Compliance a un Approccio Risk Based per la Cybersecurity · 2017-01-23 · rischio cyber e...

Dalla Compliance a un Approccio Risk Based per la Cybersecurity

2015

Gennaio 2015


DALLA COMPLIANCE A

UN APPROCCIO RISK

BASED PER LA

CYBERSECURITY

UNA RICERCA DI:


CYBERSECURITY & RISK MANAGEMENT LEADERSHIP PROGRAM

Il presente documento è parte dell’attività di Ricerca di The Innovation Group rivolta agli

iscritti a un programma di attività specifico sui temi della Cybersecurity e del Risk

Management. Si tratta di un programma di elevato profilo per favorire la diffusione di

conoscenza sul tema del controllo e della mitigazione del Rischio Cyber, arricchito dalla

partecipazione di Deloitte Italia, in veste di Partner tecnico nello sviluppo dei contenuti,

e di un Advisory Board di esperti e di aziende Leader del settore.

Gli iscritti al programma possono infatti partecipare a:

Workshop e Roundtable dedicate, per entrare in contatto con esperti ed essere

aggiornati sugli ultimi trend dell’industria.

Webinar: una serie di appuntamenti nel corso del 2015 per essere informati sui temi più

attuali del momento.

Canale tematico: un sito con news, commenti sulle evoluzioni normative in corso,

interviste a CSO, Security e Risk Manager.

Ricerche: una selezione di ricerche e studi costantemente aggiornata, oltre che indagini,

survey ed approfondimenti prodotti dagli Analisti di mercato di The Innovation Group e

dal Partner Tecnico Deloitte Italia.

Discussioni: la possibilità di partecipare a dibattiti con gli altri iscritti al programma.

Newsletter: per rimanere in contatto ed essere informati sulle attività e i contenuti del

programma.

Il Cybersecurity e Risk Management Leadership Program ha lo scopo di aiutare le aziende

di diversa estrazione, le organizzazioni, i diversi stakeholder della tematica ad

individuare i gap della propria situazione e le possibili risposte per il miglioramento del

profilo di Cyber Risk, rivolgendosi a coloro che a vario titolo sono coinvolti nelle scelte

legate alla sicurezza in azienda.

Roberto Masiero

Co-Founder

The Innovation Group

Ezio Viola

Co-Founder

The Innovation Group


SOMMARIO

INTRODUZIONE 5

DOVE NASCE L’ESIGENZA DI UN APPROCCIO RISK-BASED 6

COME PASSARE NELLA PRATICA DA UN APPROCCIO COMPLIANCE-

BASED A UNO RISK-BASED PER LA CYBERSECURITY 7

APPROCCIO RISK-BASED DELL’EUROPEAN DATA PROTECTION

REGULATION 9

APPROCCIO RISK-BASED DELLA DIRETTIVA NIS (NETWORK AND

INFORMATION SECURITY) 11

CONCLUSIONI 13

BIBLIOGRAFIA 14


INTRODUZIONE

Oggi più che mai cybersecurity e risk management sono due practice strettamente

legate.

Un approccio di tipo risk-based nell’affrontare problematiche di cybersecurity, oltre a

riportare nel suo corretto alveo la gestione di uno dei più importanti rischi che

un’azienda si trova oggi ad affrontare, per la presenza e la pervasività dell’informatica,

presenta innegabili vantaggi dal punto di vista economico, permettendo di definire un

giusto investimento per la sicurezza delle informazioni e delle risorse ICT, correlato a una

valutazione economica del rischio.

Questo orientamento è sempre più presente anche negli interventi che Regulators

italiani ed europei stanno facendo sulla cybersecurity.

La tendenza è iniziata fin dalla stesura delle specifiche di Basilea III, da parte della BCE,

poi riprese dalla Circolare 263 di Banca d’Italia “Nuove disposizioni di vigilanza

prudenziale per le banche”.

La circolare, nel suo aggiornamento del 2 luglio 2013, fa esplicito riferimento alla

necessità di un Risk Appetite Framework nel modulare la qualità e la quantità di

interventi necessari a definire la robustezza del sistema informativo, sia che questo sia

interno alla banca o in outsourcing presso società controllate o, ancora, completamente

esternalizzato. Per le banche d’altronde l’approccio risk-based è una necessità, dal

momento che l’accantonamento di capitale richiesto da Basilea III per garantire la

solidità di queste istituzioni finanziarie è proporzionale alle risultanze di una

approfondita analisi del rischio, comrpesa la componente ICT.

Oggi però ci sono 2 altri interventi importanti che l’Unione Europea ha in cantiere, legati

alla cybersecurity e altrettanto caratterizzati da un approccio risk-based. Parliamo della

“European Data Protection Regulation” e della Direttiva su “Network and Information

Security (NIS)”.

Il presente documento vuole essere un primo contributo al tema della gestione del

rischio cyber e dell’evoluzione da un approccio compliance-based verso un approccio

alla cybersecurity basato sulla valutazione e gestione del rischio. A questo ne seguiranno

altri, di approfondimento sulle normative in fase di emissione a livello nazionale ed

internazionale, sulla loro evoluzione, sulle richieste in termini di conformità e sugli

impatti specifici per le singole realtà aziendali.

La circolare 263 di Banca

d’Italia, nel suo

aggiornamento del 2 luglio

2013, fa esplicito

riferimento al Risk Appetite

Framework, nel modulare

la qualità e la quantità di

interventi necessari a

definire la robustezza del

sistema informativo, sia

che questo sia interno alla

banca o in outsourcing

presso società controllate o

completamente

esternalizzato


DOVE NASCE L’ESIGENZA DI UN APPROCCIO RISK-BASED

C’è un rischio molto specifico per cui oggi molte aziende private e organizzazioni

pubbliche risultano non preparate: quello relativo alle tecnologie ICT e alla gestione dei

dati e delle informazioni critiche per la singola realtà.

La digitalizzazione ha infatti comportato una crescita enorme del rischio associato ai

sistemi ICT, dovuto alla facilità con cui possono avvenire furti di dati e di Intellectual

Property, il sabotaggio, danni alla continuità del business, il denial of service, il danno di

reputazione e quant’altro.

Al giorno d’oggi non sono più soltanto le organizzazioni “information intensive” (come

banche, utilities, pubbliche amministrazioni) a risultare particolarmente sensibili a

queste tematiche, ma il tema interessa oramai tutti, comprese le piccole aziende che

partecipano spesso a supply chain estese, e possono quindi diventare l’anello debole di

una catena più ampia.

Normalmente le aziende impostano i propri programmi per la cybersecurity sui seguenti

elementi:

Compliance alle norme: sono valutati gli adempimenti richiesti, ad esempio quanto è previsto dalle leggi sulla Privacy (D.Lgs 196/2003) o sulle responsabilità degli Amministratori (D.Lgs 231/01).

Tecnologia: scelta di un mix di soluzioni per ridurre la vulnerabilità dei sistemi utilizzati nell’organizzazione (antivirus, antispam e antiphishing, firewall, intrusion detection e prevention, data leakage protection, ecc.).

Servizi: consulenza, vulnerability assessment, managed services e formazione sulle tematiche della cyber security.

Inevitabilmente nel far questo le organizzazioni si trovano nella necessità di dover

affrontare dei costi – e a questo punto comincia ad apparire evidente che il livello di

investimento per la sicurezza deve essere rapportato a un’esigenza imputabile solo alla

singola realtà, e che non può essere determinato da ragioni di compliance.

In sostanza, il livello di investimento va correlato al rischio (reputazionale, di continuità

operativa, finanziario, verso i partner/i clienti) che la singola realtà ritiene di poter

sostenere. Il livello di investimento in cyber security è quindi collegato strettamente alla

business strategy. Va anche considerato che policy di sicurezza eccessivamente

stringenti possono essere vissute dalle persone come un impedimento al business,

risultando di fatto un freno alla capacità dell’azienda di innovare, partecipare a modalità

aperte di collaborazione con terze parti, essere flessibile e rapida nel proprio mercato.

Per seguire un approccio concreto nella definizione di una precisa strategia per la

cybersecurity, correttamente correlata ai bisogni del business, i responsabili di questo

ambito devono partire da un risk assessment che prenda in considerazione almeno le

seguenti classi di rischio specifiche per il mondo ICT:


Rischio di non-compliance: la compliance non deve essere l’unico punto di partenza per le scelte in materia di cybersecurity, ma si deve comunque considerare obbligatoria in quanto non rispettarla comporta rischi di sanzioni economiche e di perdità di credibilità dell’azienda verso il suo mercato. Questo vale oggi in particolar modo per quanto riguarda la Data Protection, così come richiesta dalle norme relative alla Privacy.

Rischio associato ad incidenti che possono seguire un attacco informatico o un data breach: si possono fare simulazioni di quanto costa a un’azienda la temporanea inattività dei suoi dipendenti nel caso di interruzione delle operation ICT. Per quanto riguarda il furto di dati, il danno economico dipende molto dal valore delle informazioni o può rientrare in un caso di non-compliance per i dati personali.

Rischio reputazionale: ci sono stati molti casi in cui la non disponibilità di un servizio, per qualche ora o per interi giorni, ha seriamente danneggiato l’immagine di istituzioni importanti, ad esempio banche. Ancora peggio sarebbe se venissero alla luce informazioni su data breach di grandi dimensioni come quelle apparse negli ultimi anni per quanto riguarda importanti corporation USA. Le nuove norme sulla Privacy a livello europeo vogliono introdurre la pratica della notifica del data breach, per cui ci dobbiamo aspettare forti impatti sul fronte reputazionale.

Rischi legati ai fornitori di servizi e tecnologie digitali. In un economia sempre più interconnessa, con risorse, dati e servizi che tendono a sposarsi in cloud per risultare più economici ed efficienti, il rischio di avere un fornitore che non offre garanzie sufficienti può essere rilevante, e deve essere considerato dalle policy aziendali. Lo stesso tema vale per la qualità dei prodotti e del software, che devono il più possibile risultare esenti da vulnerabilità note.

Questo sono solo alcuni degli aspetti che impattano nella determinazione del rischio

Cyber della singola organizzazione: una volta identificati, le aziende devono procedere

alla scelta della propria strategia di risk management. In sostanza, una volta identificati i

rischi bisogna scegliere la strategia più opportuna, dal trasferimento del rischio a terze

parti, all'evitare il rischio, al ridurne gli effetti negativi e infine all'accettare in parte o

totalmente le conseguenze di un particolare rischio. Infine, le aziende devono stabilire

come modificare l’organizzazione e i processi interni in modo da consolidare questo

nuovo modus operandi.

COME PASSARE NELLA PRATICA DA UN APPROCCIO COMPLIANCE-BASED A UNO RISK-BASED PER LA CYBERSECURITY

I Chief Information Security Officer si chiedono oggi quale è il modo più efficace per

passare a un approccio risk-based nelle scelte relative alla strategia per la cybersecurity.

Da una discussione tra CISO, membri della community Wisegate1, essi hanno identificato

3 azioni prioritarie:

1. La compliance deve diventare un elemento del profilo di rischio complessivo dell’organizzazione: le norme rimangono ma i manager devono cominciare a pensare in termini di “livello di rischio accettabile”.

1 “Moving From Compliance to Risk-Based Security: CISOs Reveal Practical Tips” , Wisegate Community

Viewpoints, 2013


2. Bisogna essere consapevoli del fatto che la tolleranza al rischio della singola organizzazione cambia nel tempo. Un profilo di rischio sta a indicare il livello di accettazione dello stesso in un particolare momento, e inevitabilmente cambia nel tempo. Dal momento che è difficile definire in anticipo il livello di rischio, è utile avere conversazioni frequenti a tutti i livelli del management.

3. Infine, è fondamentale far sì che la gestione del rischio sia efficace, e per far questo bisogna aver disegnato il risk management a livello strategico, tattico e operativo. Un’organizzazione che comincia ad avvicinarsi a un approccio risk-based deve innanzi tutto testare le soluzioni per la valutazione del rischio; deve lavorare alla comprensione del risk profile e collaborare con terze parti nella realizzazione di risk assessment.

Tabella 1: Il risk management della cybersecurity da un punto di vista strategico,

tattico e operativo

LIVELLO DESCRIZIONE

STRATEGICO

A questo livello, il focus è all’interno delle Line-of-business e

della definizione dei rispettivi obiettivi di gestione del

rischio cyber. I Manager della security devono sedersi con le

loro controparti dell’organizzazione – le aree HR, IT,

Amministrative, produttive e quant’altro – per parlare dei

rischi correnti e quanto questi avranno effetto sull’azienda

nei prossimi 3 anni. Ciascuno deve valutare quale rischio è

accettabile, quale trasferibile e quale può essere mitigato.

Attraverso la realizzazione di un’ampia Risk Impact Analysis i

manager arrivano a comprendere gli obiettivi generali del

Piano di Cybersecurity.

TATTICO

A livello tattico, continuano ad essere importanti gli

obiettivi, ma le attività del team della Security cominciano

ad orientarsi verso aspetti di performance nel controllo del

rischio. Vengono definite le misure minime e quindi si passa

a discutere con i manager delle varie Line-of-business in

quali ambiti è possibile assumersi maggiori rischi.

OPERATIVO

Al terzo livello, quello operativo, si passa alla definizione

delle single aree, dalle valutazioni dei rischi (risk

assessments) all’adozione di misure di sicurezza all’interno

dell’intero life cycle di qualsiasi progetto (SDLC, system

development life cycle), alle attività di monitoraggio

continuo, profili di rischio, controlli. A questo livello si

analizza quali controlli per la compliance sono già stati

avviati, si individuano eventuali gap, si identificano nuovi

strumenti dove questi possono servire.


Un tema importante – che per ragioni di spazio rimandiamo a un successivo

approfondimento – è poi quello del calcolo del rischio da un punto di vista finanziario

(come è stato fatto ad esempio nel 2010 da ISA e ANSI2) tramite un modello basato su

alcuni parametri essenziali, come la probabilità che occorra un determinato evento, la

possibile perdita economica, la possibilità di trasferire in parte il rischio tramite una

polizza assicurativa.

APPROCCIO RISK-BASED DELL’EUROPEAN DATA PROTECTION REGULATION

Il nuovo Regolamento concerne la tutela delle persone fisiche con riguardo al

trattamento dei dati personali e la libera circolazione di tali dati. Prenderà il posto di

precedenti direttive in materia, ed, in Italia, del D.Legs 196/2003 sulla Privacy.

Come Regolamento infatti, a differenza delle Direttive, che hanno una valenza

prettamente di “linee guida”, non necessita di un passaggio approvativo presso i

Parlamenti dei singoli Stati Membri, ma è subito oggetto di applicazione.

Nel Semestre europeo l'Italia avrebbe voluto fregiarsi dell'approvazione definitiva del

nuovo Regolamento, ma il Consiglio Europeo, presieduto lo scorso 4 dicembre dal nostro

ministro della Giustizia, ha esaminato il testo del Regolamento proposto dalla

Commissione ed emendato dal Parlamento Europeo, ed ha apportato ulteriori modifiche

che, di fatto, ne hanno fatto slittare l'approvazione definitiva a data che, per ora, è

impossibile predeterminare.

L'iter di approvazione degli atti dell'UE prevede infatti che la posizione adottata il 4

dicembre dal Consiglio debba essere ritrasmessa al Parlamento per una ulteriore

votazione. Quest'ultimo esaminerà la posizione del Consiglio e potrà approvare l'atto

oppure respingerlo. In caso di approvazione, dall'entrata in vigore del Regolamento (cioè

dalla data della sua pubblicazione in Gazzetta Ufficiale UE) alla sua applicabilità, devono

poi trascorrere due anni.

La European Data Protection Reform si caratterizza per l’introduzione di una serie di

novità riguardanti il disegno, la gestione ed il controllo dei dati personali (vedi Tabella 2),

proponendo un approccio meno prescrittivo in termini documentali, rispetto ad esempio

alla legislazione italiana, ma più legato ad aspetti realizzativi ed architetturali delle

soluzioni informatiche che stanno alla base dei trattamenti.

2 “The financial management of cyber risk”, 2010 Internet Security Alliance (ISA) / American National

Standards Institute (ANSI)


Tabella 2: Principali requisiti del Nuovo Regolamento sulla Data Protection

Requisito Breve descrizione Punto del

Regolamento

Data Protection Officer Data Processor Joint Controller

Istituzione di precise figure legate al trattamento dei dati personali: gestore del trattamento, responsabile dal punto di vista giuridico, controller

Capitolo IV - Articolo 35

Privacy by design and by default

Adozione di meccanismi di progettazione e sviluppo nel ciclo di vita del software che garantiscano il necessario livello di protezione dei dati


Security of processing

Implementazione di misure tecniche ed organizzative per assicurare un livello di sicurezza nella gestione dei dati personali appropriata ai rischi


Breach Notification Obbligo di notifica dell'avvenuta violazione di dati personali all'Autorità competente ed ai singoli individui

Capitolo IV - Articoli 31 e 32

Privacy impact assessment

Attività di verifica d'impatto, nel caso di processi che presentano specifici rischi nel corso del trattamento dei dati personali


Record of data processing activities

"Log" delle attività di trattamento dei dati, da rendere disponibile alle autorità competenti


Consent & Transparency Gestione dell'acquisizione del consenso ed obbligo della trasparenza nel trattamento dei dati personali

Capitolo II - III

Right to be forgotten Gestione della richiesta di cancellazione e di stop all'ulteriore diffusione dei dati personali, su richiesta dell’interessato

Capitolo III - Articolo 17

Right to data portability Gestione della messa a disposizione dei dati personali in un formato di uso comune, su richiesta dell’interessato

Capitolo III - Articolo 18

Fonte: The Innovation Group, gennaio 2015

L’aspetto più innovativo però, presente soprattutto nella revisione dell’ottobre 2014 a

cura del Consiglio dell’Unione Europea, sta nell’aver scelto un approccio risk-based alle

problematiche di compliance. Questo si riflette ad esempio nei seguenti punti del

capitolo IV del Regolamento, relativo alle misure attuative di carattere tecnologico e

organizzativo:

L’articolo 23, che prevede che la privacy sia un requisito insito nella progettazione e nella realizzazione del software di gestione dei dati (“privacy by design and by default”), è stato emendato per renderlo più vicino al contesto di business della singola azienda, in modo da tener conto della sua specifica natura, ampiezza, contesto e obiettivi dei processi di gestione dei dati personali, così come della probabilità e dell’ampiezza delle minacce ai diritti ed alle libertà degli individui che si ritiene possano variare da caso a caso.

Il livello delle misure di sicurezza che l’Articolo 30 considera “appropriate” è determinato analizzando un più vasto spettro di fattori, incluse le tecnologie disponibili; il costo di sviluppo; la natura, l’ampiezza, il contesto e gli obiettivi del


processo di gestione dei dati personali. Inoltre non si deve prescindere da una valutazione della probabilità ed ampiezza delle minacce coinvolte, e quindi dal rischio effettivo e dal potenziale danno economico per la singola realtà aziendale.

L’obbligo di riportare alle autorità nazionali ed europee le violazioni a dati personali (data breach notification, Articoli 31 e 32) è limitato a quelle violazioni che potrebbero comportare un elevato rischio ai diritti ed alle libertà degli individui: “se i dati compromessi sono criptati o comunque protetti e rimangono quindi inintelligibili, il data controller non ha l’obbligo di riportare tali violazioni”.

Le attività di verifica d’impatto (“assessment”) relative alla protezione dei dati personali, previste dall’articolo 33, sono richieste solo nel caso in cui si processino dati ad alto livello di rischio per le libertà ed i diritti degli individui, come discriminazione, furto d’identità, frodi o perdite finanziarie.

L’articolo 34, che prevede la necessità di consultare le autorità responsabili della protezione dei dati in tutti i casi in cui si intendano processare dati personali, è limitato a quei casi in cui il mancato intervento di mitigazione operato da tali autorità possa elevare in maniera anomala il livello di rischio.

E’ stato emendato l’articolo 35, proponendo che la nomina del Data Protection Officer (figura diversa dal Data Controller e dal Data Processor), inizialmente obbligatoria per le PA e le aziende con oltre 250 dipendenti, sia volontaria, a meno che le leggi dei singoli Stati Membri non lo prevedano già espressamente.

Per maggiori approfondimenti sulla tematica rimandiamo a un articolo sulla materia della società Hunton & Williams LLP

3.

APPROCCIO RISK-BASED DELLA DIRETTIVA NIS (NETWORK AND INFORMATION SECURITY)

Un ulteriore intervento del Regulator europeo, che riguarda la cybersecurity, è dato

dalla Direttiva concernente le misure per assicurare un alto livello di sicurezza su reti ed

informazioni, comune a tutta l’Unione Europea.

La proposta è del 7 febbraio 2013 ed è stata approvata il 13 marzo 2014. Gli Stati

Membri dovranno implementare la Direttiva (che a differenza di un “regolamento”,

necessita di un passaggio approvativo presso i Parlamenti nazionali) entro 18 mesi dalla

sua adozione, ossia entro agosto 2015.

L’obiettivo è quello di garantire l’affidabilità e la continuità dei servizi digitali, che può

essere compromessa da incidenti nella sicurezza, quali errori umani, eventi naturali,

guasti tecnici o veri e propri attacchi informatici.

Tutto ciò con particolare riguardo per quei servizi essenziali che possono fermare il

mondo del business, generare sostanziali perdite finanziarie o avere effetti negativi sul

3 “Council of the European Union Proposes Risk-Based Approach to Compliance Obligations”, 29 ottobre 2014,

Hunton & Williams LLP.


social welfare. Per questo vengono individuati una serie di operatori di servizi critici, a

cui vengono chiesti particolari azioni in termini di risk management e segnalazione dei

security incidents: le “Key Internet Companies”, il settore bancario e le Borse, il settore

energetico (ad es. le compagnie di produzione e distribuzione di elettricità e gas), il

settore della logistica e dei trasporti (aereo, navale, ferroviario e su gomma), la Sanità, la

Pubblica Amministrazione.

Agli Stati Membri sono richiesti i seguenti passaggi:

Adozione di precisi Piani Nazionali e Strategie per contrastare il rischio Cyber.

Costituzione di CERT (Computer Emergency Response Team) a livello nazionale, adeguatamente muniti delle dovute risorse tecniche ed economiche.

Avvio di un cooperation network a livello europeo per lo scambio di informazioni e per tempestive segnalazioni di allarmi.

Segnalazione di incidenti gravi e di significativo impatto sulla sicurezza dei servizi core di una nazione.

Enforcement, con possibilità di security audit da parte delle autorità competenti nei diversi paesi.

Viene inoltre ribadito il ruolo dell’agenzia europea ENISA (European Network and

Information Security Agency), come organismo coordinatore delle azioni di sicurezza e

delle segnalazioni di incidenti. Ad ENISA è riservato anche un ruolo non tanto di

definizione dei livelli minimi di sicurezza, quanto quello di emettere linee guida e

raccomandazioni per l’adozione di “NIS benchmarks and good practices”.

Anche a questa direttiva, nella versione approvata del marzo 2014, sono stati apportati

degli emendamenti che vanno nella direzione di un risk based approach, restringendo

l’obbligo di notifica di incidenti gravi solo a quegli operatori che servono infrastrutture

critiche (escludendo i cosiddetti OTT, Over the Top Operators, quali aziende del calibro

di Google, Facebook, Apple, ecc.) e solo alla propria autorità nazionale, escludendo

l’obbligo che notifiche raccolte a livello nazionale vengano poi fatte circolare a livello di

Comunità Europea.

Alla direttiva, nella

versione approvata del

marzo 2014, sono stati

apportati degli

emendamenti che vanno

nella direzione di un risk

based approach,

restringendo l’obbligo di

notifica di incidenti gravi

solo a quegli operatori che

servono infrastrutture

critiche e solo alla propria

autorità nazionale


CONCLUSIONI

I costi che le aziende di ogni dimensione, dalle più grandi alle medio-piccole, devono

affrontare per poter concorrere sul mercato nazionale, europeo ed internazionale

dipendono in una certa misura anche dalle leggi e dai regolamenti che singoli stati e

organizzazioni sovranazionali si danno per garantire il libero scambio delle merci in

regime di sicurezza.

Questo è vero sia dal punto di vista fisico che dal punto di vista informatico, in relazione

all’acquisto, alla vendita ed alla distribuzione di beni e servizi attraverso internet.

Oggi uno degli obiettivi in tema di riduzione dei costi complessivi dell’azienda, è quello di

correlare eventuali danni derivanti dai rischi e dalle minacce (insolvenza di clienti e/o

fornitori, frodi, danni finanziari, danni di immagine - per furti di informazioni, interruzioni

del servizio, ecc.) con gli investimenti, necessari ed a volte obbligatori, per farne fronte.

Questo è possibile grazie ad un approccio di tipo risk management, valutando e

misurando costi ed opportunità e condividendo tale approccio tra aziende clienti e loro

fornitori, anche di servizi informatici, anche di sicurezza informatica; senza dimenticare,

in ultimo, che è un approccio che si presta ad essere fornito in un’ottica AAS, “as a

service”.

Il fatto che anche le norme europee in via di approvazione abbiano fatto proprio questo

approccio rappresenta un importante passo in avanti nella definizione di una compliance

che non sia soltanto “dogma”, ma piuttosto rappresenti una vera e propria “good

practice”; dove compliance sia intesa come invito alle aziende a giustificare, sulla base di

della valutazione del rischio, le scelte che ognuna di esse fa per adeguarsi alla normativa.

CYBERSECURITY PER LA PA ITALIANA E’ di questi giorni il documento della Presidenza del Consiglio dei ministri italiano “Strategia per la crescita digitale 2014-2020”, datato 6 novembre 2014, che, benché non sia in diretto rapporto con la Direttiva Europea NIS (ricordiamo che la Direttiva dovrà essere ratificata entro agosto 2015), contiene al suo interno indicazioni sulla Digital Security per le PA, oltre che sul sistema pubblico per l’Identità Digitale (SPID) e le Smart Cities. In particolare viene dato l’avvio ad un progetto di Digital Security per la PA per aumentare il livello di sicurezza delle informazioni e delle comunicazioni digitali, al fine di tutelare la privacy, l’integrità dei dati e la continuità dei servizi. Nel progetto verranno definiti gli standard e le linee guida di sicurezza per tutto il settore pubblico: l’aderenza agli standard sarà obbligatoria per le PA e per quegli attori del settore privato che forniscono soluzioni e servizi alle PA. Questo tipo di coinvolgimento avrà risvolti positivi per tutto il settore privato, che sarà così stimolato a sviluppare servizi e soluzioni con più alti standard di sicurezza, che potranno essere messi a disposizione dell’intero mercato italiano ed europeo.


BIBLIOGRAFIA

Andrea Rigoni, Intellium , La nuova direttiva UE su Cybersecurity,

(http://www.agendadigitale.eu/infrastrutture/1118_la-nuova-direttiva-ue-su-cyber-security-pro-e-

contro.htm), 23 ottobre 2014

Banca d’Italia, Circolare n. 263 del 27 dicembre 2006 – 15° aggiornamento del 2 luglio 2013,

(https://www.bancaditalia.it/vigilanza/normativa/norm_bi/circ-

reg/vigprud/agg_15_del_02072013/263CIRC_15AGG.pdf), Roma 2 luglio 2013

Council of the European Union, Amendments of the Chapter IV proposal,

(http://register.consilium.europa.eu/doc/srv?l=EN&f=ST%2013772%202014%20INIT), Brussels 3

ottobre 2014

European Commission, Proposal for a regulation on the protection of individuals with regard to

the processing of personal data and on the free movement of such data (General Data Protection

Regulation), (http://ec.europa.eu/justice/data-

protection/document/review2012/com_2012_11_en.pdf), Brussels 25 gennaio 2012

European Commission, Proposal for a directive concerning measures to ensure a high common

level of network and information security (NIS) across the Union, (http://eur-lex.europa.eu/legal-

content/EN/TXT/PDF/?uri=CELEX:52013PC0048&from=EN), Brussels 7 febbraio 2013

European Parliament, Amendments of the NIS directive,

(http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//NONSGML+REPORT+A7-2014-

0103+0+DOC+PDF+V0//EN), Brussels 12 febbraio 2014

European Parliament legislative resolution, Amendments of the proposal for General Data

Protection Regulation, (http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-

//EP//TEXT+TA+P7-TA-2014-0212+0+DOC+XML+V0//EN), Strasbourg 12 marzo 2014

Hunton & Williams LLP, Council of the European Union Proposes Risk-Based Approach to

Compliance Obligations, (https://www.huntonprivacyblog.com/2014/10/articles/council-

european-union-proposes-risk-based-approach-compliance-obligations/), 29 ottobre 2014

Presidenza del Consiglio dei Ministri, Strategia per la crescita digitale 2014-2020,

(http://www.agid.gov.it/sites/default/files/documenti_indirizzo/crescita_digitale_2020.pdf), Roma

6 novembre 2014


Hanno collaborato alla realizzazione dello Studio:

Elena Vaciago, Research Manager, The Innovation Group

Franco Vigliano, Associate Consultant, The Innovation Group

The Innovation Group (TIG) è una società di servizi di consulenza direzionale, advisory e ricerca

indipendente fondata da Roberto Masiero ed Ezio Viola, specializzata nella innovazione del

Business e dei processi aziendali attraverso l’utilizzo delle tecnologie digitali e delle nuove

tecnologie della conoscenza. Si rivolge ad Aziende ed Organizzazioni che desiderano sviluppare

strategie di crescita attraverso programmi, iniziative e progetti di innovazione del Business, di “go

to market”, di produzione e gestione integrata della conoscenza interna ed esterna dell’azienda

tramite le tecnologie ICT.

The Innovation Group è formato da un Team con esperienze consolidate, sia a livello locale sia

internazionale, si avvale del contributo di partnership strategiche con Aziende e Istituti

internazionali che garantiscono un forte e continuo sviluppo di ricerca e di conoscenza dei mercati,

delle tecnologie e delle migliori pratiche nei principali settori verticali. Alle Aziende e alle

Organizzazioni The Innovation Group si propone con un approccio pragmatico, volto ad affiancarle

ed accompagnarle nella fase di realizzazione di piani strategici, per valorizzare le risorse e le

capacità esistenti all’interno e prendere le decisioni più utili in tempi rapidi.

The Innovation Group si avvale di forti partnership internazionali per la ricerca e la conoscenza di

mercati, tecnologie e best practice.

Tutte le informazioni/i contenuti presenti sono di proprietà esclusiva di The Innovation Group (TIG) e sono da

riferirsi al momento della pubblicazione. Nessuna informazione o parte del report può essere copiata,

modificata, ripubblicata, caricata, trasmessa, postata o distribuita in alcuna forma senza un permesso scritto

da parte di TIG. L’uso non autorizzato delle informazioni / i contenuti della presente pubblicazione viola il

copyright e comporta penalità per chi lo commette.

Copyright © 2015 The Innovation Group.

Compliance a un Approccio Risk Based per la Cybersecurity · 2017-01-23 · rischio cyber e...

Documents

Transcript of Compliance a un Approccio Risk Based per la Cybersecurity · 2017-01-23 · rischio cyber e...