IL FRAMEWORK NAZIONALE PER LA CYBESECURITY E LA DATA PROTECTION: Un approccio sostenibile ed integrato per le organizzazioni

La sicurezza (dal latino “sine cura“: senza preoccupazione) ci consente di essere o di sentirci esenti dai pericoli o ci permette di prevenire, annullare o mitigare i danni, i rischi o comunque evenienze spiacevoli.

Godendo della sicurezza, si potrebbe essere certi che ogni azione non potrà produrre eventi avversi. Tuttavia, considerando la natura umana come prettamente sistemica ed interdipendente da un fattore arbitrariamente complesso di variabili, il concetto di sicurezza totale, ovvero la completa assenza di pericoli, risulta difficilmente traducibile nella vita reale.
Per questo motivo, nella sua storia evolutiva, l’uomo ha sempre elaborato metodi per qualificare e quantificare l’incertezza e di conseguenza i rischi, sviluppando in modo più o meno strutturato delle norme di sicurezza in grado di rendere più difficile il verificarsi di eventi dannosi e consentendo una migliore qualità della vita.

Le dimensioni della sicurezza così come le sue percezioni sono molteplici ed includono quelle individuali, sociali, organizzative, sanitarie, economiche e politiche.

Garantire la sicurezza è un obiettivo strategico per tutti gli stati e le organizzazioni sia pubbliche che private e, come è richiesto dalla complessità in cui operano, questo richiede un approccio sistemico.

Nel contesto produttivo e dei servizi, gli aspetti da prendere in considerazione per garantire la sicurezza riguardono la cornice legislativa -le regole- entro la quale si svolgono le attività, le tecnologie, i processi ed il capitale umano necessari alla realizzazione del valore.

La base comune a tutti questi ambiti è il ruolo pervasivo e determinante delle informazioni e della loro corretta gestione e questo è il motivo per cui la cybersecurity è divenuta l’asset strategico per garantire la sicurezza delle organizzazioni.

La Direttiva NIS 2016/1148 (Network and Information Security), approvata nel 2016, è volta a stabilire le misure per la realizzazione in Europa di un ambiente digitale sicuro e affidabile.
In particolare, la direttiva si rivolge a soggetti, pubblici o privati, che forniscono servizi essenziali per la società e l’economia nei settori sanitario, dell’energia, dei trasporti, bancario, delle infrastrutture dei mercati finanziari, della fornitura e distribuzione di acqua potabile e delle infrastrutture e servizi digitali.

La sicurezza sociale e la libertà degli individui costituiscono altresì un bene irrinunciabile e la Direttiva GDPR (General Data Protection Regulation) interviene appunto nella disciplina riguardante il trattamento e la circolazione dei dati personali. Il Regolamento ha imposto un cambiamento di prospettiva rispetto alla protezione dei dati personali introducendo principio dell’accountability. Esso impone alle organizzazioni una gestione aziendale responsabile che tenga conto dei rischi connessi all’attività svolta e che sia idonea a garantire la piena conformità del trattamento dei dati personali ai principi sanciti dal Regolamento e dalla legislazione nazionale.

Negli ultimi anni le minacce cyber sono divenute sempre più numerose ed efficaci dal punto di vista criminale. Uno dei problemi più cogenti è rappresentato dai data breach che sottraggono in modo fraudolento dati, anche sensibili, dalle banche dati di industrie, enti pubblici ed organizzazioni di ogni genere. I data breach rappresentano un danno spesso ingente per le organizzazioni e oggi, alla luce delle norme previste dal Regolamento, possono essere causa di multe consistenti.

La buona notizia è che in Italia è stata redatta un’importante linea guida in grado di supportare le organizzazioni che necessitano di strategie e processi volti alla protezione dei dati personali e alla sicurezza cyber [1]. Si tratta di un interessante approccio integrato con il quale è possibile implementare sistemi di sicurezza delle informazioni idonei sia per la protezione dei dati personali che per quelli operazionali e strategici delle imprese e delle amministrazioni. Il denominatore comune consiste proprio nella cybersecurity e il framework può aiutare le organizzazioni nel definire un percorso volto alla sua implementazione ed alla protezione dei dati coerente con i regolamenti stessi riducendo i costi necessari ed aumentando l’efficacia delle misure realizzate. Inoltre, per le organizzazioni che già implementano misure coerenti con i Regolamenti e Direttive (GDPR e NIS), il Framework può rappresentare un utile strumento per guidare le necessarie attività di continuo monitoraggio.

Nella sua essenza, il Framework definisce il ciclo di vita del processo di gestione della cybersecurity in modo integrato, sia dal punto di vista tecnico che organizzativo:

  • IDENTIFY – comprensione del contesto aziendale, degli asset che supportano i processi critici di business e dei relativi rischi associati. Tale comprensione permette ad un’organizzazione di definire risorse e investimenti in linea con la strategia di gestione del rischio e con gli obiettivi aziendali
  • PROTECT – implementazione di quelle misure volte alla protezione dei processi di business e degli asset aziendali, indipendentemente dalla loro natura informatica.
  • DETECT – definizione e attuazione di attività appropriate per identificare tempestivamente incidenti di sicurezza informatica.
  • RESPOND – definizione e attuazione delle opportune attività per intervenire quando un incidente di sicurezza informatica sia stato rilevato. L’obiettivo è contenere l’impatto determinato da un potenziale incidente di sicurezza informatica.
  • RECOVER – definizione e attuazione delle attività per la gestione dei piani e delle attività per il ripristino dei processi e dei servizi impattati da un incidente. L’obiettivo è garantire la resilienza dei sistemi e delle infrastrutture e, in caso di incidente, supportare il recupero tempestivo delle business operation.

[1] Framework Nazionale per la Cybersecurity e la Data Protection
CIS-Sapienza – Research Center of Cyber Intelligence and Information Security – Sapienza Università di Roma – CINI Cybersecurity National Lab
Consorzio Interuniversitario Nazionale per l’Informatica – Versione 2.0 – Febbraio 2019

Alessandro Di Fazio

Una “umana” digital transformation

Nel nostro mondo, in continua evoluzione, la digital transformation assume le sembianze di un alleato con il quale affrontare la vita oppure di un nemico da combattere?

Viviamo in un’epoca che si potrebbe definire vertiginosa, utilizziamo tecnologie che in breve tempo sono superate e così abbiamo bisogno di imparare nuove cose. Il bisogno di apprendimento che abbiamo oggi è maggiore di quanto lo fosse in passato, gli stimoli che riceviamo sono tanti, forse troppi, e a volte anche diversi. Scegliere, capire e orientarsi diventa complesso.

Seppur dalla nostra parte abbiamo un cervello adeguato a consentirci di far fronte alle sfide che incontriamo, nell’uso delle tecnologie diventa importante “l’esperienza” che facciamo. Le neuroscienze, le discipline scientifiche che studiano il funzionamento del cervello, circa dieci anni fa hanno scoperto la neuroplasticità, cioè la capacità del cervello di essere plastico, di trasformarsi costantemente in base alle esperienze che vive, di rigenerarsi anche dal punto di vista di neuronale e sinaptico.

Apprendiamo dalle esperienze che facciamo. Quando il nostro cervello vive una buona esperienza evolve, avviene in esso un cambiamento, ma, come in qualsiasi grande cambiamento, ci sono una serie di cose che non cambiano anche se si trasformano. Pensiamo, ad esempio, al concetto di “sicurezza”. Con quanta naturalezza oggi ci muoviamo e agiamo utilizzando le più svariate tecnologie?

Proprio qualche giorno fa mi è capitato di incontrare un’anziana signora al bancomat, qualcosa non stava funzionando e nel chiedere il mio aiuto ci ha tenuto a precisare “lo so fare, lo faccio sempre, ma oggi qualcosa non funziona”. Immagino quella stessa signora che anni addietro si recava alla posta per ritirare il suo salario e oggi digita su un touch screen orgogliosa di essere in grado di farlo da sola. Ha imparato a usare quello strumento, sa che inserendo la sua tessera bancomat può accedere ai servizi e svolgere la sua operazione, con attenzione digita il codice così come le è stato insegnato, con una mano digita il pin e con l’altra nasconde questo gesto da occhi indiscreti. Il problema si è risolto subito e la signora ha potuto continuare con la sua operazione, ma cosa sarebbe successo se il problema non si fosse risolto? Credo che banalmente la signora sarebbe entrata in banca per chiedere assistenza.

Per me è questo il segreto che accompagna la digital transformation: apprendere nuovi comportamenti che ci permettono di utilizzare delle tecnologie che facilitano la nostra vita consentendoci di fare una buona esperienza. Un’esperienza per essere buona deve essere anche sicura. Nel mondo digitale nascondere con una mano il pin potrebbe non essere sufficiente e non tutto dipende da chi sta utilizzando quel servizio, i comportamenti del cliente finale possono essere corretti e ciò ancora non essere sufficiente. È in questo scenario che acquisisce rilevanza prioritaria il concetto di fiducia: devo potermi fidare di chi eroga il servizio digitale che sto utilizzando.

Per le aziende è sempre più importante garantire ai propri clienti non solo una buona prima esperienza ma anche una seconda o una decima, il cliente non è tenuto a essere fedele, può avere accesso a una vastità di offerta. Resterà fedele se la sua esperienza continuerà a essere una buona esperienza.

digital

Torniamo alla nostra anziana signora, immaginate che magnifica esperienza avrebbe avuto se qualcuno l’avesse aiutata prima ancora che lei lo chiedesse?

Credo che quando il cliente si sente al centro (customer centricity) e ci sta bene, l’innovazione tecnologica diventa l’alleata con la quale affrontare la vita. Non importa se nella transazione digitale non mi interfaccio con una persona perché so che, dietro a quel servizio, ci sono persone a dar valore e sicurezza a quanto sto compiendo con le loro competenze e la capacità d’innovazione. E se qualcosa non dovesse funzionare sarà una persona a risolvere il mio problema.

Rosaria Gargano