IL FRAMEWORK NAZIONALE PER LA CYBESECURITY E LA DATA PROTECTION: Un approccio sostenibile ed integrato per le organizzazioni

La sicurezza (dal latino “sine cura“: senza preoccupazione) ci consente di essere o di sentirci esenti dai pericoli o ci permette di prevenire, annullare o mitigare i danni, i rischi o comunque evenienze spiacevoli.

Godendo della sicurezza, si potrebbe essere certi che ogni azione non potrà produrre eventi avversi. Tuttavia, considerando la natura umana come prettamente sistemica ed interdipendente da un fattore arbitrariamente complesso di variabili, il concetto di sicurezza totale, ovvero la completa assenza di pericoli, risulta difficilmente traducibile nella vita reale.
Per questo motivo, nella sua storia evolutiva, l’uomo ha sempre elaborato metodi per qualificare e quantificare l’incertezza e di conseguenza i rischi, sviluppando in modo più o meno strutturato delle norme di sicurezza in grado di rendere più difficile il verificarsi di eventi dannosi e consentendo una migliore qualità della vita.

Le dimensioni della sicurezza così come le sue percezioni sono molteplici ed includono quelle individuali, sociali, organizzative, sanitarie, economiche e politiche.

Garantire la sicurezza è un obiettivo strategico per tutti gli stati e le organizzazioni sia pubbliche che private e, come è richiesto dalla complessità in cui operano, questo richiede un approccio sistemico.

Nel contesto produttivo e dei servizi, gli aspetti da prendere in considerazione per garantire la sicurezza riguardono la cornice legislativa -le regole- entro la quale si svolgono le attività, le tecnologie, i processi ed il capitale umano necessari alla realizzazione del valore.

La base comune a tutti questi ambiti è il ruolo pervasivo e determinante delle informazioni e della loro corretta gestione e questo è il motivo per cui la cybersecurity è divenuta l’asset strategico per garantire la sicurezza delle organizzazioni.

La Direttiva NIS 2016/1148 (Network and Information Security), approvata nel 2016, è volta a stabilire le misure per la realizzazione in Europa di un ambiente digitale sicuro e affidabile.
In particolare, la direttiva si rivolge a soggetti, pubblici o privati, che forniscono servizi essenziali per la società e l’economia nei settori sanitario, dell’energia, dei trasporti, bancario, delle infrastrutture dei mercati finanziari, della fornitura e distribuzione di acqua potabile e delle infrastrutture e servizi digitali.

La sicurezza sociale e la libertà degli individui costituiscono altresì un bene irrinunciabile e la Direttiva GDPR (General Data Protection Regulation) interviene appunto nella disciplina riguardante il trattamento e la circolazione dei dati personali. Il Regolamento ha imposto un cambiamento di prospettiva rispetto alla protezione dei dati personali introducendo principio dell’accountability. Esso impone alle organizzazioni una gestione aziendale responsabile che tenga conto dei rischi connessi all’attività svolta e che sia idonea a garantire la piena conformità del trattamento dei dati personali ai principi sanciti dal Regolamento e dalla legislazione nazionale.

Negli ultimi anni le minacce cyber sono divenute sempre più numerose ed efficaci dal punto di vista criminale. Uno dei problemi più cogenti è rappresentato dai data breach che sottraggono in modo fraudolento dati, anche sensibili, dalle banche dati di industrie, enti pubblici ed organizzazioni di ogni genere. I data breach rappresentano un danno spesso ingente per le organizzazioni e oggi, alla luce delle norme previste dal Regolamento, possono essere causa di multe consistenti.

La buona notizia è che in Italia è stata redatta un’importante linea guida in grado di supportare le organizzazioni che necessitano di strategie e processi volti alla protezione dei dati personali e alla sicurezza cyber [1]. Si tratta di un interessante approccio integrato con il quale è possibile implementare sistemi di sicurezza delle informazioni idonei sia per la protezione dei dati personali che per quelli operazionali e strategici delle imprese e delle amministrazioni. Il denominatore comune consiste proprio nella cybersecurity e il framework può aiutare le organizzazioni nel definire un percorso volto alla sua implementazione ed alla protezione dei dati coerente con i regolamenti stessi riducendo i costi necessari ed aumentando l’efficacia delle misure realizzate. Inoltre, per le organizzazioni che già implementano misure coerenti con i Regolamenti e Direttive (GDPR e NIS), il Framework può rappresentare un utile strumento per guidare le necessarie attività di continuo monitoraggio.

Nella sua essenza, il Framework definisce il ciclo di vita del processo di gestione della cybersecurity in modo integrato, sia dal punto di vista tecnico che organizzativo:

  • IDENTIFY – comprensione del contesto aziendale, degli asset che supportano i processi critici di business e dei relativi rischi associati. Tale comprensione permette ad un’organizzazione di definire risorse e investimenti in linea con la strategia di gestione del rischio e con gli obiettivi aziendali
  • PROTECT – implementazione di quelle misure volte alla protezione dei processi di business e degli asset aziendali, indipendentemente dalla loro natura informatica.
  • DETECT – definizione e attuazione di attività appropriate per identificare tempestivamente incidenti di sicurezza informatica.
  • RESPOND – definizione e attuazione delle opportune attività per intervenire quando un incidente di sicurezza informatica sia stato rilevato. L’obiettivo è contenere l’impatto determinato da un potenziale incidente di sicurezza informatica.
  • RECOVER – definizione e attuazione delle attività per la gestione dei piani e delle attività per il ripristino dei processi e dei servizi impattati da un incidente. L’obiettivo è garantire la resilienza dei sistemi e delle infrastrutture e, in caso di incidente, supportare il recupero tempestivo delle business operation.

[1] Framework Nazionale per la Cybersecurity e la Data Protection
CIS-Sapienza – Research Center of Cyber Intelligence and Information Security – Sapienza Università di Roma – CINI Cybersecurity National Lab
Consorzio Interuniversitario Nazionale per l’Informatica – Versione 2.0 – Febbraio 2019

Alessandro Di Fazio

L’INDIVIDUO, L’ORGANIZZAZIONE E LA RESPONSABILITA’: un esempio sistemico per la corretta gestione della responsabilità dell’individuo e dell’organizzazione

Secondo la teoria di Thomas Malone, il coordinamento è quel lavoro extra che si svolge quando attori (soggetti) multipli ed interdipendenti lavorano per un obiettivo comune e che non sarebbe necessario se l’obiettivo fosse raggiunto con il lavoro di un singolo attore. Il coordinamento è dunque uno dei pilastri fondanti di una organizzazione vista come un insieme di soggetti connessi e interdipendenti per il perseguimento di obiettivi comuni.

Ogni attore dell’organizzazione ha la responsabilità del suo agire, ovvero deve mostrare congruenza con un impegno assunto o con un comportamento, accettandone ogni conseguenza. Anche l’organizzazione, d’altra parte, ha sua la responsabilità nell’identificare l’obiettivo e nel lavorare per il suo perseguimento. Che rapporto è possibile definire tra queste responsabilità individuali ed organizzative?

Accettare le conseguenze di un comportamento o di un impegno si declina nel diritto come la situazione per la quale un individuo può essere chiamato a rispondere della violazione colposa o dolosa di un obbligo. Allo stesso tempo, le organizzazioni possono essere ritenute responsabili, in caso di reati a vantaggio dell’organizzazione stessa, dagli individui che la compongono.

Esistono leggi internazionali che intervengono proprio in quest’ambito stabilendo in quali circostanze un reato compiuto da un dipendente possa coinvolgere anche la responsabilità dell’azienda cui appartiene. In Italia il Decreto Legislativo 8 giugno 2001, n. 231 introduce e disciplina la responsabilità amministrativa derivante da reato degli enti collettivi. È il caso di figure apicali (amministratori, dirigenti, funzionari, etc) e di personale sotto la loro diretta sorveglianza.

E’ interessante soffermarsi su come l’Azienda possa agire in modo conforme alla legge sia prevenendo le situazioni favorevoli al reato del singolo che intervenendo sul sistema impresa in modo che la stessa ostacoli la sua diffusione.

Allo scopo della conformità alla legge, le aziende implementano Il modello di organizzazione e gestione che indica un modello organizzativo volto a prevenire la responsabilità penale degli enti.

Esempi di reati previsti dalla legge includono quelli commessi nei rapporti con la Pubblica Amministrazione, i delitti informatici e trattamento illecito di dati, i delitti di criminalità organizzata, i delitti contro l’industria ed il commercio, i reati societari, di ricettazione e riciclaggio.

La realizzazione del modello di organizzazione e gestione consiste nel individuare le attività nel cui ambito possono essere commessi i reati, predisporre specifici protocolli per la prevenzione degli stessi, costituire un organismo di vigilanza e prevederne gli obblighi di informazione nei suoi confronti ed infine introdurre un sistema disciplinare per sanzionare il mancato rispetto delle misure indicate nel modello organizzativo.

L’implementazione del modello richiede un approccio sistemico nel quale si tengano presenti in modo coerente gli aspetti organizzativi, legali e tecnologici.

L’organizzazione deve essere permeata dalla cultura del controllo non quale momento repressivo, ma soprattutto quale opportunità di miglioramento continuo dell’attività stessa verso il conseguimento di obiettivi sia economici che etici. L’elaborazione di codici di comportamento è sicuramente essenziale per dotare l’organizzazione dei necessari strumenti per affrontare i rischi connessi ai reati così come un sistema di procedure per regolamentare le attività operative e amministrative significative.

Ad esempio, sarà necessario disporre di procedure per la gestione degli acquisti diretti e indiretti (compresa la fase di selezione e qualifica dei fornitori) in modo che l’intero iter di valutazione e selezione del fornitore sia strutturato secondo i principi di trasparenza e non discriminazione e che la documentazione inerente gli acquisti consenta di dare evidenza della metodologia utilizzata e dell’iter procedurale seguito per l’effettuazione dell’acquisto, dell’oggetto, dell’importo e delle motivazioni sottese alla scelta del fornitore.

Nella nostra epoca di trasformazione digitale delle imprese, i sistemi informatici rivestono un ruolo strategico e di conseguenza devono essere considerati attentamente nella realizzazione del modello di organizzazione e gestione.

Il sistema informativo è alla base delle attività aziendali ed è fondamentale che i ruoli siano certificati, ovvero non modificabili senza la preventiva autorizzazione da parte del responsabile della unità organizzativa di riferimento e senza la preventiva valutazione dell’opportuna segregazione dei ruoli in modo che siano distinte le responsabilità di chi autorizza, chi esegue e chi controlla. I sistemi devono supportare a pieno titolo il sistema dei controlli esistenti in quanto sono strumentali alla verifica ed al monitoraggio di specifiche fasi di gestione aziendale, con particolare riferimento a quelle che sono state dichiarate sensibili al rischio dei reati previsti dalla legge.

E’ altresì necessario che gli attori con mansioni più esposte ai rischi identificati siano sottoposti ad una costante attività di formazione erogata nei modi più efficaci in funzione delle specifiche necessità. Essa può svolgersi attraverso la partecipazione a riunioni, seminari, l’affiancamento da parte di personale più esperto ed anche mediante formazione a distanza (e-learning).

L’implementazione di un modello di organizzazione e gestione ci fornisce quindi un esempio di un approccio sistemico per la corretta gestione della responsabilità dell’individuo e dell’organizzazione. Da non dimenticare infine che i valori dell’azienda costituiscono il DNA dei comportamenti degli individui.

Alessandro Di Fazio

GDPR: un Approccio Sistemico tecnico, organizzativo e legale

Il GDPR, (General Data Protection Regulation- Regolamento UE 2016/679) è un Regolamento con il quale si rafforza e si rende più omogenea la protezione dei dati personali di cittadini dell’Unione Europea e dei residenti nell’Unione Europea, sia all’interno che all’esterno dei confini dell’Unione europea. Il testo, pubblicato su Gazzetta Ufficiale Europea il 4 maggio 2016 ed entrato in vigore il 25 maggio dello stesso anno, avrà efficacia il 25 maggio 2018.

privacy

La regolamentazione europea per la protezione dei dati personali (GDPR) è una legge molto importante che coincilia due interessi in apparente contrasto: garantire la libera circolazione dei dati nella Unione Europea da un lato e difendere la libertà degli individui dall’altro.

La regolamentazione introduce significative novità rispetto alle regolamentazioni dei singoli Paesi, inclusa quella italiana in materia di trattamento dei dati personali.

privacy

Il GDPR ha implicazioni legali, tecniche e organizzative che le Aziende e le Amministrazioni Pubbliche devono soddisfare:

  • Dimostrare che l’Azienda sia “accountable” sulla legislazione: l’organizzazione deve mettere in atto misure organizzative specifiche per la legislazione quali ad esempio la nomina di un Responsabile dei Trattamenti (DPO, Data Protection Officer) e la definizione del suo rapporto con le altre funzioni aziendali. L’organizzazione a supporto del GDPR dovrà essere in grado di valutare la rischiosità dei trattamenti analizzandone le dimensioni tecniche, legali e organizzative.
  • Privacy by design e by default: vi è l’obbligo di progettare nuovi beni e servizi tenendo sempre a mente le prerogative quali la anomizzazione nel trattamento dei dati. Questo implica stabilire ed attuare requisiti tecnologici per far si che I sistemi che trattano I dati personali siano idonei a garantire la riservatezza, disponibilità e integrità dei dati trattati. Tali sistemi vengono individiduati mediante un’analisi organizzativa dei processi aziendali.
  • Consentire la giurisdizione estesa: la regolamenzaione si applica a qualsiasi organizzazione che raccolga e/o elabori dati personali di cittadini europei indipendententeda dove si trovino gli uffici fisici della compagnia.  Questo significa che è necessario rappresentare tecnicamente  i flussi dei dati all’interno dell’organizzazione, stabilire accountability organizzative e prevedere dal punto di vista legale e del rapporto con l’autorità vigilante il paese che sarà rappresentate di tutti gli altri coinvolti.
  • Gestione del consenso; le organizzazioni dovranno ottenere il consenso individuale di ciascun  interessato per il trattamento dei propri dati personali  fornendo indicazioni precise sulle finalità. Questo significa che dovranno essere predisposte informative aggiornate dal punto di vista legale rispetto a quelle in essere attualmente e che dovrà essere definita una modalità tecnica per la gestione dei consensi al fine di dimostrare in fase ispettiva di aver ottenuto il consenso per i trattamenti.
  • privacy
  • Obbligo di notifica in caso di violazione dei dati personali: le organizzazioni dovranno avvisare l’interessato entro 72 ore della scoperta di un incidente di sicurezza. Perchè quest’obbligo sia rispettato, è necessario che l’organizzazione abbia idonee misure tecniche per prevenire gli incidenti e, qualora accadano, essere in grado di segnalarli per la gestione legale dell’evento.
  • Diritto di portabilità dei dati personali: a ciascun interessato che ne faccia richiesta le Aziende dovranno essere in grado di fornire copia elettronica dei dati personali posseduti dall’organizzazione. Perchè questo importante requisito possa essere soddisfatto, è evidente che l’organizzazione dovrà avere un’idoneo sistema tecnico in grado di individuare tali informazioni all’interno del Sistema informativo aziendale allineato ai processi che le elaborano ai fini del trattamento.
  • Diritto all’oblio: I cittadini europei devono essere in grado di richiedere non solo la cancellazione dei propri dati personali da un’organizzazione ma anche il blocco della condivisione degli stessi dati con terzi che a loro volta sono obbligati a cessare la loro elaborazione. Questo requisito ha evidenti implicazioni sia dal punto di vista legale riguardo I contratti tra delle Aziende con I propri fornitori nel caso siano ad esempio coinvolti nel trattamento di dati personali di propri clienti/dipendenti/pazienti che tecnici per assicurarsi ad esempio che I dati personali siano cancellati realmente da tutti I sistemi compresi quelli di backup.
  • privacy

La nuova legge rappresenta uno strumento significativo per difendere la libertà degli individui in un mondo globalizzato dove la libertà dei singoli sembra avere una dimensione meramente utopica. Non esistono altri modi efficaci per ottenere la compliance GDPR se non tramite un approccio sistemico.

Alessandro Di Fazio

 

Sistema Salute: l’integrità dei dati, la salute pubblica e l’approccio sistemico

“Senza dati, tu sei solo un’altra persona con un’opinione,” diceva William Edwards Deming, ingegnere, saggista, docente e consulente di gestione aziendale e manager statunitense. A Deming fu ampiamente riconosciuto il merito per gli studi sul miglioramento della produzione negli Stati Uniti d’America durante la Seconda Guerra Mondiale, anche se egli è, forse, più noto per il suo lavoro in Giappone (Ciclo di Deming).

data

Il mondo della produzione manifatturiera è caratterizzato dalla necessità di garantire la stabilità dei processi produttivi in modo da assicurare la qualità attesa dei prodotti. Questo concetto è valido per tutti i domini produttivi quali i sistemi meccanici, elettronici, alimentari e chimici. Il cliente e consumatore del prodotto si aspetta che quest’ultimo sia sempre conforme a quelle che sono le sue caratteristiche specificate: un’automobile deve avere le prestazioni dichiarate dal costruttore; un cibo deve possedere le caratteristiche organolettiche specifiche, nutrire e non essere nocivo; uno smartphone deve avere tutte le funzionalità previste nella guida dell’utilizzatore e non si deve rompere e così via.

Garantire che tutti i prodotti conservino nel tempo tutte le caratteristiche previste è un compito molto complesso, ma essenziale, soprattutto pensando a quei prodotti che hanno un rapporto diretto con la nostra salute.

Quando, ad esempio, assumiamo un farmaco, siamo, in generale, attenti a verificare la data di scadenza e a leggere l’appropriatezza del medicinale per la cura della nostra patologia e anche alle sue possibili reazioni avverse, consultando il foglietto illustrativo. Diamo per scontato che il farmaco sia ben prodotto, ovvero che, ad esempio, contenga tutte e solo le sostanze necessarie e che non sia contaminato.

La garanzia del processo produttivo dei farmaci (Good Manifacturing Practice, GMP) è un compito essenziale per la tutela della salute pubblica: un medicinale non adeguatamente prodotto può risultare molto dannoso e, in alcuni casi, letale.

I controlli qualitativi sulla produzione sono, quindi, essenziali e affidati a un’organizzazione complessa che è presente sia nelle aziende farmaceutiche, sia nelle istituzioni pubbliche (Agenzie Regolatorie del Farmaco), che hanno il compito di sorvegliare e assicurare il rispetto delle regole. La sorveglianza è basata su un complesso sistema di misurazioni dei dati come la purezza delle sostanze, i dosaggi, le temperature, le pressioni, tutti legati alla produzione. Questo sistema garantisce la scoperta di eventuali anomalie e le conseguenti azioni preventive e correttive, inclusi, naturalmente, il blocco di lotti di produzione prima dell’invio alle farmacie o il ritiro di confezioni dagli scaffali.

Tutta la sorveglianza si basa sull’acquisizione di dati di produzione e sulla loro valutazione. Tornando quindi a quanto sosteneva Deming, le decisioni sono basate su dati e non su opinioni. Tutto sembra quindi logico e sotto controllo.

deming
William Edwards Deming, 1900-1993

Ma cosa accade se i dati non sono veritieri? Semplice, tutto il sistema di sorveglianza viene messo fuori uso, con evidenti rischi gravissimi per la salute pubblica. Purtroppo questo rischio può accadere ed è per questo motivo che negli ultimi anni sia le Agenzie Regolatorie. sia le stesse Aziende Farmaceutiche stanno attuando processi analitici e politiche ispettive per garantire che i dati associati ai controlli di produzione siano affidabili (Integrità dei dati – Data Integrity).

Le minacce alla integrità dei dati e, quindi, alla salute pubblica hanno cause molteplici, concomitanti e anche, talvolta, inaspettate: etiche, culturali, organizzative, economiche, scientifiche e tecnologiche.

La minaccia va, quindi, affrontata con un approccio generale che sia in grado di indirizzare in modo consistente tutte le cause mediante un intervento coordinato e sistemico.

Alessandro Di Fazio

 

 

Sistema Generale: Metodo e Progetto

Tutto ciò che si può ben dire si può fare, anche se non è sempre giusto fare qualcosa solo perché si può dire.

 

L’espressione corretta di un’idea è condizione necessaria alla definizione di un progetto, sia esso di miglioramento o di crescita. A tutto ciò deve accompagnarsi una riflessione profonda e sincera sugli obiettivi che si vogliono raggiungere e su cosa ci spinge a perseguirli.

Questo tramuta l’analisi delle circostanze in azioni e le azioni in situazioni di lavoro e di benessere nelle aziende, nei gruppi e nelle comunità sociali.

Siamo convinti, infatti, che un approccio sistemico nella ricerca di nuovi scenari manageriali, organizzativi e operativi conduca le persone e le realtà lavorative verso esiti sempre più consistenti e sostenibili, a reciproca soddisfazione e a risultati di successo.

Il nostro modello è una proposta che opera in tal senso.

Un modo pragmatico per rappresentare la volontà di raggiungere un risultato desiderabile e sostenibile è quello del progetto per il quale, per prima cosa, ci si interroga e si studiano i significati, passando da un’idea di massima a una definizione concreta e raggiungibile.

Poiché tra il dire ed il fare non vi è altro che… il fare, il progetto è l’ottenimento del risultato attraverso l’impegno. Il risultato, una volta ottenuto, influenza ed è influenzato dalla realtà iniziando un ciclo vitale che ci sforziamo di rendere virtuoso.

Layout1

Analizzando il progetto, partiamo dall’ascolto della situazione, sviluppiamo idee, studiamo proposte, strutturiamo progetti e supportiamo prodotti.

Condividiamo il nostro pensiero con persone e aziende che fanno del loro lavoro uno strumento di soddisfazione e sviluppo professionale e personale.

Proponiamo la condivisione di esperienze, ipotesi di lavoro, riflessioni e analisi di quanto incontriamo nei nostri contesti di riferimento.

Semplificare, velocizzare, sviluppare e realizzare sono i valori che condividiamo e proponiamo a sostegno delle relazioni tra uomini e luoghi di lavoro:

  • Semplificare per facilitare i processi di cambiamento e supportare apprendimenti innovativi e evolutivi,
  • Velocizzare quando il tempo diventa l’elemento chiave per la sicurezza, il successo e la sostenibilità futura,
  • Sviluppare modelli e situazioni dove il confronto, la diversità e lo scambio di idee siano garanzia di progresso e consapevolezza, di fronte a situazioni di scelta, decisione e responsabilità,
  • Realizzare “prodotti” della giusta dimensione per sentirsene parte e porre le basi dello sviluppo futuro nella costruzione di un nuovo modo di osservare, capire e gestire le situazioni e sé stessi.

Proponiamo un approccio sistemico ai processi di cambiamento aziendale e di sviluppo delle competenze necessarie alla corretta gestione delle situazioni sia dei singoli individui sia dei gruppi:

  • Accompagniamo le persone nella ricerca di un modo nuovo di pensare ed operare, vivendo i luoghi di lavoro come momenti di incontro e di crescita individuale e di gruppo, alla ricerca di nuove conoscenze e capacità, per vedere con occhi diversi ciò che si fa, si pensa e si può sviluppare.
  • Crediamo in una realtà dove gli elementi sono legati e correlati tra loro verso un percorso di crescita e di miglioramento continuo.
  • Siamo un gruppo di professionisti dedicati allo sviluppo delle persone e delle realtà nelle quali operano.

Questo procedimento richiede di possedere, oltre alla passione, una capacità realizzativa e quindi ingegneristica. Ma questa deve essere accompagnata da una riflessione ed una valutazione attenta sui significati e sui cambiamenti anche sistemici che un’iniziativa di business o, più in generale, sociale induce nella realtà. Ingegneria e gestione del cambiamento sono quindi i due focus del nostro modo di contribuire al benessere dei nostri clienti. In altre parole, un approccio generale per migliorare il sistema.

Gli ambiti di intervento sono due:

Change Management:

  • Vision, Mission e valori aziendali
  • Contestualizzazione strategica e modello di leadership
  • Gestione del personale, formazione e sviluppo
  • Coaching
  • Processi di comunicazione
  • Clima aziendale e coinvolgimento

Business processes engineering:

  • Lettura sistema organizzativo
  • Valutazione dei processi agiti
  • Allineamento strategico
  • Sistema di Governance con indicatori bilanciati di performance
  • Attuazione dei processi
  • Gestione del feedback

Alessandro Di Fazio

Maria Tringali