Sicurezza dei dati e continuità operativa: un obbligo

Press

November 21, 2019

La presenza sempre più pervasiva delle tecnologie informatiche e l’aumento esponenziale della produzione e dello scambio di dati rendono ormai fondamentale una gestione integrata della cybersecurity. Ecco perché, considerata la rilevante minaccia che un’inadeguata gestione della sicurezza dei dati e delle tecnologie informatiche rappresenta per tutte le infrastrutture pubbliche e private del Paese, sono state emanate normative che impongono a tutte le organizzazioni, enti e aziende di adottare nuovi modelli di governance e più adeguate misure di sicurezza, non solo tecnologiche, ma anche organizzative e gestionali.A rispondere in prima persona della cybersecurity è il Management, che è chiamato a perseguire eapplicare con efficacia standard sempre aggiornati di sicurezza. Nello specifico, al Management viene richiesto di: valutare i rischi; definire le politiche di sicurezza; predisporre adeguate misuretecnologiche e processi organizzativi; sensibilizzare e formare il personale; effettuare continuimonitoraggi e controlli.È un compito complesso, dato che è necessario che queste misure vengano concretamente applicate garantendo al tempo stesso la soddisfazione delle esigenze del business e degli stakeholders, nonché l’efficienza in termini di impegno di risorse e costi.Tutte le recenti normative (come il GDPR Europeo e la prossima Legge Federale sulla Protezione dei Dati) e le regolamentazioni di settore richiedono di fare riferimento alle metodologie degli entiinternazionali accreditati (Iso, Nist, Cobit, Itil, etc.) e a tutte le best practice riconosciute, che stanno convergendo sugli stessi principi di governance:

  • orientamento agli obiettivi
  • risk-based approach
  • ciclicità del processo di gestione (plan-do-check-act)
  • security by design
  • proporzionalità degli investimenti
  • accountability.

Ma come può il Management districarsi tra i numerosi standard richiesti e tutte queste best practice?Attraverso una serie di accorgimenti chiave.

  • Adottando un approccio top-down che permetta, attraverso uno schema generale della situazione, di avere una panoramica complessiva del campo di gioco (quali siano i dati e le tecnologie gestiti e delle reali criticità).
  • Applicando una metodologia di valutazione dei rischi che consenta la completezza di analisi, permetta di procedere per approfondimenti successivi in ambiti via via più specifici e ristretti e, non da ultimo, assicuri l’oggettività e la ripetibilità delle valutazioni.
  • Garantendo il continuo mantenimento, aggiornamento e controllo continui del sistema di protezione. Spesso le aziende investono tempo e denaro per costruire il sistema di gestione dellasicurezza, ma dopo averlo realizzato non lo applicano con perseveranza e rigore, né lo adeguano alle novità del contesto interno e dello scenario esterno (nuovi rischi e nuove normative). È invece necessario definire in modo chiaro i compiti e le responsabilità di ciascuno, condividendo internamente un sistema di indicatori e di reporting costruito su misura per la propria organizzazione.
  • Investendo nella sensibilizzazione e formazione di tutto il personale. Ciò è fondamentale, in quanto, come si suol dire, “la catena è tanto forte quanto lo è il suo anello più debole”. L’adozione di un sistema di governance della security e della business continuity riveste importanza strategica, non solo per la riduzione dei rischi e per rispondere ai requisiti imposti dalle normative, ma anche per ottenere vantaggi in termini di posizionamento nel mercato. Molti enti pubblici nei loro bandi di gara e molte grandi aziende e multinazionali private chiedono sempre più spesso ai loro fornitori-partner di adottare modelli di governance che garantiscano la protezione dei dati e la continuità dei servizi. Ed è anche per questo che molte aziende puntano a ottenere la certificazione Iso 27001 e la certificazione Iso 22301 del sistema di gestione della sicurezza delle informazioni, delle tecnologie informatiche e della business continuity, in modo da accrescere la propria reputazione sul mercato nei confronti della concorrenza.

Da tempo Security Lab Advisory partecipa a convegni e tiene corsi di formazione in cui vi è lapossibilità di approfondire questi temi con le aziende presenti e suggerire possibili soluzioni. Inoltre, pubblica periodicamente articoli di aggiornamento e approfondimento.

Scarica l'articolo

Scarica l'articolo in PDF