Compliance a un Approccio Risk Based per la Cybersecurity · 2017-01-23 · rischio cyber e...
Transcript of Compliance a un Approccio Risk Based per la Cybersecurity · 2017-01-23 · rischio cyber e...
Dalla Compliance a un Approccio Risk Based per la Cybersecurity
2015
Gennaio 2015
© The Innovation Group - 2015 | 1
© The Innovation Group - 2015 | 2
DALLA COMPLIANCE A
UN APPROCCIO RISK
BASED PER LA
CYBERSECURITY
UNA RICERCA DI:
© The Innovation Group - 2015 | 3
CYBERSECURITY & RISK MANAGEMENT LEADERSHIP PROGRAM
Il presente documento è parte dell’attività di Ricerca di The Innovation Group rivolta agli
iscritti a un programma di attività specifico sui temi della Cybersecurity e del Risk
Management. Si tratta di un programma di elevato profilo per favorire la diffusione di
conoscenza sul tema del controllo e della mitigazione del Rischio Cyber, arricchito dalla
partecipazione di Deloitte Italia, in veste di Partner tecnico nello sviluppo dei contenuti,
e di un Advisory Board di esperti e di aziende Leader del settore.
Gli iscritti al programma possono infatti partecipare a:
Workshop e Roundtable dedicate, per entrare in contatto con esperti ed essere
aggiornati sugli ultimi trend dell’industria.
Webinar: una serie di appuntamenti nel corso del 2015 per essere informati sui temi più
attuali del momento.
Canale tematico: un sito con news, commenti sulle evoluzioni normative in corso,
interviste a CSO, Security e Risk Manager.
Ricerche: una selezione di ricerche e studi costantemente aggiornata, oltre che indagini,
survey ed approfondimenti prodotti dagli Analisti di mercato di The Innovation Group e
dal Partner Tecnico Deloitte Italia.
Discussioni: la possibilità di partecipare a dibattiti con gli altri iscritti al programma.
Newsletter: per rimanere in contatto ed essere informati sulle attività e i contenuti del
programma.
Il Cybersecurity e Risk Management Leadership Program ha lo scopo di aiutare le aziende
di diversa estrazione, le organizzazioni, i diversi stakeholder della tematica ad
individuare i gap della propria situazione e le possibili risposte per il miglioramento del
profilo di Cyber Risk, rivolgendosi a coloro che a vario titolo sono coinvolti nelle scelte
legate alla sicurezza in azienda.
Roberto Masiero
Co-Founder
The Innovation Group
Ezio Viola
Co-Founder
The Innovation Group
© The Innovation Group - 2015 | 4
SOMMARIO
INTRODUZIONE 5
DOVE NASCE L’ESIGENZA DI UN APPROCCIO RISK-BASED 6
COME PASSARE NELLA PRATICA DA UN APPROCCIO COMPLIANCE-
BASED A UNO RISK-BASED PER LA CYBERSECURITY 7
APPROCCIO RISK-BASED DELL’EUROPEAN DATA PROTECTION
REGULATION 9
APPROCCIO RISK-BASED DELLA DIRETTIVA NIS (NETWORK AND
INFORMATION SECURITY) 11
CONCLUSIONI 13
BIBLIOGRAFIA 14
© The Innovation Group - 2015 | 5
INTRODUZIONE
Oggi più che mai cybersecurity e risk management sono due practice strettamente
legate.
Un approccio di tipo risk-based nell’affrontare problematiche di cybersecurity, oltre a
riportare nel suo corretto alveo la gestione di uno dei più importanti rischi che
un’azienda si trova oggi ad affrontare, per la presenza e la pervasività dell’informatica,
presenta innegabili vantaggi dal punto di vista economico, permettendo di definire un
giusto investimento per la sicurezza delle informazioni e delle risorse ICT, correlato a una
valutazione economica del rischio.
Questo orientamento è sempre più presente anche negli interventi che Regulators
italiani ed europei stanno facendo sulla cybersecurity.
La tendenza è iniziata fin dalla stesura delle specifiche di Basilea III, da parte della BCE,
poi riprese dalla Circolare 263 di Banca d’Italia “Nuove disposizioni di vigilanza
prudenziale per le banche”.
La circolare, nel suo aggiornamento del 2 luglio 2013, fa esplicito riferimento alla
necessità di un Risk Appetite Framework nel modulare la qualità e la quantità di
interventi necessari a definire la robustezza del sistema informativo, sia che questo sia
interno alla banca o in outsourcing presso società controllate o, ancora, completamente
esternalizzato. Per le banche d’altronde l’approccio risk-based è una necessità, dal
momento che l’accantonamento di capitale richiesto da Basilea III per garantire la
solidità di queste istituzioni finanziarie è proporzionale alle risultanze di una
approfondita analisi del rischio, comrpesa la componente ICT.
Oggi però ci sono 2 altri interventi importanti che l’Unione Europea ha in cantiere, legati
alla cybersecurity e altrettanto caratterizzati da un approccio risk-based. Parliamo della
“European Data Protection Regulation” e della Direttiva su “Network and Information
Security (NIS)”.
Il presente documento vuole essere un primo contributo al tema della gestione del
rischio cyber e dell’evoluzione da un approccio compliance-based verso un approccio
alla cybersecurity basato sulla valutazione e gestione del rischio. A questo ne seguiranno
altri, di approfondimento sulle normative in fase di emissione a livello nazionale ed
internazionale, sulla loro evoluzione, sulle richieste in termini di conformità e sugli
impatti specifici per le singole realtà aziendali.
La circolare 263 di Banca
d’Italia, nel suo
aggiornamento del 2 luglio
2013, fa esplicito
riferimento al Risk Appetite
Framework, nel modulare
la qualità e la quantità di
interventi necessari a
definire la robustezza del
sistema informativo, sia
che questo sia interno alla
banca o in outsourcing
presso società controllate o
completamente
esternalizzato
© The Innovation Group - 2015 | 6
DOVE NASCE L’ESIGENZA DI UN APPROCCIO RISK-BASED
C’è un rischio molto specifico per cui oggi molte aziende private e organizzazioni
pubbliche risultano non preparate: quello relativo alle tecnologie ICT e alla gestione dei
dati e delle informazioni critiche per la singola realtà.
La digitalizzazione ha infatti comportato una crescita enorme del rischio associato ai
sistemi ICT, dovuto alla facilità con cui possono avvenire furti di dati e di Intellectual
Property, il sabotaggio, danni alla continuità del business, il denial of service, il danno di
reputazione e quant’altro.
Al giorno d’oggi non sono più soltanto le organizzazioni “information intensive” (come
banche, utilities, pubbliche amministrazioni) a risultare particolarmente sensibili a
queste tematiche, ma il tema interessa oramai tutti, comprese le piccole aziende che
partecipano spesso a supply chain estese, e possono quindi diventare l’anello debole di
una catena più ampia.
Normalmente le aziende impostano i propri programmi per la cybersecurity sui seguenti
elementi:
Compliance alle norme: sono valutati gli adempimenti richiesti, ad esempio quanto è previsto dalle leggi sulla Privacy (D.Lgs 196/2003) o sulle responsabilità degli Amministratori (D.Lgs 231/01).
Tecnologia: scelta di un mix di soluzioni per ridurre la vulnerabilità dei sistemi utilizzati nell’organizzazione (antivirus, antispam e antiphishing, firewall, intrusion detection e prevention, data leakage protection, ecc.).
Servizi: consulenza, vulnerability assessment, managed services e formazione sulle tematiche della cyber security.
Inevitabilmente nel far questo le organizzazioni si trovano nella necessità di dover
affrontare dei costi – e a questo punto comincia ad apparire evidente che il livello di
investimento per la sicurezza deve essere rapportato a un’esigenza imputabile solo alla
singola realtà, e che non può essere determinato da ragioni di compliance.
In sostanza, il livello di investimento va correlato al rischio (reputazionale, di continuità
operativa, finanziario, verso i partner/i clienti) che la singola realtà ritiene di poter
sostenere. Il livello di investimento in cyber security è quindi collegato strettamente alla
business strategy. Va anche considerato che policy di sicurezza eccessivamente
stringenti possono essere vissute dalle persone come un impedimento al business,
risultando di fatto un freno alla capacità dell’azienda di innovare, partecipare a modalità
aperte di collaborazione con terze parti, essere flessibile e rapida nel proprio mercato.
Per seguire un approccio concreto nella definizione di una precisa strategia per la
cybersecurity, correttamente correlata ai bisogni del business, i responsabili di questo
ambito devono partire da un risk assessment che prenda in considerazione almeno le
seguenti classi di rischio specifiche per il mondo ICT:
© The Innovation Group - 2015 | 7
Rischio di non-compliance: la compliance non deve essere l’unico punto di partenza per le scelte in materia di cybersecurity, ma si deve comunque considerare obbligatoria in quanto non rispettarla comporta rischi di sanzioni economiche e di perdità di credibilità dell’azienda verso il suo mercato. Questo vale oggi in particolar modo per quanto riguarda la Data Protection, così come richiesta dalle norme relative alla Privacy.
Rischio associato ad incidenti che possono seguire un attacco informatico o un data breach: si possono fare simulazioni di quanto costa a un’azienda la temporanea inattività dei suoi dipendenti nel caso di interruzione delle operation ICT. Per quanto riguarda il furto di dati, il danno economico dipende molto dal valore delle informazioni o può rientrare in un caso di non-compliance per i dati personali.
Rischio reputazionale: ci sono stati molti casi in cui la non disponibilità di un servizio, per qualche ora o per interi giorni, ha seriamente danneggiato l’immagine di istituzioni importanti, ad esempio banche. Ancora peggio sarebbe se venissero alla luce informazioni su data breach di grandi dimensioni come quelle apparse negli ultimi anni per quanto riguarda importanti corporation USA. Le nuove norme sulla Privacy a livello europeo vogliono introdurre la pratica della notifica del data breach, per cui ci dobbiamo aspettare forti impatti sul fronte reputazionale.
Rischi legati ai fornitori di servizi e tecnologie digitali. In un economia sempre più interconnessa, con risorse, dati e servizi che tendono a sposarsi in cloud per risultare più economici ed efficienti, il rischio di avere un fornitore che non offre garanzie sufficienti può essere rilevante, e deve essere considerato dalle policy aziendali. Lo stesso tema vale per la qualità dei prodotti e del software, che devono il più possibile risultare esenti da vulnerabilità note.
Questo sono solo alcuni degli aspetti che impattano nella determinazione del rischio
Cyber della singola organizzazione: una volta identificati, le aziende devono procedere
alla scelta della propria strategia di risk management. In sostanza, una volta identificati i
rischi bisogna scegliere la strategia più opportuna, dal trasferimento del rischio a terze
parti, all'evitare il rischio, al ridurne gli effetti negativi e infine all'accettare in parte o
totalmente le conseguenze di un particolare rischio. Infine, le aziende devono stabilire
come modificare l’organizzazione e i processi interni in modo da consolidare questo
nuovo modus operandi.
COME PASSARE NELLA PRATICA DA UN APPROCCIO COMPLIANCE-BASED A UNO RISK-BASED PER LA CYBERSECURITY
I Chief Information Security Officer si chiedono oggi quale è il modo più efficace per
passare a un approccio risk-based nelle scelte relative alla strategia per la cybersecurity.
Da una discussione tra CISO, membri della community Wisegate1, essi hanno identificato
3 azioni prioritarie:
1. La compliance deve diventare un elemento del profilo di rischio complessivo dell’organizzazione: le norme rimangono ma i manager devono cominciare a pensare in termini di “livello di rischio accettabile”.
1 “Moving From Compliance to Risk-Based Security: CISOs Reveal Practical Tips” , Wisegate Community
Viewpoints, 2013
© The Innovation Group - 2015 | 8
2. Bisogna essere consapevoli del fatto che la tolleranza al rischio della singola organizzazione cambia nel tempo. Un profilo di rischio sta a indicare il livello di accettazione dello stesso in un particolare momento, e inevitabilmente cambia nel tempo. Dal momento che è difficile definire in anticipo il livello di rischio, è utile avere conversazioni frequenti a tutti i livelli del management.
3. Infine, è fondamentale far sì che la gestione del rischio sia efficace, e per far questo bisogna aver disegnato il risk management a livello strategico, tattico e operativo. Un’organizzazione che comincia ad avvicinarsi a un approccio risk-based deve innanzi tutto testare le soluzioni per la valutazione del rischio; deve lavorare alla comprensione del risk profile e collaborare con terze parti nella realizzazione di risk assessment.
Tabella 1: Il risk management della cybersecurity da un punto di vista strategico,
tattico e operativo
LIVELLO DESCRIZIONE
STRATEGICO
A questo livello, il focus è all’interno delle Line-of-business e
della definizione dei rispettivi obiettivi di gestione del
rischio cyber. I Manager della security devono sedersi con le
loro controparti dell’organizzazione – le aree HR, IT,
Amministrative, produttive e quant’altro – per parlare dei
rischi correnti e quanto questi avranno effetto sull’azienda
nei prossimi 3 anni. Ciascuno deve valutare quale rischio è
accettabile, quale trasferibile e quale può essere mitigato.
Attraverso la realizzazione di un’ampia Risk Impact Analysis i
manager arrivano a comprendere gli obiettivi generali del
Piano di Cybersecurity.
TATTICO
A livello tattico, continuano ad essere importanti gli
obiettivi, ma le attività del team della Security cominciano
ad orientarsi verso aspetti di performance nel controllo del
rischio. Vengono definite le misure minime e quindi si passa
a discutere con i manager delle varie Line-of-business in
quali ambiti è possibile assumersi maggiori rischi.
OPERATIVO
Al terzo livello, quello operativo, si passa alla definizione
delle single aree, dalle valutazioni dei rischi (risk
assessments) all’adozione di misure di sicurezza all’interno
dell’intero life cycle di qualsiasi progetto (SDLC, system
development life cycle), alle attività di monitoraggio
continuo, profili di rischio, controlli. A questo livello si
analizza quali controlli per la compliance sono già stati
avviati, si individuano eventuali gap, si identificano nuovi
strumenti dove questi possono servire.
© The Innovation Group - 2015 | 9
Un tema importante – che per ragioni di spazio rimandiamo a un successivo
approfondimento – è poi quello del calcolo del rischio da un punto di vista finanziario
(come è stato fatto ad esempio nel 2010 da ISA e ANSI2) tramite un modello basato su
alcuni parametri essenziali, come la probabilità che occorra un determinato evento, la
possibile perdita economica, la possibilità di trasferire in parte il rischio tramite una
polizza assicurativa.
APPROCCIO RISK-BASED DELL’EUROPEAN DATA PROTECTION REGULATION
Il nuovo Regolamento concerne la tutela delle persone fisiche con riguardo al
trattamento dei dati personali e la libera circolazione di tali dati. Prenderà il posto di
precedenti direttive in materia, ed, in Italia, del D.Legs 196/2003 sulla Privacy.
Come Regolamento infatti, a differenza delle Direttive, che hanno una valenza
prettamente di “linee guida”, non necessita di un passaggio approvativo presso i
Parlamenti dei singoli Stati Membri, ma è subito oggetto di applicazione.
Nel Semestre europeo l'Italia avrebbe voluto fregiarsi dell'approvazione definitiva del
nuovo Regolamento, ma il Consiglio Europeo, presieduto lo scorso 4 dicembre dal nostro
ministro della Giustizia, ha esaminato il testo del Regolamento proposto dalla
Commissione ed emendato dal Parlamento Europeo, ed ha apportato ulteriori modifiche
che, di fatto, ne hanno fatto slittare l'approvazione definitiva a data che, per ora, è
impossibile predeterminare.
L'iter di approvazione degli atti dell'UE prevede infatti che la posizione adottata il 4
dicembre dal Consiglio debba essere ritrasmessa al Parlamento per una ulteriore
votazione. Quest'ultimo esaminerà la posizione del Consiglio e potrà approvare l'atto
oppure respingerlo. In caso di approvazione, dall'entrata in vigore del Regolamento (cioè
dalla data della sua pubblicazione in Gazzetta Ufficiale UE) alla sua applicabilità, devono
poi trascorrere due anni.
La European Data Protection Reform si caratterizza per l’introduzione di una serie di
novità riguardanti il disegno, la gestione ed il controllo dei dati personali (vedi Tabella 2),
proponendo un approccio meno prescrittivo in termini documentali, rispetto ad esempio
alla legislazione italiana, ma più legato ad aspetti realizzativi ed architetturali delle
soluzioni informatiche che stanno alla base dei trattamenti.
2 “The financial management of cyber risk”, 2010 Internet Security Alliance (ISA) / American National
Standards Institute (ANSI)
© The Innovation Group - 2015 | 10
Tabella 2: Principali requisiti del Nuovo Regolamento sulla Data Protection
Requisito Breve descrizione Punto del
Regolamento
Data Protection Officer Data Processor Joint Controller
Istituzione di precise figure legate al trattamento dei dati personali: gestore del trattamento, responsabile dal punto di vista giuridico, controller
Capitolo IV - Articolo 35
Privacy by design and by default
Adozione di meccanismi di progettazione e sviluppo nel ciclo di vita del software che garantiscano il necessario livello di protezione dei dati
Capitolo IV - Articolo 23
Security of processing
Implementazione di misure tecniche ed organizzative per assicurare un livello di sicurezza nella gestione dei dati personali appropriata ai rischi
Capitolo IV - Articolo 30
Breach Notification Obbligo di notifica dell'avvenuta violazione di dati personali all'Autorità competente ed ai singoli individui
Capitolo IV - Articoli 31 e 32
Privacy impact assessment
Attività di verifica d'impatto, nel caso di processi che presentano specifici rischi nel corso del trattamento dei dati personali
Capitolo IV - Articolo 33
Record of data processing activities
"Log" delle attività di trattamento dei dati, da rendere disponibile alle autorità competenti
Capitolo IV - Articolo 34
Consent & Transparency Gestione dell'acquisizione del consenso ed obbligo della trasparenza nel trattamento dei dati personali
Capitolo II - III
Right to be forgotten Gestione della richiesta di cancellazione e di stop all'ulteriore diffusione dei dati personali, su richiesta dell’interessato
Capitolo III - Articolo 17
Right to data portability Gestione della messa a disposizione dei dati personali in un formato di uso comune, su richiesta dell’interessato
Capitolo III - Articolo 18
Fonte: The Innovation Group, gennaio 2015
L’aspetto più innovativo però, presente soprattutto nella revisione dell’ottobre 2014 a
cura del Consiglio dell’Unione Europea, sta nell’aver scelto un approccio risk-based alle
problematiche di compliance. Questo si riflette ad esempio nei seguenti punti del
capitolo IV del Regolamento, relativo alle misure attuative di carattere tecnologico e
organizzativo:
L’articolo 23, che prevede che la privacy sia un requisito insito nella progettazione e nella realizzazione del software di gestione dei dati (“privacy by design and by default”), è stato emendato per renderlo più vicino al contesto di business della singola azienda, in modo da tener conto della sua specifica natura, ampiezza, contesto e obiettivi dei processi di gestione dei dati personali, così come della probabilità e dell’ampiezza delle minacce ai diritti ed alle libertà degli individui che si ritiene possano variare da caso a caso.
Il livello delle misure di sicurezza che l’Articolo 30 considera “appropriate” è determinato analizzando un più vasto spettro di fattori, incluse le tecnologie disponibili; il costo di sviluppo; la natura, l’ampiezza, il contesto e gli obiettivi del
© The Innovation Group - 2015 | 11
processo di gestione dei dati personali. Inoltre non si deve prescindere da una valutazione della probabilità ed ampiezza delle minacce coinvolte, e quindi dal rischio effettivo e dal potenziale danno economico per la singola realtà aziendale.
L’obbligo di riportare alle autorità nazionali ed europee le violazioni a dati personali (data breach notification, Articoli 31 e 32) è limitato a quelle violazioni che potrebbero comportare un elevato rischio ai diritti ed alle libertà degli individui: “se i dati compromessi sono criptati o comunque protetti e rimangono quindi inintelligibili, il data controller non ha l’obbligo di riportare tali violazioni”.
Le attività di verifica d’impatto (“assessment”) relative alla protezione dei dati personali, previste dall’articolo 33, sono richieste solo nel caso in cui si processino dati ad alto livello di rischio per le libertà ed i diritti degli individui, come discriminazione, furto d’identità, frodi o perdite finanziarie.
L’articolo 34, che prevede la necessità di consultare le autorità responsabili della protezione dei dati in tutti i casi in cui si intendano processare dati personali, è limitato a quei casi in cui il mancato intervento di mitigazione operato da tali autorità possa elevare in maniera anomala il livello di rischio.
E’ stato emendato l’articolo 35, proponendo che la nomina del Data Protection Officer (figura diversa dal Data Controller e dal Data Processor), inizialmente obbligatoria per le PA e le aziende con oltre 250 dipendenti, sia volontaria, a meno che le leggi dei singoli Stati Membri non lo prevedano già espressamente.
Per maggiori approfondimenti sulla tematica rimandiamo a un articolo sulla materia della società Hunton & Williams LLP
3.
APPROCCIO RISK-BASED DELLA DIRETTIVA NIS (NETWORK AND INFORMATION SECURITY)
Un ulteriore intervento del Regulator europeo, che riguarda la cybersecurity, è dato
dalla Direttiva concernente le misure per assicurare un alto livello di sicurezza su reti ed
informazioni, comune a tutta l’Unione Europea.
La proposta è del 7 febbraio 2013 ed è stata approvata il 13 marzo 2014. Gli Stati
Membri dovranno implementare la Direttiva (che a differenza di un “regolamento”,
necessita di un passaggio approvativo presso i Parlamenti nazionali) entro 18 mesi dalla
sua adozione, ossia entro agosto 2015.
L’obiettivo è quello di garantire l’affidabilità e la continuità dei servizi digitali, che può
essere compromessa da incidenti nella sicurezza, quali errori umani, eventi naturali,
guasti tecnici o veri e propri attacchi informatici.
Tutto ciò con particolare riguardo per quei servizi essenziali che possono fermare il
mondo del business, generare sostanziali perdite finanziarie o avere effetti negativi sul
3 “Council of the European Union Proposes Risk-Based Approach to Compliance Obligations”, 29 ottobre 2014,
Hunton & Williams LLP.
© The Innovation Group - 2015 | 12
social welfare. Per questo vengono individuati una serie di operatori di servizi critici, a
cui vengono chiesti particolari azioni in termini di risk management e segnalazione dei
security incidents: le “Key Internet Companies”, il settore bancario e le Borse, il settore
energetico (ad es. le compagnie di produzione e distribuzione di elettricità e gas), il
settore della logistica e dei trasporti (aereo, navale, ferroviario e su gomma), la Sanità, la
Pubblica Amministrazione.
Agli Stati Membri sono richiesti i seguenti passaggi:
Adozione di precisi Piani Nazionali e Strategie per contrastare il rischio Cyber.
Costituzione di CERT (Computer Emergency Response Team) a livello nazionale, adeguatamente muniti delle dovute risorse tecniche ed economiche.
Avvio di un cooperation network a livello europeo per lo scambio di informazioni e per tempestive segnalazioni di allarmi.
Segnalazione di incidenti gravi e di significativo impatto sulla sicurezza dei servizi core di una nazione.
Enforcement, con possibilità di security audit da parte delle autorità competenti nei diversi paesi.
Viene inoltre ribadito il ruolo dell’agenzia europea ENISA (European Network and
Information Security Agency), come organismo coordinatore delle azioni di sicurezza e
delle segnalazioni di incidenti. Ad ENISA è riservato anche un ruolo non tanto di
definizione dei livelli minimi di sicurezza, quanto quello di emettere linee guida e
raccomandazioni per l’adozione di “NIS benchmarks and good practices”.
Anche a questa direttiva, nella versione approvata del marzo 2014, sono stati apportati
degli emendamenti che vanno nella direzione di un risk based approach, restringendo
l’obbligo di notifica di incidenti gravi solo a quegli operatori che servono infrastrutture
critiche (escludendo i cosiddetti OTT, Over the Top Operators, quali aziende del calibro
di Google, Facebook, Apple, ecc.) e solo alla propria autorità nazionale, escludendo
l’obbligo che notifiche raccolte a livello nazionale vengano poi fatte circolare a livello di
Comunità Europea.
Alla direttiva, nella
versione approvata del
marzo 2014, sono stati
apportati degli
emendamenti che vanno
nella direzione di un risk
based approach,
restringendo l’obbligo di
notifica di incidenti gravi
solo a quegli operatori che
servono infrastrutture
critiche e solo alla propria
autorità nazionale
© The Innovation Group - 2015 | 13
CONCLUSIONI
I costi che le aziende di ogni dimensione, dalle più grandi alle medio-piccole, devono
affrontare per poter concorrere sul mercato nazionale, europeo ed internazionale
dipendono in una certa misura anche dalle leggi e dai regolamenti che singoli stati e
organizzazioni sovranazionali si danno per garantire il libero scambio delle merci in
regime di sicurezza.
Questo è vero sia dal punto di vista fisico che dal punto di vista informatico, in relazione
all’acquisto, alla vendita ed alla distribuzione di beni e servizi attraverso internet.
Oggi uno degli obiettivi in tema di riduzione dei costi complessivi dell’azienda, è quello di
correlare eventuali danni derivanti dai rischi e dalle minacce (insolvenza di clienti e/o
fornitori, frodi, danni finanziari, danni di immagine - per furti di informazioni, interruzioni
del servizio, ecc.) con gli investimenti, necessari ed a volte obbligatori, per farne fronte.
Questo è possibile grazie ad un approccio di tipo risk management, valutando e
misurando costi ed opportunità e condividendo tale approccio tra aziende clienti e loro
fornitori, anche di servizi informatici, anche di sicurezza informatica; senza dimenticare,
in ultimo, che è un approccio che si presta ad essere fornito in un’ottica AAS, “as a
service”.
Il fatto che anche le norme europee in via di approvazione abbiano fatto proprio questo
approccio rappresenta un importante passo in avanti nella definizione di una compliance
che non sia soltanto “dogma”, ma piuttosto rappresenti una vera e propria “good
practice”; dove compliance sia intesa come invito alle aziende a giustificare, sulla base di
della valutazione del rischio, le scelte che ognuna di esse fa per adeguarsi alla normativa.
CYBERSECURITY PER LA PA ITALIANA E’ di questi giorni il documento della Presidenza del Consiglio dei ministri italiano “Strategia per la crescita digitale 2014-2020”, datato 6 novembre 2014, che, benché non sia in diretto rapporto con la Direttiva Europea NIS (ricordiamo che la Direttiva dovrà essere ratificata entro agosto 2015), contiene al suo interno indicazioni sulla Digital Security per le PA, oltre che sul sistema pubblico per l’Identità Digitale (SPID) e le Smart Cities. In particolare viene dato l’avvio ad un progetto di Digital Security per la PA per aumentare il livello di sicurezza delle informazioni e delle comunicazioni digitali, al fine di tutelare la privacy, l’integrità dei dati e la continuità dei servizi. Nel progetto verranno definiti gli standard e le linee guida di sicurezza per tutto il settore pubblico: l’aderenza agli standard sarà obbligatoria per le PA e per quegli attori del settore privato che forniscono soluzioni e servizi alle PA. Questo tipo di coinvolgimento avrà risvolti positivi per tutto il settore privato, che sarà così stimolato a sviluppare servizi e soluzioni con più alti standard di sicurezza, che potranno essere messi a disposizione dell’intero mercato italiano ed europeo.
© The Innovation Group - 2015 | 14
BIBLIOGRAFIA
Andrea Rigoni, Intellium , La nuova direttiva UE su Cybersecurity,
(http://www.agendadigitale.eu/infrastrutture/1118_la-nuova-direttiva-ue-su-cyber-security-pro-e-
contro.htm), 23 ottobre 2014
Banca d’Italia, Circolare n. 263 del 27 dicembre 2006 – 15° aggiornamento del 2 luglio 2013,
(https://www.bancaditalia.it/vigilanza/normativa/norm_bi/circ-
reg/vigprud/agg_15_del_02072013/263CIRC_15AGG.pdf), Roma 2 luglio 2013
Council of the European Union, Amendments of the Chapter IV proposal,
(http://register.consilium.europa.eu/doc/srv?l=EN&f=ST%2013772%202014%20INIT), Brussels 3
ottobre 2014
European Commission, Proposal for a regulation on the protection of individuals with regard to
the processing of personal data and on the free movement of such data (General Data Protection
Regulation), (http://ec.europa.eu/justice/data-
protection/document/review2012/com_2012_11_en.pdf), Brussels 25 gennaio 2012
European Commission, Proposal for a directive concerning measures to ensure a high common
level of network and information security (NIS) across the Union, (http://eur-lex.europa.eu/legal-
content/EN/TXT/PDF/?uri=CELEX:52013PC0048&from=EN), Brussels 7 febbraio 2013
European Parliament, Amendments of the NIS directive,
(http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//NONSGML+REPORT+A7-2014-
0103+0+DOC+PDF+V0//EN), Brussels 12 febbraio 2014
European Parliament legislative resolution, Amendments of the proposal for General Data
Protection Regulation, (http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-
//EP//TEXT+TA+P7-TA-2014-0212+0+DOC+XML+V0//EN), Strasbourg 12 marzo 2014
Hunton & Williams LLP, Council of the European Union Proposes Risk-Based Approach to
Compliance Obligations, (https://www.huntonprivacyblog.com/2014/10/articles/council-
european-union-proposes-risk-based-approach-compliance-obligations/), 29 ottobre 2014
Presidenza del Consiglio dei Ministri, Strategia per la crescita digitale 2014-2020,
(http://www.agid.gov.it/sites/default/files/documenti_indirizzo/crescita_digitale_2020.pdf), Roma
6 novembre 2014
© The Innovation Group - 2015 | 15
Hanno collaborato alla realizzazione dello Studio:
Elena Vaciago, Research Manager, The Innovation Group
Franco Vigliano, Associate Consultant, The Innovation Group
The Innovation Group (TIG) è una società di servizi di consulenza direzionale, advisory e ricerca
indipendente fondata da Roberto Masiero ed Ezio Viola, specializzata nella innovazione del
Business e dei processi aziendali attraverso l’utilizzo delle tecnologie digitali e delle nuove
tecnologie della conoscenza. Si rivolge ad Aziende ed Organizzazioni che desiderano sviluppare
strategie di crescita attraverso programmi, iniziative e progetti di innovazione del Business, di “go
to market”, di produzione e gestione integrata della conoscenza interna ed esterna dell’azienda
tramite le tecnologie ICT.
The Innovation Group è formato da un Team con esperienze consolidate, sia a livello locale sia
internazionale, si avvale del contributo di partnership strategiche con Aziende e Istituti
internazionali che garantiscono un forte e continuo sviluppo di ricerca e di conoscenza dei mercati,
delle tecnologie e delle migliori pratiche nei principali settori verticali. Alle Aziende e alle
Organizzazioni The Innovation Group si propone con un approccio pragmatico, volto ad affiancarle
ed accompagnarle nella fase di realizzazione di piani strategici, per valorizzare le risorse e le
capacità esistenti all’interno e prendere le decisioni più utili in tempi rapidi.
The Innovation Group si avvale di forti partnership internazionali per la ricerca e la conoscenza di
mercati, tecnologie e best practice.
Tutte le informazioni/i contenuti presenti sono di proprietà esclusiva di The Innovation Group (TIG) e sono da
riferirsi al momento della pubblicazione. Nessuna informazione o parte del report può essere copiata,
modificata, ripubblicata, caricata, trasmessa, postata o distribuita in alcuna forma senza un permesso scritto
da parte di TIG. L’uso non autorizzato delle informazioni / i contenuti della presente pubblicazione viola il
copyright e comporta penalità per chi lo commette.
Copyright © 2015 The Innovation Group.
© The Innovation Group - 2015 | 16
© The Innovation Group - 2015 | 17