di tipo risk management, valutando e
misurando costi ed opportunità e condividendo tale approccio tra aziende clienti e loro
fornitori, anche di servizi informatici, anche di sicurezza informatica; senza dimenticare,
in ultimo, che è un approccio che si presta ad essere fornito in un’ottica AAS, “as a
service”.
Il fatto che anche le norme europee in via di approvazione abbiano fatto proprio questo
approccio rappresenta un importante passo in avanti nella definizione di una compliance
che non sia soltanto “dogma”, ma piuttosto rappresenti una vera e propria “good
practice”; dove compliance sia intesa come invito alle aziende a giustificare, sulla base di
della valutazione del rischio, le scelte che ognuna di esse fa per adeguarsi alla normativa.
CYBERSECURITY PER LA PA ITALIANA
E’ di questi giorni il documento della Presidenza del Consiglio dei ministri italiano
“Strategia per la crescita digitale 2014-2020”, datato 6 novembre 2014, che, benché
non sia in diretto rapporto con la Direttiva Europea NIS (ricordiamo che la Direttiva
dovrà essere ratificata entro agosto 2015), contiene al suo interno indicazioni sulla
Digital Security per le PA, oltre che sul sistema pubblico per l’Identità Digitale (SPID) e
le Smart Cities. In particolare viene dato l’avvio ad un progetto di Digital Security per
la PA per aumentare il livello di sicurezza delle informazioni e delle comunicazioni
digitali, al fine di tutelare la privacy, l’integrità dei dati e la continuità dei servizi.
Nel progetto verranno definiti gli standard e le linee guida di sicurezza per tutto il
settore pubblico: l’aderenza agli standard sarà obbligatoria per le PA e per quegli
attori del settore privato che forniscono soluzioni e servizi alle PA. Questo tipo di
coinvolgimento avrà risvolti positivi per tutto il settore privato, che sarà così stimolato
a sviluppare servizi e soluzioni con più alti standard di sicurezza, che potranno essere
messi a disposizione dell’intero mercato italiano ed europeo.
© The Innovation Group - 2015 | 14
BIBLIOGRAFIA
Andrea Rigoni, Intellium , La nuova direttiva UE su Cybersecurity,
(http://www.agendadigitale.eu/infrastrutture/1118_la-nuova-direttiva-ue-su-cyber-security-pro-e-
contro.htm), 23 ottobre 2014
Banca d’Italia, Circolare n. 263 del 27 dicembre 2006 – 15° aggiornamento del 2 luglio 2013,
(https://www.bancaditalia.it/vigilanza/normativa/norm_bi/circ-
reg/vigprud/agg_15_del_02072013/263CIRC_15AGG.pdf), Roma 2 luglio 2013
Council of the European Union, Amendments of the Chapter IV proposal,
(http://register.consilium.europa.eu/doc/srv?l=EN&f=ST%2013772%202014%20INIT), Brussels 3
ottobre 2014
European Commission, Proposal for a regulation on the protection of individuals with regard to
the processing of personal data and on the free movement of such data (General Data Protection
Regulation), (http://ec.europa.eu/justice/data-
protection/document/review2012/com_2012_11_en.pdf), Brussels 25 gennaio 2012
European Commission, Proposal for a directive concerning measures to ensure a high common
level of network and information security (NIS) across the Union, (http://eur-lex.europa.eu/legal-
content/EN/TXT/PDF/?uri=CELEX:52013PC0048&from=EN), Brussels 7 febbraio 2013
European Parliament, Amendments of the NIS directive,
(http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//NONSGML+REPORT+A7-2014-
0103+0+DOC+PDF+V0//EN), Brussels 12 febbraio 2014
European Parliament legislative resolution, Amendments of the proposal for General Data
Protection Regulation, (http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-
//EP//TEXT+TA+P7-TA-2014-0212+0+DOC+XML+V0//EN), Strasbourg 12 marzo 2014
Hunton & Williams LLP, Council of the European Union Proposes Risk-Based Approach to
Compliance Obligations, (https://www.huntonprivacyblog.com/2014/10/articles/council-
european-union-proposes-risk-based-approach-compliance-obligations/), 29 ottobre 2014
Presidenza del Consiglio dei Ministri, Strategia per la crescita digitale 2014-2020,
(http://www.agid.gov.it/sites/default/files/documenti_indirizzo/crescita_digitale_2020.pdf), Roma
6 novembre 2014
© The Innovation Group - 2015 | 15
Hanno collaborato alla realizzazione dello Studio:
Elena Vaciago, Research Manager, The Innovation Group
Franco Vigliano, Associate Consultant, The Innovation Group
The Innovation Group (TIG) è una società di servizi di consulenza direzionale, advisory e ricerca
indipendente fondata da Roberto Masiero ed Ezio Viola, specializzata nella innovazione del
Business e dei processi aziendali attraverso l’utilizzo delle tecnologie digitali e delle nuove
tecnologie della conoscenza. Si rivolge ad Aziende ed Organizzazioni che desiderano sviluppare
strategie di crescita attraverso programmi, iniziative e progetti di innovazione del Business, di “go
to market”, di produzione e gestione integrata della conoscenza interna ed esterna dell’azienda
tramite le tecnologie ICT.
The Innovation Group è formato da un Team con esperienze consolidate, sia a livello locale sia
internazionale, si avvale del contributo di partnership strategiche con Aziende e Istituti
internazionali che garantiscono un forte e continuo sviluppo di ricerca e di conoscenza dei mercati,
delle tecnologie e delle migliori pratiche nei principali settori verticali. Alle Aziende e alle
Organizzazioni The Innovation Group si propone con un approccio pragmatico, volto ad affiancarle
ed accompagnarle nella fase di realizzazione di piani strategici, per valorizzare le risorse e le
capacità esistenti all’interno e prendere le decisioni più utili in tempi rapidi.
The Innovation Group si avvale di forti partnership internazionali per la ricerca e la conoscenza di
mercati, tecnologie e best practice.
Tutte le informazioni/i contenuti presenti sono di proprietà esclusiva di The Innovation Group (TIG) e sono da
riferirsi al momento della pubblicazione. Nessuna informazione o parte del report può essere copiata,
modificata, ripubblicata, caricata, trasmessa, postata o distribuita in alcuna forma senza un permesso scritto
da parte di TIG. L’uso non autorizzato delle informazioni / i contenuti della presente pubblicazione viola il
copyright e comporta penalità per chi lo commette.
Copyright © 2015 The Innovation Group.
© The Innovation Group - 2015 | 16
© The Innovation Group - 2015 | 17

Contenu connexe

Tendances

Formazione e Consapevolezza
Formazione e ConsapevolezzaFormazione e Consapevolezza
Formazione e ConsapevolezzaCSI Piemonte
 
WHITEPAPER: L’Azienda Cyber Resilient: come sfruttare i vantaggi della Securi...
WHITEPAPER: L’Azienda Cyber Resilient: come sfruttare i vantaggi della Securi...WHITEPAPER: L’Azienda Cyber Resilient: come sfruttare i vantaggi della Securi...
WHITEPAPER: L’Azienda Cyber Resilient: come sfruttare i vantaggi della Securi...Symantec
 
Cybersecurity oggi una priorità per i leader. Non più solo rischi operativi e...
Cybersecurity oggi una priorità per i leader. Non più solo rischi operativi e...Cybersecurity oggi una priorità per i leader. Non più solo rischi operativi e...
Cybersecurity oggi una priorità per i leader. Non più solo rischi operativi e...Andrea Mennillo
 
La sicurezza dei dati in un mondo digitale
La sicurezza dei dati in un mondo digitaleLa sicurezza dei dati in un mondo digitale
La sicurezza dei dati in un mondo digitaleCSI Piemonte
 
Bci italy conf 17 3 roberto baldoni - cyber resilience un fattore critico d...
Bci italy conf 17   3 roberto baldoni - cyber resilience un fattore critico d...Bci italy conf 17   3 roberto baldoni - cyber resilience un fattore critico d...
Bci italy conf 17 3 roberto baldoni - cyber resilience un fattore critico d...TheBCI
 
Il cybercrime, la sicurezza e i rimedi st15
Il cybercrime, la sicurezza e i rimedi st15Il cybercrime, la sicurezza e i rimedi st15
Il cybercrime, la sicurezza e i rimedi st15Fabio Meloni
 
La sicurezza delle reti aziendali ai tempi di Facebook
La sicurezza delle reti aziendali ai tempi di FacebookLa sicurezza delle reti aziendali ai tempi di Facebook
La sicurezza delle reti aziendali ai tempi di FacebookAmmLibera AL
 
Privacy e sicurezza: come proteggere i dati - Enzo Veiluva
Privacy e sicurezza: come proteggere i dati - Enzo VeiluvaPrivacy e sicurezza: come proteggere i dati - Enzo Veiluva
Privacy e sicurezza: come proteggere i dati - Enzo VeiluvaCSI Piemonte
 
Sicurezza informatica per dipendenti pubblici
Sicurezza informatica per dipendenti pubbliciSicurezza informatica per dipendenti pubblici
Sicurezza informatica per dipendenti pubbliciCSI Piemonte
 
Dal cyber-crime al cyber-warfare: le minacce per aziende e governi derivanti ...
Dal cyber-crime al cyber-warfare: le minacce per aziende e governi derivanti ...Dal cyber-crime al cyber-warfare: le minacce per aziende e governi derivanti ...
Dal cyber-crime al cyber-warfare: le minacce per aziende e governi derivanti ...Danilo De Rogatis
 
Webinar sicurezza nei social network
Webinar  sicurezza nei social networkWebinar  sicurezza nei social network
Webinar sicurezza nei social networkMatteo Barberi
 
SocialNetwork Security
SocialNetwork SecuritySocialNetwork Security
SocialNetwork Securityguest23c22c6
 
La Sicurezza delle Informazioni nel Web 2.0
La Sicurezza delle Informazioni nel Web 2.0La Sicurezza delle Informazioni nel Web 2.0
La Sicurezza delle Informazioni nel Web 2.0Angelo Iacubino
 
La sicurezza delle informazioni nell’era del Web 2.0
La sicurezza delle informazioni nell’era del Web 2.0La sicurezza delle informazioni nell’era del Web 2.0
La sicurezza delle informazioni nell’era del Web 2.0hantex
 
Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pi...
Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pi...Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pi...
Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pi...Codemotion
 
Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella   - convegno privacy - 23 Marzo 2004Alessandro Canella   - convegno privacy - 23 Marzo 2004
Alessandro Canella - convegno privacy - 23 Marzo 2004Alessandro Canella
 

Tendances (19)

Formazione e Consapevolezza
Formazione e ConsapevolezzaFormazione e Consapevolezza
Formazione e Consapevolezza
 
Executive_IT_interview
Executive_IT_interviewExecutive_IT_interview
Executive_IT_interview
 
WHITEPAPER: L’Azienda Cyber Resilient: come sfruttare i vantaggi della Securi...
WHITEPAPER: L’Azienda Cyber Resilient: come sfruttare i vantaggi della Securi...WHITEPAPER: L’Azienda Cyber Resilient: come sfruttare i vantaggi della Securi...
WHITEPAPER: L’Azienda Cyber Resilient: come sfruttare i vantaggi della Securi...
 
Il fattore umano
Il fattore umanoIl fattore umano
Il fattore umano
 
Cybersecurity oggi una priorità per i leader. Non più solo rischi operativi e...
Cybersecurity oggi una priorità per i leader. Non più solo rischi operativi e...Cybersecurity oggi una priorità per i leader. Non più solo rischi operativi e...
Cybersecurity oggi una priorità per i leader. Non più solo rischi operativi e...
 
La sicurezza dei dati in un mondo digitale
La sicurezza dei dati in un mondo digitaleLa sicurezza dei dati in un mondo digitale
La sicurezza dei dati in un mondo digitale
 
Bci italy conf 17 3 roberto baldoni - cyber resilience un fattore critico d...
Bci italy conf 17   3 roberto baldoni - cyber resilience un fattore critico d...Bci italy conf 17   3 roberto baldoni - cyber resilience un fattore critico d...
Bci italy conf 17 3 roberto baldoni - cyber resilience un fattore critico d...
 
Il cybercrime, la sicurezza e i rimedi st15
Il cybercrime, la sicurezza e i rimedi st15Il cybercrime, la sicurezza e i rimedi st15
Il cybercrime, la sicurezza e i rimedi st15
 
La sicurezza delle reti aziendali ai tempi di Facebook
La sicurezza delle reti aziendali ai tempi di FacebookLa sicurezza delle reti aziendali ai tempi di Facebook
La sicurezza delle reti aziendali ai tempi di Facebook
 
Privacy e sicurezza: come proteggere i dati - Enzo Veiluva
Privacy e sicurezza: come proteggere i dati - Enzo VeiluvaPrivacy e sicurezza: come proteggere i dati - Enzo Veiluva
Privacy e sicurezza: come proteggere i dati - Enzo Veiluva
 
Sicurezza informatica per dipendenti pubblici
Sicurezza informatica per dipendenti pubbliciSicurezza informatica per dipendenti pubblici
Sicurezza informatica per dipendenti pubblici
 
Dal cyber-crime al cyber-warfare: le minacce per aziende e governi derivanti ...
Dal cyber-crime al cyber-warfare: le minacce per aziende e governi derivanti ...Dal cyber-crime al cyber-warfare: le minacce per aziende e governi derivanti ...
Dal cyber-crime al cyber-warfare: le minacce per aziende e governi derivanti ...
 
Webinar sicurezza nei social network
Webinar  sicurezza nei social networkWebinar  sicurezza nei social network
Webinar sicurezza nei social network
 
Social Media Security
Social Media SecuritySocial Media Security
Social Media Security
 
SocialNetwork Security
SocialNetwork SecuritySocialNetwork Security
SocialNetwork Security
 
La Sicurezza delle Informazioni nel Web 2.0
La Sicurezza delle Informazioni nel Web 2.0La Sicurezza delle Informazioni nel Web 2.0
La Sicurezza delle Informazioni nel Web 2.0
 
La sicurezza delle informazioni nell’era del Web 2.0
La sicurezza delle informazioni nell’era del Web 2.0La sicurezza delle informazioni nell’era del Web 2.0
La sicurezza delle informazioni nell’era del Web 2.0
 
Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pi...
Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pi...Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pi...
Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pi...
 
Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella   - convegno privacy - 23 Marzo 2004Alessandro Canella   - convegno privacy - 23 Marzo 2004
Alessandro Canella - convegno privacy - 23 Marzo 2004
 

En vedette

Come creare infrastrutture Cloud Sicure
Come creare infrastrutture Cloud SicureCome creare infrastrutture Cloud Sicure
Come creare infrastrutture Cloud SicureStefano Dindo
 
Training sme
Training smeTraining sme
Training smeLessMore
 
SVILUPPO WEB E SICUREZZA NEL 2014
SVILUPPO WEB E SICUREZZA NEL 2014SVILUPPO WEB E SICUREZZA NEL 2014
SVILUPPO WEB E SICUREZZA NEL 2014Massimo Chirivì
 
Proteggere i dispositivi mobili - ISACA Venice - festival ICT 2015
Proteggere i dispositivi mobili - ISACA Venice - festival ICT 2015Proteggere i dispositivi mobili - ISACA Venice - festival ICT 2015
Proteggere i dispositivi mobili - ISACA Venice - festival ICT 2015festival ICT 2016
 
Where Cyber Security Meets Operational Value
Where Cyber Security Meets Operational ValueWhere Cyber Security Meets Operational Value
Where Cyber Security Meets Operational ValueEnergySec
 
Cybersecurity e Vulnerabilita' dei sistemi SCADA
Cybersecurity e Vulnerabilita' dei sistemi SCADACybersecurity e Vulnerabilita' dei sistemi SCADA
Cybersecurity e Vulnerabilita' dei sistemi SCADAiDIALOGHI
 
La Cyber Security spiegata al capo.
La Cyber Security spiegata al capo.La Cyber Security spiegata al capo.
La Cyber Security spiegata al capo.Carlo Balbo
 
Oss. Informaton Security & Privacy
Oss. Informaton Security & PrivacyOss. Informaton Security & Privacy
Oss. Informaton Security & PrivacyAlessandro Piva
 
Information security management system
Information security management systemInformation security management system
Information security management systemArani Srinivasan
 
Information Security Awareness Training by Mount Auburn Hospital
Information Security Awareness Training by Mount Auburn HospitalInformation Security Awareness Training by Mount Auburn Hospital
Information Security Awareness Training by Mount Auburn HospitalAtlantic Training, LLC.
 
Information security
Information securityInformation security
Information securityLJ PROJECTS
 
Data Network Security
Data Network SecurityData Network Security
Data Network SecurityAtif Rehmat
 
Introduction to Information Security
Introduction to Information SecurityIntroduction to Information Security
Introduction to Information SecurityDr. Loganathan R
 
Introduction To Information Security
Introduction To Information SecurityIntroduction To Information Security
Introduction To Information Securitybelsis
 
Information Security Lecture #1 ppt
Information Security Lecture #1 pptInformation Security Lecture #1 ppt
Information Security Lecture #1 pptvasanthimuniasamy
 
deftcon 2015 - Stefano Mele - La cyber-security nel 2020
deftcon 2015 - Stefano Mele - La cyber-security nel 2020deftcon 2015 - Stefano Mele - La cyber-security nel 2020
deftcon 2015 - Stefano Mele - La cyber-security nel 2020Deft Association
 
Alessio Pennasilico, Cybercrime e cybersecurity
Alessio Pennasilico, Cybercrime e cybersecurityAlessio Pennasilico, Cybercrime e cybersecurity
Alessio Pennasilico, Cybercrime e cybersecurityAndrea Rossetti
 
INFORMATION SECURITY
INFORMATION SECURITYINFORMATION SECURITY
INFORMATION SECURITYAhmed Moussa
 

En vedette (19)

Come creare infrastrutture Cloud Sicure
Come creare infrastrutture Cloud SicureCome creare infrastrutture Cloud Sicure
Come creare infrastrutture Cloud Sicure
 
Training sme
Training smeTraining sme
Training sme
 
SVILUPPO WEB E SICUREZZA NEL 2014
SVILUPPO WEB E SICUREZZA NEL 2014SVILUPPO WEB E SICUREZZA NEL 2014
SVILUPPO WEB E SICUREZZA NEL 2014
 
Proteggere i dispositivi mobili - ISACA Venice - festival ICT 2015
Proteggere i dispositivi mobili - ISACA Venice - festival ICT 2015Proteggere i dispositivi mobili - ISACA Venice - festival ICT 2015
Proteggere i dispositivi mobili - ISACA Venice - festival ICT 2015
 
Where Cyber Security Meets Operational Value
Where Cyber Security Meets Operational ValueWhere Cyber Security Meets Operational Value
Where Cyber Security Meets Operational Value
 
att cybersecurity
att cybersecurityatt cybersecurity
att cybersecurity
 
Cybersecurity e Vulnerabilita' dei sistemi SCADA
Cybersecurity e Vulnerabilita' dei sistemi SCADACybersecurity e Vulnerabilita' dei sistemi SCADA
Cybersecurity e Vulnerabilita' dei sistemi SCADA
 
La Cyber Security spiegata al capo.
La Cyber Security spiegata al capo.La Cyber Security spiegata al capo.
La Cyber Security spiegata al capo.
 
Oss. Informaton Security & Privacy
Oss. Informaton Security & PrivacyOss. Informaton Security & Privacy
Oss. Informaton Security & Privacy
 
Information security management system
Information security management systemInformation security management system
Information security management system
 
Information Security Awareness Training by Mount Auburn Hospital
Information Security Awareness Training by Mount Auburn HospitalInformation Security Awareness Training by Mount Auburn Hospital
Information Security Awareness Training by Mount Auburn Hospital
 
Information security
Information securityInformation security
Information security
 
Data Network Security
Data Network SecurityData Network Security
Data Network Security
 
Introduction to Information Security
Introduction to Information SecurityIntroduction to Information Security
Introduction to Information Security
 
Introduction To Information Security
Introduction To Information SecurityIntroduction To Information Security
Introduction To Information Security
 
Information Security Lecture #1 ppt
Information Security Lecture #1 pptInformation Security Lecture #1 ppt
Information Security Lecture #1 ppt
 
deftcon 2015 - Stefano Mele - La cyber-security nel 2020
deftcon 2015 - Stefano Mele - La cyber-security nel 2020deftcon 2015 - Stefano Mele - La cyber-security nel 2020
deftcon 2015 - Stefano Mele - La cyber-security nel 2020
 
Alessio Pennasilico, Cybercrime e cybersecurity
Alessio Pennasilico, Cybercrime e cybersecurityAlessio Pennasilico, Cybercrime e cybersecurity
Alessio Pennasilico, Cybercrime e cybersecurity
 
INFORMATION SECURITY
INFORMATION SECURITYINFORMATION SECURITY
INFORMATION SECURITY
 

Similaire à TIGPaper_Compliance e Cybersecurity -210115

ProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskM2 Informatica
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskM2 Informatica
 
LUCA GRINZATO | Generali Italia | Cyber Security | Meet Forum 2019
LUCA GRINZATO | Generali Italia | Cyber Security | Meet Forum 2019LUCA GRINZATO | Generali Italia | Cyber Security | Meet Forum 2019
LUCA GRINZATO | Generali Italia | Cyber Security | Meet Forum 2019BTO Educational
 
Articolo aprile 2013 ict security
Articolo aprile 2013 ict securityArticolo aprile 2013 ict security
Articolo aprile 2013 ict securityLuca Moroni ✔✔
 
LE RAGIONI DELLA SICUREZZA IT
LE RAGIONI DELLA SICUREZZA ITLE RAGIONI DELLA SICUREZZA IT
LE RAGIONI DELLA SICUREZZA ITVincenzo Calabrò
 
Gestione dei rischi: analisi di un modello semplificato per le PMI
Gestione dei rischi: analisi di un modello semplificato per le PMIGestione dei rischi: analisi di un modello semplificato per le PMI
Gestione dei rischi: analisi di un modello semplificato per le PMIStefano Bendandi
 
BCI Italy Forum Meeting 25 gennaio: presentazioni disponibili 05 brera amorus...
BCI Italy Forum Meeting 25 gennaio: presentazioni disponibili 05 brera amorus...BCI Italy Forum Meeting 25 gennaio: presentazioni disponibili 05 brera amorus...
BCI Italy Forum Meeting 25 gennaio: presentazioni disponibili 05 brera amorus...TheBCI
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskM2 Informatica
 
30.04.20 cybersecurity q&a
30.04.20 cybersecurity   q&a30.04.20 cybersecurity   q&a
30.04.20 cybersecurity q&aFrancesco Bottaro
 
Security Services - Accenture Italia
Security Services - Accenture ItaliaSecurity Services - Accenture Italia
Security Services - Accenture ItaliaAccenture Italia
 
IT-brochure Cyber Security
IT-brochure Cyber SecurityIT-brochure Cyber Security
IT-brochure Cyber SecurityEnrico Memmo
 
Articolo Via Virtuosa Sole 24 ore
Articolo Via Virtuosa Sole 24 oreArticolo Via Virtuosa Sole 24 ore
Articolo Via Virtuosa Sole 24 oreLuca Moroni ✔✔
 
La Security e i rischi per le imprese
La Security e i rischi per le impreseLa Security e i rischi per le imprese
La Security e i rischi per le impreseGiuseppe Ieva
 
iDialoghi - ICT Security Consulting
iDialoghi - ICT Security ConsultingiDialoghi - ICT Security Consulting
iDialoghi - ICT Security ConsultingiDIALOGHI
 

Similaire à TIGPaper_Compliance e Cybersecurity -210115 (20)

ProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber risk
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
 
LUCA GRINZATO | Generali Italia | Cyber Security | Meet Forum 2019
LUCA GRINZATO | Generali Italia | Cyber Security | Meet Forum 2019LUCA GRINZATO | Generali Italia | Cyber Security | Meet Forum 2019
LUCA GRINZATO | Generali Italia | Cyber Security | Meet Forum 2019
 
Articolo aprile 2013 ict security
Articolo aprile 2013 ict securityArticolo aprile 2013 ict security
Articolo aprile 2013 ict security
 
LE RAGIONI DELLA SICUREZZA IT
LE RAGIONI DELLA SICUREZZA ITLE RAGIONI DELLA SICUREZZA IT
LE RAGIONI DELLA SICUREZZA IT
 
Gestione dei rischi: analisi di un modello semplificato per le PMI
Gestione dei rischi: analisi di un modello semplificato per le PMIGestione dei rischi: analisi di un modello semplificato per le PMI
Gestione dei rischi: analisi di un modello semplificato per le PMI
 
BCI Italy Forum Meeting 25 gennaio: presentazioni disponibili 05 brera amorus...
BCI Italy Forum Meeting 25 gennaio: presentazioni disponibili 05 brera amorus...BCI Italy Forum Meeting 25 gennaio: presentazioni disponibili 05 brera amorus...
BCI Italy Forum Meeting 25 gennaio: presentazioni disponibili 05 brera amorus...
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
 
La Nuova Security
La Nuova SecurityLa Nuova Security
La Nuova Security
 
Assicurazione cyber
 Assicurazione cyber Assicurazione cyber
Assicurazione cyber
 
30.04.20 cybersecurity q&a
30.04.20 cybersecurity   q&a30.04.20 cybersecurity   q&a
30.04.20 cybersecurity q&a
 
Cybersecurity 4.0
Cybersecurity 4.0Cybersecurity 4.0
Cybersecurity 4.0
 
Padova13 luca moroni3
Padova13 luca moroni3Padova13 luca moroni3
Padova13 luca moroni3
 
Security Services - Accenture Italia
Security Services - Accenture ItaliaSecurity Services - Accenture Italia
Security Services - Accenture Italia
 
IT-brochure Cyber Security
IT-brochure Cyber SecurityIT-brochure Cyber Security
IT-brochure Cyber Security
 
Articolo Via Virtuosa Sole 24 ore
Articolo Via Virtuosa Sole 24 oreArticolo Via Virtuosa Sole 24 ore
Articolo Via Virtuosa Sole 24 ore
 
Governance and mobile
Governance and mobileGovernance and mobile
Governance and mobile
 
La Security e i rischi per le imprese
La Security e i rischi per le impreseLa Security e i rischi per le imprese
La Security e i rischi per le imprese
 
iDialoghi - ICT Security Consulting
iDialoghi - ICT Security ConsultingiDialoghi - ICT Security Consulting
iDialoghi - ICT Security Consulting
 
Clusit
ClusitClusit
Clusit
 

Plus de Elena Vaciago

Webinar 18.11.2021 misure_mise_pid_umbria
Webinar 18.11.2021 misure_mise_pid_umbriaWebinar 18.11.2021 misure_mise_pid_umbria
Webinar 18.11.2021 misure_mise_pid_umbriaElena Vaciago
 
TIGPaper_DevOps_170615 Final
TIGPaper_DevOps_170615 FinalTIGPaper_DevOps_170615 Final
TIGPaper_DevOps_170615 FinalElena Vaciago
 
TIGPaper - I trend evolutivi dell'Internet of Everything
TIGPaper - I trend evolutivi dell'Internet of EverythingTIGPaper - I trend evolutivi dell'Internet of Everything
TIGPaper - I trend evolutivi dell'Internet of EverythingElena Vaciago
 
Trend del Mobile Banking (marzo 2014)
Trend del Mobile Banking (marzo 2014)Trend del Mobile Banking (marzo 2014)
Trend del Mobile Banking (marzo 2014)Elena Vaciago
 
MicroFocus White Paper - ADsurvey_marzo 2014
MicroFocus White Paper - ADsurvey_marzo 2014MicroFocus White Paper - ADsurvey_marzo 2014
MicroFocus White Paper - ADsurvey_marzo 2014Elena Vaciago
 
TIG White Paper data protection trends
TIG White Paper data protection trendsTIG White Paper data protection trends
TIG White Paper data protection trendsElena Vaciago
 
TIG White Paper - Innovare il Customer Service e la Customer Experience
TIG White Paper - Innovare il Customer Service e la Customer ExperienceTIG White Paper - Innovare il Customer Service e la Customer Experience
TIG White Paper - Innovare il Customer Service e la Customer ExperienceElena Vaciago
 
TIG White Paper Innovation in Banks_settembre 2013
TIG White Paper Innovation in Banks_settembre 2013TIG White Paper Innovation in Banks_settembre 2013
TIG White Paper Innovation in Banks_settembre 2013Elena Vaciago
 
Il ruolo dell\'ICT per l\'Efficienza Energetica
Il ruolo dell\'ICT  per l\'Efficienza EnergeticaIl ruolo dell\'ICT  per l\'Efficienza Energetica
Il ruolo dell\'ICT per l\'Efficienza EnergeticaElena Vaciago
 

Plus de Elena Vaciago (9)

Webinar 18.11.2021 misure_mise_pid_umbria
Webinar 18.11.2021 misure_mise_pid_umbriaWebinar 18.11.2021 misure_mise_pid_umbria
Webinar 18.11.2021 misure_mise_pid_umbria
 
TIGPaper_DevOps_170615 Final
TIGPaper_DevOps_170615 FinalTIGPaper_DevOps_170615 Final
TIGPaper_DevOps_170615 Final
 
TIGPaper - I trend evolutivi dell'Internet of Everything
TIGPaper - I trend evolutivi dell'Internet of EverythingTIGPaper - I trend evolutivi dell'Internet of Everything
TIGPaper - I trend evolutivi dell'Internet of Everything
 
Trend del Mobile Banking (marzo 2014)
Trend del Mobile Banking (marzo 2014)Trend del Mobile Banking (marzo 2014)
Trend del Mobile Banking (marzo 2014)
 
MicroFocus White Paper - ADsurvey_marzo 2014
MicroFocus White Paper - ADsurvey_marzo 2014MicroFocus White Paper - ADsurvey_marzo 2014
MicroFocus White Paper - ADsurvey_marzo 2014
 
TIG White Paper data protection trends
TIG White Paper data protection trendsTIG White Paper data protection trends
TIG White Paper data protection trends
 
TIG White Paper - Innovare il Customer Service e la Customer Experience
TIG White Paper - Innovare il Customer Service e la Customer ExperienceTIG White Paper - Innovare il Customer Service e la Customer Experience
TIG White Paper - Innovare il Customer Service e la Customer Experience
 
TIG White Paper Innovation in Banks_settembre 2013
TIG White Paper Innovation in Banks_settembre 2013TIG White Paper Innovation in Banks_settembre 2013
TIG White Paper Innovation in Banks_settembre 2013
 
Il ruolo dell\'ICT per l\'Efficienza Energetica
Il ruolo dell\'ICT  per l\'Efficienza EnergeticaIl ruolo dell\'ICT  per l\'Efficienza Energetica
Il ruolo dell\'ICT per l\'Efficienza Energetica
 

TIGPaper_Compliance e Cybersecurity -210115

  • 1. Dalla Compliance a un Approccio Risk Based per la Cybersecurity 2015 Gennaio 2015
  • 2. © The Innovation Group - 2015 | 1
  • 3. © The Innovation Group - 2015 | 2 DALLA COMPLIANCE A UN APPROCCIO RISK BASED PER LA CYBERSECURITY UNA RICERCA DI:
  • 4. © The Innovation Group - 2015 | 3 CYBERSECURITY & RISK MANAGEMENT LEADERSHIP PROGRAM Il presente documento è parte dell’attività di Ricerca di The Innovation Group rivolta agli iscritti a un programma di attività specifico sui temi della Cybersecurity e del Risk Management. Si tratta di un programma di elevato profilo per favorire la diffusione di conoscenza sul tema del controllo e della mitigazione del Rischio Cyber, arricchito dalla partecipazione di Deloitte Italia, in veste di Partner tecnico nello sviluppo dei contenuti, e di un Advisory Board di esperti e di aziende Leader del settore. Gli iscritti al programma possono infatti partecipare a: Workshop e Roundtable dedicate, per entrare in contatto con esperti ed essere aggiornati sugli ultimi trend dell’industria. Webinar: una serie di appuntamenti nel corso del 2015 per essere informati sui temi più attuali del momento. Canale tematico: un sito con news, commenti sulle evoluzioni normative in corso, interviste a CSO, Security e Risk Manager. Ricerche: una selezione di ricerche e studi costantemente aggiornata, oltre che indagini, survey ed approfondimenti prodotti dagli Analisti di mercato di The Innovation Group e dal Partner Tecnico Deloitte Italia. Discussioni: la possibilità di partecipare a dibattiti con gli altri iscritti al programma. Newsletter: per rimanere in contatto ed essere informati sulle attività e i contenuti del programma. Il Cybersecurity e Risk Management Leadership Program ha lo scopo di aiutare le aziende di diversa estrazione, le organizzazioni, i diversi stakeholder della tematica ad individuare i gap della propria situazione e le possibili risposte per il miglioramento del profilo di Cyber Risk, rivolgendosi a coloro che a vario titolo sono coinvolti nelle scelte legate alla sicurezza in azienda. Roberto Masiero Co-Founder The Innovation Group Ezio Viola Co-Founder The Innovation Group
  • 5. © The Innovation Group - 2015 | 4 SOMMARIO INTRODUZIONE 5 DOVE NASCE L’ESIGENZA DI UN APPROCCIO RISK-BASED 6 COME PASSARE NELLA PRATICA DA UN APPROCCIO COMPLIANCE- BASED A UNO RISK-BASED PER LA CYBERSECURITY 7 APPROCCIO RISK-BASED DELL’EUROPEAN DATA PROTECTION REGULATION 9 APPROCCIO RISK-BASED DELLA DIRETTIVA NIS (NETWORK AND INFORMATION SECURITY) 11 CONCLUSIONI 13 BIBLIOGRAFIA 14
  • 6. © The Innovation Group - 2015 | 5 INTRODUZIONE Oggi più che mai cybersecurity e risk management sono due practice strettamente legate. Un approccio di tipo risk-based nell’affrontare problematiche di cybersecurity, oltre a riportare nel suo corretto alveo la gestione di uno dei più importanti rischi che un’azienda si trova oggi ad affrontare, per la presenza e la pervasività dell’informatica, presenta innegabili vantaggi dal punto di vista economico, permettendo di definire un giusto investimento per la sicurezza delle informazioni e delle risorse ICT, correlato a una valutazione economica del rischio. Questo orientamento è sempre più presente anche negli interventi che Regulators italiani ed europei stanno facendo sulla cybersecurity. La tendenza è iniziata fin dalla stesura delle specifiche di Basilea III, da parte della BCE, poi riprese dalla Circolare 263 di Banca d’Italia “Nuove disposizioni di vigilanza prudenziale per le banche”. La circolare, nel suo aggiornamento del 2 luglio 2013, fa esplicito riferimento alla necessità di un Risk Appetite Framework nel modulare la qualità e la quantità di interventi necessari a definire la robustezza del sistema informativo, sia che questo sia interno alla banca o in outsourcing presso società controllate o, ancora, completamente esternalizzato. Per le banche d’altronde l’approccio risk-based è una necessità, dal momento che l’accantonamento di capitale richiesto da Basilea III per garantire la solidità di queste istituzioni finanziarie è proporzionale alle risultanze di una approfondita analisi del rischio, comrpesa la componente ICT. Oggi però ci sono 2 altri interventi importanti che l’Unione Europea ha in cantiere, legati alla cybersecurity e altrettanto caratterizzati da un approccio risk-based. Parliamo della “European Data Protection Regulation” e della Direttiva su “Network and Information Security (NIS)”. Il presente documento vuole essere un primo contributo al tema della gestione del rischio cyber e dell’evoluzione da un approccio compliance-based verso un approccio alla cybersecurity basato sulla valutazione e gestione del rischio. A questo ne seguiranno altri, di approfondimento sulle normative in fase di emissione a livello nazionale ed internazionale, sulla loro evoluzione, sulle richieste in termini di conformità e sugli impatti specifici per le singole realtà aziendali. La circolare 263 di Banca d’Italia, nel suo aggiornamento del 2 luglio 2013, fa esplicito riferimento al Risk Appetite Framework, nel modulare la qualità e la quantità di interventi necessari a definire la robustezza del sistema informativo, sia che questo sia interno alla banca o in outsourcing presso società controllate o completamente esternalizzato
  • 7. © The Innovation Group - 2015 | 6 DOVE NASCE L’ESIGENZA DI UN APPROCCIO RISK-BASED C’è un rischio molto specifico per cui oggi molte aziende private e organizzazioni pubbliche risultano non preparate: quello relativo alle tecnologie ICT e alla gestione dei dati e delle informazioni critiche per la singola realtà. La digitalizzazione ha infatti comportato una crescita enorme del rischio associato ai sistemi ICT, dovuto alla facilità con cui possono avvenire furti di dati e di Intellectual Property, il sabotaggio, danni alla continuità del business, il denial of service, il danno di reputazione e quant’altro. Al giorno d’oggi non sono più soltanto le organizzazioni “information intensive” (come banche, utilities, pubbliche amministrazioni) a risultare particolarmente sensibili a queste tematiche, ma il tema interessa oramai tutti, comprese le piccole aziende che partecipano spesso a supply chain estese, e possono quindi diventare l’anello debole di una catena più ampia. Normalmente le aziende impostano i propri programmi per la cybersecurity sui seguenti elementi:  Compliance alle norme: sono valutati gli adempimenti richiesti, ad esempio quanto è previsto dalle leggi sulla Privacy (D.Lgs 196/2003) o sulle responsabilità degli Amministratori (D.Lgs 231/01).  Tecnologia: scelta di un mix di soluzioni per ridurre la vulnerabilità dei sistemi utilizzati nell’organizzazione (antivirus, antispam e antiphishing, firewall, intrusion detection e prevention, data leakage protection, ecc.).  Servizi: consulenza, vulnerability assessment, managed services e formazione sulle tematiche della cyber security. Inevitabilmente nel far questo le organizzazioni si trovano nella necessità di dover affrontare dei costi – e a questo punto comincia ad apparire evidente che il livello di investimento per la sicurezza deve essere rapportato a un’esigenza imputabile solo alla singola realtà, e che non può essere determinato da ragioni di compliance. In sostanza, il livello di investimento va correlato al rischio (reputazionale, di continuità operativa, finanziario, verso i partner/i clienti) che la singola realtà ritiene di poter sostenere. Il livello di investimento in cyber security è quindi collegato strettamente alla business strategy. Va anche considerato che policy di sicurezza eccessivamente stringenti possono essere vissute dalle persone come un impedimento al business, risultando di fatto un freno alla capacità dell’azienda di innovare, partecipare a modalità aperte di collaborazione con terze parti, essere flessibile e rapida nel proprio mercato. Per seguire un approccio concreto nella definizione di una precisa strategia per la cybersecurity, correttamente correlata ai bisogni del business, i responsabili di questo ambito devono partire da un risk assessment che prenda in considerazione almeno le seguenti classi di rischio specifiche per il mondo ICT:
  • 8. © The Innovation Group - 2015 | 7  Rischio di non-compliance: la compliance non deve essere l’unico punto di partenza per le scelte in materia di cybersecurity, ma si deve comunque considerare obbligatoria in quanto non rispettarla comporta rischi di sanzioni economiche e di perdità di credibilità dell’azienda verso il suo mercato. Questo vale oggi in particolar modo per quanto riguarda la Data Protection, così come richiesta dalle norme relative alla Privacy.  Rischio associato ad incidenti che possono seguire un attacco informatico o un data breach: si possono fare simulazioni di quanto costa a un’azienda la temporanea inattività dei suoi dipendenti nel caso di interruzione delle operation ICT. Per quanto riguarda il furto di dati, il danno economico dipende molto dal valore delle informazioni o può rientrare in un caso di non-compliance per i dati personali.  Rischio reputazionale: ci sono stati molti casi in cui la non disponibilità di un servizio, per qualche ora o per interi giorni, ha seriamente danneggiato l’immagine di istituzioni importanti, ad esempio banche. Ancora peggio sarebbe se venissero alla luce informazioni su data breach di grandi dimensioni come quelle apparse negli ultimi anni per quanto riguarda importanti corporation USA. Le nuove norme sulla Privacy a livello europeo vogliono introdurre la pratica della notifica del data breach, per cui ci dobbiamo aspettare forti impatti sul fronte reputazionale.  Rischi legati ai fornitori di servizi e tecnologie digitali. In un economia sempre più interconnessa, con risorse, dati e servizi che tendono a sposarsi in cloud per risultare più economici ed efficienti, il rischio di avere un fornitore che non offre garanzie sufficienti può essere rilevante, e deve essere considerato dalle policy aziendali. Lo stesso tema vale per la qualità dei prodotti e del software, che devono il più possibile risultare esenti da vulnerabilità note. Questo sono solo alcuni degli aspetti che impattano nella determinazione del rischio Cyber della singola organizzazione: una volta identificati, le aziende devono procedere alla scelta della propria strategia di risk management. In sostanza, una volta identificati i rischi bisogna scegliere la strategia più opportuna, dal trasferimento del rischio a terze parti, all'evitare il rischio, al ridurne gli effetti negativi e infine all'accettare in parte o totalmente le conseguenze di un particolare rischio. Infine, le aziende devono stabilire come modificare l’organizzazione e i processi interni in modo da consolidare questo nuovo modus operandi. COME PASSARE NELLA PRATICA DA UN APPROCCIO COMPLIANCE- BASED A UNO RISK-BASED PER LA CYBERSECURITY I Chief Information Security Officer si chiedono oggi quale è il modo più efficace per passare a un approccio risk-based nelle scelte relative alla strategia per la cybersecurity. Da una discussione tra CISO, membri della community Wisegate 1 , essi hanno identificato 3 azioni prioritarie: 1. La compliance deve diventare un elemento del profilo di rischio complessivo dell’organizzazione: le norme rimangono ma i manager devono cominciare a pensare in termini di “livello di rischio accettabile”. 1 “Moving From Compliance to Risk-Based Security: CISOs Reveal Practical Tips” , Wisegate Community Viewpoints, 2013
  • 9. © The Innovation Group - 2015 | 8 2. Bisogna essere consapevoli del fatto che la tolleranza al rischio della singola organizzazione cambia nel tempo. Un profilo di rischio sta a indicare il livello di accettazione dello stesso in un particolare momento, e inevitabilmente cambia nel tempo. Dal momento che è difficile definire in anticipo il livello di rischio, è utile avere conversazioni frequenti a tutti i livelli del management. 3. Infine, è fondamentale far sì che la gestione del rischio sia efficace, e per far questo bisogna aver disegnato il risk management a livello strategico, tattico e operativo. Un’organizzazione che comincia ad avvicinarsi a un approccio risk-based deve innanzi tutto testare le soluzioni per la valutazione del rischio; deve lavorare alla comprensione del risk profile e collaborare con terze parti nella realizzazione di risk assessment. Tabella 1: Il risk management della cybersecurity da un punto di vista strategico, tattico e operativo LIVELLO DESCRIZIONE STRATEGICO A questo livello, il focus è all’interno delle Line-of-business e della definizione dei rispettivi obiettivi di gestione del rischio cyber. I Manager della security devono sedersi con le loro controparti dell’organizzazione – le aree HR, IT, Amministrative, produttive e quant’altro – per parlare dei rischi correnti e quanto questi avranno effetto sull’azienda nei prossimi 3 anni. Ciascuno deve valutare quale rischio è accettabile, quale trasferibile e quale può essere mitigato. Attraverso la realizzazione di un’ampia Risk Impact Analysis i manager arrivano a comprendere gli obiettivi generali del Piano di Cybersecurity. TATTICO A livello tattico, continuano ad essere importanti gli obiettivi, ma le attività del team della Security cominciano ad orientarsi verso aspetti di performance nel controllo del rischio. Vengono definite le misure minime e quindi si passa a discutere con i manager delle varie Line-of-business in quali ambiti è possibile assumersi maggiori rischi. OPERATIVO Al terzo livello, quello operativo, si passa alla definizione delle single aree, dalle valutazioni dei rischi (risk assessments) all’adozione di misure di sicurezza all’interno dell’intero life cycle di qualsiasi progetto (SDLC, system development life cycle), alle attività di monitoraggio continuo, profili di rischio, controlli. A questo livello si analizza quali controlli per la compliance sono già stati avviati, si individuano eventuali gap, si identificano nuovi strumenti dove questi possono servire.
  • 10. © The Innovation Group - 2015 | 9 Un tema importante – che per ragioni di spazio rimandiamo a un successivo approfondimento – è poi quello del calcolo del rischio da un punto di vista finanziario (come è stato fatto ad esempio nel 2010 da ISA e ANSI 2 ) tramite un modello basato su alcuni parametri essenziali, come la probabilità che occorra un determinato evento, la possibile perdita economica, la possibilità di trasferire in parte il rischio tramite una polizza assicurativa. APPROCCIO RISK-BASED DELL’EUROPEAN DATA PROTECTION REGULATION Il nuovo Regolamento concerne la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati. Prenderà il posto di precedenti direttive in materia, ed, in Italia, del D.Legs 196/2003 sulla Privacy. Come Regolamento infatti, a differenza delle Direttive, che hanno una valenza prettamente di “linee guida”, non necessita di un passaggio approvativo presso i Parlamenti dei singoli Stati Membri, ma è subito oggetto di applicazione. Nel Semestre europeo l'Italia avrebbe voluto fregiarsi dell'approvazione definitiva del nuovo Regolamento, ma il Consiglio Europeo, presieduto lo scorso 4 dicembre dal nostro ministro della Giustizia, ha esaminato il testo del Regolamento proposto dalla Commissione ed emendato dal Parlamento Europeo, ed ha apportato ulteriori modifiche che, di fatto, ne hanno fatto slittare l'approvazione definitiva a data che, per ora, è impossibile predeterminare. L'iter di approvazione degli atti dell'UE prevede infatti che la posizione adottata il 4 dicembre dal Consiglio debba essere ritrasmessa al Parlamento per una ulteriore votazione. Quest'ultimo esaminerà la posizione del Consiglio e potrà approvare l'atto oppure respingerlo. In caso di approvazione, dall'entrata in vigore del Regolamento (cioè dalla data della sua pubblicazione in Gazzetta Ufficiale UE) alla sua applicabilità, devono poi trascorrere due anni. La European Data Protection Reform si caratterizza per l’introduzione di una serie di novità riguardanti il disegno, la gestione ed il controllo dei dati personali (vedi Tabella 2), proponendo un approccio meno prescrittivo in termini documentali, rispetto ad esempio alla legislazione italiana, ma più legato ad aspetti realizzativi ed architetturali delle soluzioni informatiche che stanno alla base dei trattamenti. 2 “The financial management of cyber risk”, 2010 Internet Security Alliance (ISA) / American National Standards Institute (ANSI)
  • 11. © The Innovation Group - 2015 | 10 Tabella 2: Principali requisiti del Nuovo Regolamento sulla Data Protection Requisito Breve descrizione Punto del Regolamento Data Protection Officer Data Processor Joint Controller Istituzione di precise figure legate al trattamento dei dati personali: gestore del trattamento, responsabile dal punto di vista giuridico, controller Capitolo IV - Articolo 35 Privacy by design and by default Adozione di meccanismi di progettazione e sviluppo nel ciclo di vita del software che garantiscano il necessario livello di protezione dei dati Capitolo IV - Articolo 23 Security of processing Implementazione di misure tecniche ed organizzative per assicurare un livello di sicurezza nella gestione dei dati personali appropriata ai rischi Capitolo IV - Articolo 30 Breach Notification Obbligo di notifica dell'avvenuta violazione di dati personali all'Autorità competente ed ai singoli individui Capitolo IV - Articoli 31 e 32 Privacy impact assessment Attività di verifica d'impatto, nel caso di processi che presentano specifici rischi nel corso del trattamento dei dati personali Capitolo IV - Articolo 33 Record of data processing activities "Log" delle attività di trattamento dei dati, da rendere disponibile alle autorità competenti Capitolo IV - Articolo 34 Consent & Transparency Gestione dell'acquisizione del consenso ed obbligo della trasparenza nel trattamento dei dati personali Capitolo II - III Right to be forgotten Gestione della richiesta di cancellazione e di stop all'ulteriore diffusione dei dati personali, su richiesta dell’interessato Capitolo III - Articolo 17 Right to data portability Gestione della messa a disposizione dei dati personali in un formato di uso comune, su richiesta dell’interessato Capitolo III - Articolo 18 Fonte: The Innovation Group, gennaio 2015 L’aspetto più innovativo però, presente soprattutto nella revisione dell’ottobre 2014 a cura del Consiglio dell’Unione Europea, sta nell’aver scelto un approccio risk-based alle problematiche di compliance. Questo si riflette ad esempio nei seguenti punti del capitolo IV del Regolamento, relativo alle misure attuative di carattere tecnologico e organizzativo:  L’articolo 23, che prevede che la privacy sia un requisito insito nella progettazione e nella realizzazione del software di gestione dei dati (“privacy by design and by default”), è stato emendato per renderlo più vicino al contesto di business della singola azienda, in modo da tener conto della sua specifica natura, ampiezza, contesto e obiettivi dei processi di gestione dei dati personali, così come della probabilità e dell’ampiezza delle minacce ai diritti ed alle libertà degli individui che si ritiene possano variare da caso a caso.  Il livello delle misure di sicurezza che l’Articolo 30 considera “appropriate” è determinato analizzando un più vasto spettro di fattori, incluse le tecnologie disponibili; il costo di sviluppo; la natura, l’ampiezza, il contesto e gli obiettivi del
  • 12. © The Innovation Group - 2015 | 11 processo di gestione dei dati personali. Inoltre non si deve prescindere da una valutazione della probabilità ed ampiezza delle minacce coinvolte, e quindi dal rischio effettivo e dal potenziale danno economico per la singola realtà aziendale.  L’obbligo di riportare alle autorità nazionali ed europee le violazioni a dati personali (data breach notification, Articoli 31 e 32) è limitato a quelle violazioni che potrebbero comportare un elevato rischio ai diritti ed alle libertà degli individui: “se i dati compromessi sono criptati o comunque protetti e rimangono quindi inintelligibili, il data controller non ha l’obbligo di riportare tali violazioni”.  Le attività di verifica d’impatto (“assessment”) relative alla protezione dei dati personali, previste dall’articolo 33, sono richieste solo nel caso in cui si processino dati ad alto livello di rischio per le libertà ed i diritti degli individui, come discriminazione, furto d’identità, frodi o perdite finanziarie.  L’articolo 34, che prevede la necessità di consultare le autorità responsabili della protezione dei dati in tutti i casi in cui si intendano processare dati personali, è limitato a quei casi in cui il mancato intervento di mitigazione operato da tali autorità possa elevare in maniera anomala il livello di rischio.  E’ stato emendato l’articolo 35, proponendo che la nomina del Data Protection Officer (figura diversa dal Data Controller e dal Data Processor), inizialmente obbligatoria per le PA e le aziende con oltre 250 dipendenti, sia volontaria, a meno che le leggi dei singoli Stati Membri non lo prevedano già espressamente. Per maggiori approfondimenti sulla tematica rimandiamo a un articolo sulla materia della società Hunton & Williams LLP 3 . APPROCCIO RISK-BASED DELLA DIRETTIVA NIS (NETWORK AND INFORMATION SECURITY) Un ulteriore intervento del Regulator europeo, che riguarda la cybersecurity, è dato dalla Direttiva concernente le misure per assicurare un alto livello di sicurezza su reti ed informazioni, comune a tutta l’Unione Europea. La proposta è del 7 febbraio 2013 ed è stata approvata il 13 marzo 2014. Gli Stati Membri dovranno implementare la Direttiva (che a differenza di un “regolamento”, necessita di un passaggio approvativo presso i Parlamenti nazionali) entro 18 mesi dalla sua adozione, ossia entro agosto 2015. L’obiettivo è quello di garantire l’affidabilità e la continuità dei servizi digitali, che può essere compromessa da incidenti nella sicurezza, quali errori umani, eventi naturali, guasti tecnici o veri e propri attacchi informatici. Tutto ciò con particolare riguardo per quei servizi essenziali che possono fermare il mondo del business, generare sostanziali perdite finanziarie o avere effetti negativi sul 3 “Council of the European Union Proposes Risk-Based Approach to Compliance Obligations”, 29 ottobre 2014, Hunton & Williams LLP.
  • 13. © The Innovation Group - 2015 | 12 social welfare. Per questo vengono individuati una serie di operatori di servizi critici, a cui vengono chiesti particolari azioni in termini di risk management e segnalazione dei security incidents: le “Key Internet Companies”, il settore bancario e le Borse, il settore energetico (ad es. le compagnie di produzione e distribuzione di elettricità e gas), il settore della logistica e dei trasporti (aereo, navale, ferroviario e su gomma), la Sanità, la Pubblica Amministrazione. Agli Stati Membri sono richiesti i seguenti passaggi:  Adozione di precisi Piani Nazionali e Strategie per contrastare il rischio Cyber.  Costituzione di CERT (Computer Emergency Response Team) a livello nazionale, adeguatamente muniti delle dovute risorse tecniche ed economiche.  Avvio di un cooperation network a livello europeo per lo scambio di informazioni e per tempestive segnalazioni di allarmi.  Segnalazione di incidenti gravi e di significativo impatto sulla sicurezza dei servizi core di una nazione.  Enforcement, con possibilità di security audit da parte delle autorità competenti nei diversi paesi. Viene inoltre ribadito il ruolo dell’agenzia europea ENISA (European Network and Information Security Agency), come organismo coordinatore delle azioni di sicurezza e delle segnalazioni di incidenti. Ad ENISA è riservato anche un ruolo non tanto di definizione dei livelli minimi di sicurezza, quanto quello di emettere linee guida e raccomandazioni per l’adozione di “NIS benchmarks and good practices”. Anche a questa direttiva, nella versione approvata del marzo 2014, sono stati apportati degli emendamenti che vanno nella direzione di un risk based approach, restringendo l’obbligo di notifica di incidenti gravi solo a quegli operatori che servono infrastrutture critiche (escludendo i cosiddetti OTT, Over the Top Operators, quali aziende del calibro di Google, Facebook, Apple, ecc.) e solo alla propria autorità nazionale, escludendo l’obbligo che notifiche raccolte a livello nazionale vengano poi fatte circolare a livello di Comunità Europea. Alla direttiva, nella versione approvata del marzo 2014, sono stati apportati degli emendamenti che vanno nella direzione di un risk based approach, restringendo l’obbligo di notifica di incidenti gravi solo a quegli operatori che servono infrastrutture critiche e solo alla propria autorità nazionale
  • 14. © The Innovation Group - 2015 | 13 CONCLUSIONI I costi che le aziende di ogni dimensione, dalle più grandi alle medio-piccole, devono affrontare per poter concorrere sul mercato nazionale, europeo ed internazionale dipendono in una certa misura anche dalle leggi e dai regolamenti che singoli stati e organizzazioni sovranazionali si danno per garantire il libero scambio delle merci in regime di sicurezza. Questo è vero sia dal punto di vista fisico che dal punto di vista informatico, in relazione all’acquisto, alla vendita ed alla distribuzione di beni e servizi attraverso internet. Oggi uno degli obiettivi in tema di riduzione dei costi complessivi dell’azienda, è quello di correlare eventuali danni derivanti dai rischi e dalle minacce (insolvenza di clienti e/o fornitori, frodi, danni finanziari, danni di immagine - per furti di informazioni, interruzioni del servizio, ecc.) con gli investimenti, necessari ed a volte obbligatori, per farne fronte. Questo è possibile grazie ad un approccio di tipo risk management, valutando e misurando costi ed opportunità e condividendo tale approccio tra aziende clienti e loro fornitori, anche di servizi informatici, anche di sicurezza informatica; senza dimenticare, in ultimo, che è un approccio che si presta ad essere fornito in un’ottica AAS, “as a service”. Il fatto che anche le norme europee in via di approvazione abbiano fatto proprio questo approccio rappresenta un importante passo in avanti nella definizione di una compliance che non sia soltanto “dogma”, ma piuttosto rappresenti una vera e propria “good practice”; dove compliance sia intesa come invito alle aziende a giustificare, sulla base di della valutazione del rischio, le scelte che ognuna di esse fa per adeguarsi alla normativa. CYBERSECURITY PER LA PA ITALIANA E’ di questi giorni il documento della Presidenza del Consiglio dei ministri italiano “Strategia per la crescita digitale 2014-2020”, datato 6 novembre 2014, che, benché non sia in diretto rapporto con la Direttiva Europea NIS (ricordiamo che la Direttiva dovrà essere ratificata entro agosto 2015), contiene al suo interno indicazioni sulla Digital Security per le PA, oltre che sul sistema pubblico per l’Identità Digitale (SPID) e le Smart Cities. In particolare viene dato l’avvio ad un progetto di Digital Security per la PA per aumentare il livello di sicurezza delle informazioni e delle comunicazioni digitali, al fine di tutelare la privacy, l’integrità dei dati e la continuità dei servizi. Nel progetto verranno definiti gli standard e le linee guida di sicurezza per tutto il settore pubblico: l’aderenza agli standard sarà obbligatoria per le PA e per quegli attori del settore privato che forniscono soluzioni e servizi alle PA. Questo tipo di coinvolgimento avrà risvolti positivi per tutto il settore privato, che sarà così stimolato a sviluppare servizi e soluzioni con più alti standard di sicurezza, che potranno essere messi a disposizione dell’intero mercato italiano ed europeo.
  • 15. © The Innovation Group - 2015 | 14 BIBLIOGRAFIA Andrea Rigoni, Intellium , La nuova direttiva UE su Cybersecurity, (http://www.agendadigitale.eu/infrastrutture/1118_la-nuova-direttiva-ue-su-cyber-security-pro-e- contro.htm), 23 ottobre 2014 Banca d’Italia, Circolare n. 263 del 27 dicembre 2006 – 15° aggiornamento del 2 luglio 2013, (https://www.bancaditalia.it/vigilanza/normativa/norm_bi/circ- reg/vigprud/agg_15_del_02072013/263CIRC_15AGG.pdf), Roma 2 luglio 2013 Council of the European Union, Amendments of the Chapter IV proposal, (http://register.consilium.europa.eu/doc/srv?l=EN&f=ST%2013772%202014%20INIT), Brussels 3 ottobre 2014 European Commission, Proposal for a regulation on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), (http://ec.europa.eu/justice/data- protection/document/review2012/com_2012_11_en.pdf), Brussels 25 gennaio 2012 European Commission, Proposal for a directive concerning measures to ensure a high common level of network and information security (NIS) across the Union, (http://eur-lex.europa.eu/legal- content/EN/TXT/PDF/?uri=CELEX:52013PC0048&from=EN), Brussels 7 febbraio 2013 European Parliament, Amendments of the NIS directive, (http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//NONSGML+REPORT+A7-2014- 0103+0+DOC+PDF+V0//EN), Brussels 12 febbraio 2014 European Parliament legislative resolution, Amendments of the proposal for General Data Protection Regulation, (http://www.europarl.europa.eu/sides/getDoc.do?pubRef=- //EP//TEXT+TA+P7-TA-2014-0212+0+DOC+XML+V0//EN), Strasbourg 12 marzo 2014 Hunton & Williams LLP, Council of the European Union Proposes Risk-Based Approach to Compliance Obligations, (https://www.huntonprivacyblog.com/2014/10/articles/council- european-union-proposes-risk-based-approach-compliance-obligations/), 29 ottobre 2014 Presidenza del Consiglio dei Ministri, Strategia per la crescita digitale 2014-2020, (http://www.agid.gov.it/sites/default/files/documenti_indirizzo/crescita_digitale_2020.pdf), Roma 6 novembre 2014
  • 16. © The Innovation Group - 2015 | 15 Hanno collaborato alla realizzazione dello Studio: Elena Vaciago, Research Manager, The Innovation Group Franco Vigliano, Associate Consultant, The Innovation Group The Innovation Group (TIG) è una società di servizi di consulenza direzionale, advisory e ricerca indipendente fondata da Roberto Masiero ed Ezio Viola, specializzata nella innovazione del Business e dei processi aziendali attraverso l’utilizzo delle tecnologie digitali e delle nuove tecnologie della conoscenza. Si rivolge ad Aziende ed Organizzazioni che desiderano sviluppare strategie di crescita attraverso programmi, iniziative e progetti di innovazione del Business, di “go to market”, di produzione e gestione integrata della conoscenza interna ed esterna dell’azienda tramite le tecnologie ICT. The Innovation Group è formato da un Team con esperienze consolidate, sia a livello locale sia internazionale, si avvale del contributo di partnership strategiche con Aziende e Istituti internazionali che garantiscono un forte e continuo sviluppo di ricerca e di conoscenza dei mercati, delle tecnologie e delle migliori pratiche nei principali settori verticali. Alle Aziende e alle Organizzazioni The Innovation Group si propone con un approccio pragmatico, volto ad affiancarle ed accompagnarle nella fase di realizzazione di piani strategici, per valorizzare le risorse e le capacità esistenti all’interno e prendere le decisioni più utili in tempi rapidi. The Innovation Group si avvale di forti partnership internazionali per la ricerca e la conoscenza di mercati, tecnologie e best practice. Tutte le informazioni/i contenuti presenti sono di proprietà esclusiva di The Innovation Group (TIG) e sono da riferirsi al momento della pubblicazione. Nessuna informazione o parte del report può essere copiata, modificata, ripubblicata, caricata, trasmessa, postata o distribuita in alcuna forma senza un permesso scritto da parte di TIG. L’uso non autorizzato delle informazioni / i contenuti della presente pubblicazione viola il copyright e comporta penalità per chi lo commette. Copyright © 2015 The Innovation Group.
  • 17. © The Innovation Group - 2015 | 16
  • 18. © The Innovation Group - 2015 | 17