La sicurezza (dal latino “sine cura“: senza preoccupazione) ci consente di essere o di sentirci esenti dai pericoli o ci permette di prevenire, annullare o mitigare i danni, i rischi o comunque evenienze spiacevoli.
Godendo della sicurezza, si potrebbe essere certi che ogni azione non potrà produrre eventi avversi. Tuttavia, considerando la natura umana come prettamente sistemica ed interdipendente da un fattore arbitrariamente complesso di variabili, il concetto di sicurezza totale, ovvero la completa assenza di pericoli, risulta difficilmente traducibile nella vita reale.
Per questo motivo, nella sua storia evolutiva, l’uomo ha sempre elaborato metodi per qualificare e quantificare l’incertezza e di conseguenza i rischi, sviluppando in modo più o meno strutturato delle norme di sicurezza in grado di rendere più difficile il verificarsi di eventi dannosi e consentendo una migliore qualità della vita.
Le dimensioni della sicurezza così come le sue percezioni sono molteplici ed includono quelle individuali, sociali, organizzative, sanitarie, economiche e politiche.
Garantire la sicurezza è un obiettivo strategico per tutti gli stati e le organizzazioni sia pubbliche che private e, come è richiesto dalla complessità in cui operano, questo richiede un approccio sistemico.
Nel contesto produttivo e dei servizi, gli aspetti da prendere in considerazione per garantire la sicurezza riguardono la cornice legislativa -le regole- entro la quale si svolgono le attività, le tecnologie, i processi ed il capitale umano necessari alla realizzazione del valore.
La base comune a tutti questi ambiti è il ruolo pervasivo e determinante delle informazioni e della loro corretta gestione e questo è il motivo per cui la cybersecurity è divenuta l’asset strategico per garantire la sicurezza delle organizzazioni.
La Direttiva NIS 2016/1148 (Network and Information Security), approvata nel 2016, è volta a stabilire le misure per la realizzazione in Europa di un ambiente digitale sicuro e affidabile.
In particolare, la direttiva si rivolge a soggetti, pubblici o privati, che forniscono servizi essenziali per la società e l’economia nei settori sanitario, dell’energia, dei trasporti, bancario, delle infrastrutture dei mercati finanziari, della fornitura e distribuzione di acqua potabile e delle infrastrutture e servizi digitali.
La sicurezza sociale e la libertà degli individui costituiscono altresì un bene irrinunciabile e la Direttiva GDPR (General Data Protection Regulation) interviene appunto nella disciplina riguardante il trattamento e la circolazione dei dati personali. Il Regolamento ha imposto un cambiamento di prospettiva rispetto alla protezione dei dati personali introducendo principio dell’accountability. Esso impone alle organizzazioni una gestione aziendale responsabile che tenga conto dei rischi connessi all’attività svolta e che sia idonea a garantire la piena conformità del trattamento dei dati personali ai principi sanciti dal Regolamento e dalla legislazione nazionale.
Negli ultimi anni le minacce cyber sono divenute sempre più numerose ed efficaci dal punto di vista criminale. Uno dei problemi più cogenti è rappresentato dai data breach che sottraggono in modo fraudolento dati, anche sensibili, dalle banche dati di industrie, enti pubblici ed organizzazioni di ogni genere. I data breach rappresentano un danno spesso ingente per le organizzazioni e oggi, alla luce delle norme previste dal Regolamento, possono essere causa di multe consistenti.
La buona notizia è che in Italia è stata redatta un’importante linea guida in grado di supportare le organizzazioni che necessitano di strategie e processi volti alla protezione dei dati personali e alla sicurezza cyber [1]. Si tratta di un interessante approccio integrato con il quale è possibile implementare sistemi di sicurezza delle informazioni idonei sia per la protezione dei dati personali che per quelli operazionali e strategici delle imprese e delle amministrazioni. Il denominatore comune consiste proprio nella cybersecurity e il framework può aiutare le organizzazioni nel definire un percorso volto alla sua implementazione ed alla protezione dei dati coerente con i regolamenti stessi riducendo i costi necessari ed aumentando l’efficacia delle misure realizzate. Inoltre, per le organizzazioni che già implementano misure coerenti con i Regolamenti e Direttive (GDPR e NIS), il Framework può rappresentare un utile strumento per guidare le necessarie attività di continuo monitoraggio.
Nella sua essenza, il Framework definisce il ciclo di vita del processo di gestione della cybersecurity in modo integrato, sia dal punto di vista tecnico che organizzativo:
- IDENTIFY – comprensione del contesto aziendale, degli asset che supportano i processi critici di business e dei relativi rischi associati. Tale comprensione permette ad un’organizzazione di definire risorse e investimenti in linea con la strategia di gestione del rischio e con gli obiettivi aziendali
- PROTECT – implementazione di quelle misure volte alla protezione dei processi di business e degli asset aziendali, indipendentemente dalla loro natura informatica.
- DETECT – definizione e attuazione di attività appropriate per identificare tempestivamente incidenti di sicurezza informatica.
- RESPOND – definizione e attuazione delle opportune attività per intervenire quando un incidente di sicurezza informatica sia stato rilevato. L’obiettivo è contenere l’impatto determinato da un potenziale incidente di sicurezza informatica.
- RECOVER – definizione e attuazione delle attività per la gestione dei piani e delle attività per il ripristino dei processi e dei servizi impattati da un incidente. L’obiettivo è garantire la resilienza dei sistemi e delle infrastrutture e, in caso di incidente, supportare il recupero tempestivo delle business operation.
[1] Framework Nazionale per la Cybersecurity e la Data Protection
CIS-Sapienza – Research Center of Cyber Intelligence and Information Security – Sapienza Università di Roma – CINI Cybersecurity National Lab
Consorzio Interuniversitario Nazionale per l’Informatica – Versione 2.0 – Febbraio 2019
Alessandro Di Fazio