Cyber Security e IT: ad ognuno il suo… compreso al Cyber Security Manager!

Pubblicato in: Approfondimenti il giorno: 03 Maggio 2019

Fatti di cronaca recenti lo dimostrano: i dati personali sono un bene inestimabile, e per questo tutte le aziende che ne sono in possesso sono potenzialmente in pericolo rispetto ad attacchi informatici.

Dunque, non solo pubbliche istituzioni, organizzazioni e aziende di grandi dimensioni, ma anche realtà imprenditoriali medie e piccole.

Cionondimeno, ad una crescente consapevolezza da parte delle PMI, assai di rado si accompagnano interventi fattivi in tal senso, sia sottoforma di acquisizione di “pratiche di sicurezza” (che richiedono ovviamente investimenti in termini economici e di tempo) sia nell’introduzione di figure come quella del Cyber Security Manager.

Quello che serve dunque è una nuova cultura della security aziendale, che sappia adattare in modo flessibile la normativa di riferimento, gli standard ISO e le linee guida, rendendoli perfettamente calzanti alle esigenze e ai requisiti di business delle singole realtà aziendali.

Parlare di flessibilità è doveroso, se solo si tiene presente che, ad esempio, nell’ambito IT le priorità sono Riservatezza, Integrità e Disponibilità, mentre in contesti di fabbrica le priorità risultano esattamente invertire (Disponibilità, Integrità e infine Riservatezza).

Al di là di queste differenze, tuttavia, le best practice da adottare per la cyber security restano le stesse:

1. una strategia di security dovrebbe partire da uno standard di alto livello (come potrebbe essere la ISO/IEC 27001:2013, da anni uno dei principali standard di riferimento per l’information security)

2. bisognerebbe adottare documenti di riferimento nella community mondiale della security (il NIST Cyber Security Framework, ad esempio, è uno standard di riferimento per verificare il proprio stato di aderenza alle best practice in merito alla cyber security, che permette un approccio strategico -anche se, a ben guardare, non contiene informazioni tattiche di dettaglio-).

A queste best practice va associato il rispetto delle leggi vigenti, che spesso danno indicazioni precise, integrabili in un Sistema di Gestione della Sicurezza delle Informazioni.

Il GDPR, ad esempio, prescrive, tra le altre cose, un registro delle informazioni gestite, un’organizzazione interna, un’analisi del rischio e una procedura di gestione degli incidenti.

D’altro canto, anche le stesse normative assumono caratteristiche specifiche a seconda dei contesti: si pensi alla Circolare di Banca d’Italia 285 per le Banche o alla Direttiva Europea NIS per le infrastrutture critiche.

Facendo fatica ad affermarsi una cultura aziendale autenticamente orientata alla sicurezza, anche figura e ruolo del Cyber Security Manager non godono della dovuta attenzione, e spesso si tende ad esternalizzare la cyber security o ad affidarla al responsabile IT, che invece possiede competenze e sensibilità differenti.

A poco serve acquistare software top di gamma se la loro adozione non è inquadrata in un contesto più ampio di gestione strategica, continuativa e trasversale, affidata appunto ad un Manager della Sicurezza.

Laddove invece, garantire la sicurezza aziendale vuol dire predisporre un piano periodico di valutazione e rilevazione, che permetta di monitorare nel continuo le vulnerabilità, tramite i Vulnerability Assessment (VA), strumento che riesce ad evidenziare le falle del sistema che potrebbero essere sfruttate da un attaccante, e che quindi sarebbe necessario correggere con la massima urgenza.

Eppure questo non avviene, e i motivi sono disparati.

Innanzitutto perché, come si diceva, spesso nelle aziende si finisce col confondere ruoli e mansioni (come il responsabile IT e il Cyber Security Manager).

In secondo luogo, perché molte PMI italiane continuano ad adoperare hardware (web server, dispositivi di rete, etc.) e software obsoleti.

Come si potrebbe ovviare a tutto questo?

Dimostrando fattivamente attraverso simulazioni di attacco –i penetration test– quanto un’azienda possa essere messa in ginocchio, in assenza di scelte strategiche di sicurezza (seppur costose in termini di budget e di tempo).

Proprio i rischi fatali evidenziati da queste simulazioni dovrebbero sollecitare un’appropriata analisi dei rischi IT, che evidenzi gli effettivi punti critici più vulnerabili, che consenta un focus sulle risorse da proteggere con maggiore attenzione, e soprattutto dia la possibilità di assegnare una priorità ben precisa alle azioni da intraprendere, considerando come fattore primario proprio il business.

Trattandosi di una logica che assai di rado appartiene alle PMI nostrane, un valido aiuto è rappresentato da Copying SRL, che fornisce supporto e affiancamento nelle attività necessarie per l’attuazione delle disposizioni previste dal Regolamento (UE) 2016/679:

• nuovi ruoli aziendali connessi alla protezione dei dati personali (data controller e data processor)

• la nuova figura del Data Protection Officer (DPO)

• le procedure per la gestione del rischio e le correlate misure di sicurezza (Privacy Impact Assessment)

• la comunicazione della violazione dei dati personali (Data Breach)

• la progettazione della sicurezza (Privacy by Design e Privacy by Default.

 

Oltre a ciò l’azienda fornisce anche servizi di:

Fatturazione Elettronica

Gestione Documentale

Firma Grafometrica e Firma Elettronica Avanzata (FEA)

Conservazione Digitale

Gestione Infrastrutture IT