Sicurezza dei dati e continuità operativa: per il Management, un obbligo dettato da leggi e mercato

News

October 9, 2019

Fino a qualche anno fa, in tutte le organizzazioni l’area Legale e quella Informatica erano due campi di competenza separati, gestiti da differenti specialisti e simili a due satelliti autonomi che ruotavano intorno al Business. Ora non può più essere così.La presenza sempre più pervasiva delle tecnologie informatiche e l’aumento esponenziale della produzione e dello scambio di dati rendono infatti ormai fondamentale una gestione integrata della cybersecurity. Ecco perché, considerata la rilevante minaccia che un’inadeguata sicurezza dei dati e delle tecnologie informatiche rappresenta per tutte le infrastrutture pubbliche e private del Paese, sono state emanate normative che impongono a tutte le organizzazioni, enti e aziende di adottare nuove e più adeguate misure di sicurezza, non solo tecnologiche, ma anche organizzative e gestionali.A rispondere in prima persona della cybersecurity è il Management, che è chiamato a perseguire e applicare standard sempre aggiornati di sicurezza efficace. Nello specifico, al Management viene richiesto di:

  • valutare i rischi
  • definire le politiche di sicurezza
  • predisporre adeguate misure tecnologiche e processi organizzativi
  • sensibilizzare e formare il personale
  • effettuare continui monitoraggi e controlli.

È un compito complesso, dato che si deve far sì che questi protocolli vengano concretamente applicati garantendo al tempo stesso la soddisfazione delle esigenze del business e degli stakeholders, nonché l’efficienza in termini di impegno di risorse e costi.Tutte le recenti normative (come il GDPR Europeo e la prossima Legge Federale sulla Protezione dei Dati) e le regolamentazioni di settore richiedono di fare riferimento alle metodologie degli enti internazionali accreditati (ISO, NIST, COBIT, ITIL, PCI, etc.) e a tutte le best practice riconosciute, che stanno convergendo sugli stessi principi di governance:

  • Orientamento agli obiettivi
  • Risk-based approach
  • Ciclicità del processo di gestione (plan-do-check-act)
  • Security by design
  • Proporzionalità degli investimenti
  • Accountability

Ma come può il Management districarsi tra i numerosi standard richiesti e tutte queste best practice? Attraverso una serie di accorgimenti chiave:

  • Adottando un approccio top-down che consenta, attraverso uno schema generale della situazione, di avere una panoramica complessiva del “campo di gioco”, in modo da “vedere l’intera foresta dall’alto e non gli alberi uno ad uno dal basso”. Molto spesso, infatti, il Management non ha un’idea chiara di quali siano i dati e le tecnologie gestiti e delle reali criticità.
  • Applicando una metodologia di valutazione dei rischi che consenta la completezza di analisi (per non rischiare di trascurare elementi importanti), permetta di procedere per approfondimenti successivi in ambiti via via più specifici e ristretti (per rilevare effettive criticità e mantenere un’adeguata efficienza) e assicuri l’oggettività e la ripetibilità delle valutazioni (grazie alla condivisione e all’assunzione di responsabilità tra i diversi attori coinvolti).
  • Garantendo mantenimento, aggiornamento e controllo continui del sistema di protezione. Spesso le aziende investono tempo e denaro per costruire il sistema di gestione della sicurezza, ma dopo averlo realizzato non lo applicano con perseveranza e rigore, né lo adeguano alle novità del contesto interno e dello scenario esterno (nuovi rischi e nuove normative). Questo favorisce inoltre la “deresponsabilizzazione” ai diversi livelli di controllo. È necessario definire in modo chiaro i compiti e le responsabilità di ciascuno, condividendo internamente un sistema di indicatori e di reporting costruito su misura per la propria organizzazione.
  • Investendo nella sensibilizzazione e formazione di tutto il personale. Questo è fondamentale, in quanto, come si suol dire, “la catena è tanto forte quanto lo è il suo anello più debole”. Quante volte i media ci ripetono che gli attacchi informatici più frequenti e devastanti sfruttano la debolezza di utenti ignari e inconsapevoli?

L’adozione di un sistema di governance della sicurezza riveste importanza strategica, non solo per la riduzione dei rischi e per rispondere ai requisiti imposti dalle normative, ma anche per ottenere vantaggi in termini di posizionamento nel mercato. Molti enti pubblici nei loro bandi di gara e molte grandi aziende e multinazionali private chiedono sempre più spesso ai loro fornitori-partner di adottare modelli di security che garantiscano la protezione dei dati e la continuità dei servizi. Ed è anche per questo che molte aziende puntano a ottenere la certificazione ISO 27001 del sistema di gestione della sicurezza delle informazioni e delle tecnologie informatiche, in modo da accrescere la propria reputazione sul mercato nei confronti della concorrenza meno reattiva.Da tempo Security Lab Advisory partecipa a convegni e tiene corsi di formazione in cui vi è la possibilità di approfondire questi temi con le aziende presenti e suggerire possibili soluzioni.

Scarica l'articolo in PDF