Crescenti adempimenti di compliance a leggi e regolamenti

Dal 2016 sono state pubblicate alcune leggi e regolamenti relativi alla sicurezza delle informazioni e alla Privacy, con pressanti adempimenti di compliance e rilevanti impatti sul business aziendale: in primis il notissimo Regolamento UE n° 679/2019 (meglio conosciuto come “GDPR”) dedicato alla protezione dei dati personali, la Direttiva UE n° 1148/2019 (ribattezzata“NIS”, acronimo di Network and Information Security), dedicata alla sicurezza degli operatori dei servizi essenziali individuati a livello nazionale tra le aziende appartenenti ai settori contemplati dalla Direttiva stessa (es. energia, trasporti, bancario, infrastrutture dei mercati finanziari, sanitario, fornitura e distribuzione di acqua potabile e infrastrutture digitali) ed il Regolamento UE n° 881/2019 in materia di Cyber Security, che mira a rafforzare la regolamentazione del settore attraverso la certificazione della sicurezza informativa di prodotti, servizi e processi ICT.

Da sottolineare che nell’ambito del “GDPR” e del “NIS” è posta una rilevante focalizzazione sui rischi di sicurezza informatica e sulla gestione incidenti. Per la normativa “NIS” un elemento determinante, stante l’ambito considerato relativo ai servizi essenziali, è la Business Continuity. L’Italia è fra i Paesi più attenti a tematiche di innovazione digitale e Cyber Security, avendo pubblicato uno specifico decreto legislativo sul perimetro di sicurezza nazionale cibernetica approvato il 19 Settembre 2019 e definito per i fornitori Cloud della PA stringenti regole di sicurezza informatica, fra le quali l’obbligo delle certificazioni ISO 27001, ISO 27017 e ISO 27018 (in caso di trattamenti di dati personali) e l’invito a considerare l’ottemperanza alle Norme ISO 20000 e ISO 22301, per assicurare adeguati livelli di servizio e la presenza di piani di continuità operativa.

Tecnologie digitali e cybersecurity

La pervasività dell’informatica nella società e nelle aziende è un fenomeno sotto gli occhi di tutti, per gli impatti sui processi aziendali e sulla vita degli individui. Si registra una diffusione consolidata di strumentazione informatica di base, come i sistemi informativi dedicati alla gestione aziendale, ERP o sistemi Legacy sviluppati direttamente dalle Aziende o acquisiti dai player di mercato, con utenti dotati di una svariata gamma di strumentazione dalle Workstation, ai Laptop, ai Tablet e agli Smartphones, per svolgere transazioni e per accedere alle banche dati tramite reti di comunicazione aziendali o planetarie per accedere a Internet.

Ma non solo, le aziende si stanno progressivamante orientando verso due tendenze ineluttabili: i servizi Cloud e l’adozione delle tecnologie abilitanti della quarta rivoluzione industriale, fra le quali il Web 4.0, l’IoT (Internet delle cose) e l’intelligenza artificiale, che presentano impatti di sicurezza per le aziende e per gli individui. In questo contesto cresce l’attualità della Cyber Security per fronteggiare gli attacchi che provengono dalla rete, fenomeno sempre più ripreso dai mass media, unitamente alla diffusione dei Social Network, del Phising e dei dispositivi mobili, fonte non secondaria di minacce alla sicurezza delle informazioni aziendali e degli individui.

Svolgimento di IT Risk Assessment integrato

Per comprendere e rispondere allo scenario sopra descritto, Sernet suggerisce alle aziende di svolgere istruttorie periodiche di IT Risk Assessment integrati (Information Security, Cyber Security, Privacy, IT Service Management e Business Continuity), allo scopo di identificare quali sono le principali fonti di rischio a cui i sistema informativi e, conseguentemente, i processi di business dell’azienda sono soggetti. In termini di sicurezza delle informazioni e protezione dei dati personali, continuità operativa e gestione dei servizi IT.

L’IT Risk Assessment integrato si basa sui controlli (o contromisure) presenti nei singoli Standard ISO citati. Per lo svolgimento del Risk Assessment è prevista la costituzione di un Team di valutazione composto dal Responsabile IT Security, i Responsabili IT e dai Process Owners aziendali interessati, con il supporto della consulenza Sernet.

Il Risk Assessment prevede l’utilizzo di una metodologia supportata da checklist che integrano le contromisure suggerite dagli Standard Internazionali considerati e da un foglio di calcolo in excel, sviluppata da Sernet ed adottata già in numerosi progetti che, partendo dalle minacce che influiscono sugli asset aziendali, identifica e calcola i rischi.

I principali step del Risk Assessment consistono in una fase di formazione preliminare sulla metodologia da adottare, nell’identificazione del perimetro aziendale da considerare, nella rilevazione delle minacce, nella valutazione delle stesse sulla base della loro probabilità di accadimento e del potenziale impatto per il business, l’individuazione delle misure tecniche e organizzative (di sicurezza, di privacy, di continuità etc.) adottate dall’azienda e l’analisi della loro vulnerabilità, intesa come adeguatezza a ridurre gli impatti delle minacce considerate. Il risultato finale è l’individuazione, per ogni minaccia considerata, del livello di rischio “residuo” (ovvero non minimizzato dalle contromisure adottate)e del suo confronto con i criteri di accettazione condivisi con il Management aziendale.

Le minacce e le contromisure di Cyber security, già contemplate nell’ambito della checklist citata, possono essere approfondite attraverso lo svolgimento di Vulnerability Assessment e Penetration Test sulle infrastrutture e sulle applicazioni esposte su web. Inoltre nel Risk Assessment si potrà valutare l’adeguatezza delle soluzioni di mitigazione dei più significativi rischi di cybersecurity (es. determinati dai cosiddetti APT – Advanced Permanent Threat, DDoS – Distribuited Denial of Service, etc.) e di quelle previste per il monitoraggio degli eventi e attacchi di sicurezza (in presenza di una soluzione di Security Operation Center – SOC, sarà valutata la sua efficacia in termini di architettura e modello organizzativo).

La durata dell’interventovaria in funzione dell’ampiezza del perimetro considerato, della complessità dei processi di Business e dei sistemi informatici aziendali. In ogni caso, grazie alle esperienze e alla professionalità dei consulenti Sernet, le numerose istruttorie svolte hanno richiesto per le aziende clienti un impegno contenuto in termini di tempo, costo e coinvolgimento del personale aziendale. La metodologia e le checklist sviluppate al riguardo da Sernet, consentono di ottenere risultati confrontabili nel tempo.

I benefici conseguibili dalle aziende sono significativi, consentendo alle stesse di disporre di un quadro di riferimento oggettivo e completo relativo al rispetto di leggi e regolamenti, con particolare riferimento alla Privacy e alla sicurezza dei servizi informatici utilizzati, considerando diversi angoli visuali: sicurezza, livelli di servizio, continuità operativa. Inoltre, le aziende potranno identificare e valutare i “Gap” aziendali da risolvere in ipotesi di futuri progetti di certificazione dell’azienda secondo le Norme già certificabili, ovvero:

  • ISO 27001 (sicurezza delle informazioni),
  • ISO 20000 (IT Service management),
  • ISO 22301 (business continuity).

Per la norma ISO 27701 (protezione  dati personali)  la certificazione sarà possibile una volta pubblicato il relativo schema di certificazione.