SVILUPPARE UNA SOLIDA CULTURA SULLA CYBERSECURITY

01. Sviluppare una solida cultura sulla cybersecurity

Una solida sicurezza informatica è essenziale per il successo duraturo di ogni PMI.

All’interno dell’organizzazione si dovrebbe affidare la responsabilità di questa funzione cruciale a una persona avente il compito di garantire che siano destinate alla cybersecurity risorse appropriate, quali impegno in termini di tempo da parte del personale, acquisto di software, servizi e hardware per la sicurezza informatica, formazione del personale e sviluppo di politiche efficaci.

1.1. ATTRIBUIRE LA RESPONSABILITÀ DELLA GESTIONE

Contesto

È necessario identificare (o introdurre) in azienda professionalità specializzate in grado di affrontare le tematiche di cybersecurity con visione strategica e capaci al contempo di interfacciarsi con le funzioni tecniche, sia a supporto di processi e procedure aziendali, sia per implementare i requisiti normativi e di compliance relativi agli aspetti di protezione dei dati e delle informazioni – in ambito nazionale, europeo e internazionale, sia per supporto e guida del processo di digitalizzazione e transizione verso l’adozione di nuove soluzioni tecnologiche e organizzative.

Figure, quindi, specializzate nei processi di governance e che parlino anche la lingua del top-management.

Identikit del Responsabile cybersecurity

1. Attività
La figura responsabile della sicurezza informatica riporta al senior management aziendale e solitamenta si occupa di:

  • Definire, verificare, sviluppare e comunicare la visione e la strategia di cybersecurity aziendale, ivi comprese le policy e le procedure, in accordo con la normativa cogente
  • Implementare programmi per la protezione del patrimonio informativo, comprese le azioni di risposta a possibili incidenti o attacchi agli archivi informativi aziendali;
  • Disegnare e attuare processi per mitigare i rischi correlati all’adozione delle tecnologie digitali;
  • Gestire il flusso informativo verso le autorità, in merito ad eventuali obblighi in ambito cybersecurity; 
  • Sviluppare iniziative di awareness e formazione per promuovere e sviluppare una cultura aziendale consapevole degli aspetti di cybersecurity;
  • Dialogare ad intervalli regolari sia con il top-management sia con il servizio IT, Amministrazione e Controllo, Ricerca & Sviluppo, Responsabili delle varie Unità operative;
  • Definire, in accordo con i vertici aziendali, il budget in ambito cybersecurity e monitorare l’utilizzo delle risorse. 

2. Conoscenze

  • Conoscenza dei principali standard, normative, best practices in ambito cybersecurity e protezione dei dati;
  • Conoscenza del business, dell’architettura e della tecnologia dell’organizzazione in oggetto per stabilire con oculatezza le politiche di sicurezza volte a proteggerla di fronte ai cyber rischi;
  • Conoscenza dei principi e delle tecniche di security e privacy by design;
  • Comprensione delle contromisure tecniche ed organizzative in ambito cybersecurity; 
  • Modelli di analisi del rischio cybersecurity;
  • Modelli di valutazione della maturità cyber;
  • Pratiche di sicurezza, principali tool per la difesa e protezione dei sistemi informatici.

3. Competenze

  • Comunicare l’importanza di un’efficace gestione della cybersecurity all’interno dell’organizzazione, anche attraverso informazioni documentate, e rendere disponibile, per quanto appropriato, la politica cyber alle parti interessate;
  • Analizzare e comprendere i processi aziendali critici dell’organizzazione e valutare possibili conseguenze che risulterebbero se i rischi si concretizzassero;
  • Misurare e analizzare gli scenari di rischio cyber, definire criteri per l’accettazione e priorità per il trattamento del rischio;
  • Valutare e migliorare la maturità cybersecurity dell’organizzazione attraverso l’implementazione di presidi tecnici e organizzativi;
  • Progettare, applicare, monitorare meccanismi e strumenti per la protezione dei sistemi informatici;
  • Richiedere e disporre di expertise, risorse, processi in linea con la politica cyber adottata;
  • Valutare potenziali impatti (benefici e rischi) dell’innovazione digitale; 
  • Suggerire policies e soluzioni ai manager dell’organizzazione.

Raccomandazioni utili:

  • Cybersecurity integrata con il core business aziendale: Il responsabile cybersecurity deve essere coinvolto nei processi aziendali (core e di supporto) non solo per identificare e valutare i rischi di cybersecurity, ma anche per verificare la conformità alle normative cogenti in materia. Deve comprendere l’organizzazione e il suo contesto, considerando i possibili fattori interni ed esterni che influenzano la sua capacità di conseguire gli esiti previsti nonché le interfacce e le interdipendenze tra le attività svolte dall’organizzazione e quelle svolte da altre organizzazioni. La cybersecurity deve essere considerato un obiettivo programmatico da parte dell’organizzazione;
  • Responsabilità “integrata”: nel contesto delle PMI non è raro trovare risorse che integrano sotto le proprie responsabilità anche quella della sicurezza informatica (tipicamente in un’unica funzione di responsabile sistemi informativi). In tali casi si raccomanda comunque di tenere una linea gestionale dedicata che riporti periodicamente al top management aziendale circa lo stato corrente dei rischi cyber e l’avanzamento delle iniziative in corso;
  • Il responsabile della sicurezza informatica “as a service”: qualora non sia disponibile personale interno preparato a ricoprire tale ruolo, si può ricorrere ad un fornitore esterno. Tuttavia, è opportuno monitorare l’operato del fornitore al fine di garantire coerenza con la strategia di digitalizzazione e sviluppo attraverso l’identificazione di un focal point interno (preferibilmente con almeno competenze di base in ambito cyberecurity).
1.2. FORNIRE UNA FORMAZIONE APPROPRIATA

Coinvolgere i dipendenti: 

  • mediante un’efficace comunicazione in ambito cybersecurity da parte della dirigenza e, ove previsto, dal Responsabile Cyber,
  • sostenendo apertamente le iniziative per la cybersecurity,
  • offrendo formazioni appropriate ai dipendenti, e 
  • definendo regole chiare e specifiche al riguardo nelle politiche in materia cybersecurity, in compliance alle normative vigenti

Contesto di riferimento

Il vettore maggiormente utilizzato per attacchi di tipo cyber che coinvolgono le PMI è il fattore umano. Sempre più spesso i criminali fanno leva sull’inconsapevolezza o su una conoscenza comunque parziale dei rischi informatici da parte dei dipendenti, per garantirsi un primo varco all’interno dei sistemi informativi aziendali. 

Come creare una consapevolezza in merito ai rischi informatici?

Per aumentare la propria sicurezza aziendale, un meccanismo fondamentale di prevenzione è creare una conoscenza diffusa delle minacce cyber e incentivare lo sviluppo di comportamenti consapevoli nell’utilizzo del web e dei dispositivi mobili. I dipendenti devono inoltre essere sempre al corrente sia delle politiche di cyber sicurezza della propria azienda sia del valore del contributo di ciascuno all’efficacia del sistema aziendale. 

Raccomandazioni utili

Il primo passo per aumentare la consapevolezza dei propri dipendenti è sempre una valutazione organica del livello di conoscenza delle principali tematiche di cybersecurity e del grado di resilienza rispetto a potenziali minacce. Esistono numerose iniziative in proposito. Coerentemente con le proprie esigenze ed il contesto organizzativo, ecco alcune buone pratiche per stimolare l’attenzione e la crescita di consapevolezza tra i dipendenti: 

  • È opportuno che la leadership aziendale guidi e promuova, anche attraverso l’allocazione di risorse adeguate, corsi di formazione e altre iniziative di sensibilizzazione volte al potenziamento di una cultura della cybersicurezza.
  • È opportuno considerare sia iniziative di awareness passiva (es. materiale multimediale a disposizione dei dipendenti tramite intranet o cartelle di rete, video e webinar) sia iniziative di awareness attiva (es. role play, simulazioni);
  • La strategia di formazione e awareness in ambito cybersecurity deve essere indirizzata a diverse categorie di utenti aziendali (top management, staff, amministrativi, operatori e tecnici, utenti dei sistemi informativi);
  • È buona pratica attivare un canale informativo periodico per il personale (es. newsletter, pillole informative tramite video e canali multimediali aziendali). 
1.3. PUBBLICARE POLITICHE IN MATERIA DI CIBERSICUREZZA

È importante che siano definite, distribuite, e periodicamente riviste e aggiornate, le politiche di cybersicurezza aziendali, che identifichino anche i comportamenti da seguire quando i dipendenti usano l’ambiente, le attrezzature e i servizi informatici aziendali. Tali politiche dovrebbero altresì evidenziare le conseguenze in casi di loro violazione. 

Contesto di riferimento

Il riferimento nazionale in materia di politiche di cybersicurezza è il Framework Nazionale di Cybersecurity e la Data Protection, che definisce un elenco di controlli da attuare per assicurare una protezione adeguata di processi, infrastrutture tecnologiche e dati. 

Buone pratiche

Le politiche che descrivono le regole ed i comportamenti da seguire in ambito cybersecurity e protezione dei dati: 

  • devono essere scritte, mantenute e aggiornate periodicamente;
  • comunicate, in modo chiaro, tramite specifici canali di comunicazione;
  • disponibili e idonee all’uso, dove e quando necessario;
  • condivise con la Direzione e tutti gli utenti interni dei sistemi informatici;
  • conosciute e comprese da parte dei fornitori (es. sottoscrizione delle politica cybersecurity da parte del fornitore in fase di apertura rapporto);
  • riesaminate per valutare i risultati delle azioni correttive intraprese e le opportunità per il miglioramento continuo.
Cosa deve contenere una politica di cybersecurity ed information security? 

Una politica deve:

  • definire i fattori esterni ed interni che impattano sulla definizione e sul governo della cybersecurity; 
  • descrivere il modello organizzativo in ambito cybersecuirity e protezione dei dati; 
  • definire ad alto livello le regole per l’implementazione dei “Controlli essenziali” (definiti dal Framework Nazionale di Cybersecurity e Protezione dei Dati Personali).

Esempio di un indice di una politica cybersecurity
  • Obiettivi
  • Quadro normativo (interno ed esterno)
  • Perimetro di applicazione 
  • Il modello organizzativo (ruoli e responsabilità) 
  • Gestione, sicurezza e classificazione delle informazioni 
  • Regole in ambito ICT asset management 
  • Gestione del rischio informatico 
  • Gestione degli aspetti di sicurezza informatica nei rapporti con i fornitori 
  • Gestione degli aspetti di sicurezza fisica 
  • Gestione degli accessi logici
  • Regole per l’utilizzo dei dispositivi informatici da parte del personale 
  • Change management
  • Acquisizione, sviluppo e manutenzione dei sistemi informatici 
  • Regole per la protezione della rete 
  • Gestione degli incidenti di sicurezza informatica 
  • Gestione della continuità operativa (es. conformità alla ISO 22301)
  • Monitoraggio e miglioramento continuo (KPI, KRI, obiettivi e strumenti)
  • Regole per revisione ed aggiornamento della politica
1.4. ESEGUIRE AUDIT PER LA CYBERSICUREZZA

È necessario svolgere periodicamente audit sulla protezione di dati e sistemi, da affidare a persone in possesso di conoscenze, competenze ed esperienze appropriate. I revisori dovrebbero essere indipendenti, che si tratti di contraenti esterni o di personale interno all’azienda, non coinvolto nelle operazioni informatiche quotidiane.

Contesto

È opportuno che l’organizzazione pianifichi, stabilisca, attui e mantenga uno o più programmi di audit comprensivi di frequenze, metodi, responsabilità, processi coinvolti e reporting, anche considerando i risultati degli audit precedenti.

Parole chiave: 
  • Audit: processo sistematico, indipendente e documentato, volto ad ottenere prove, relativamente a un determinato oggetto, e valutarle con obiettività, al fine di stabilire in quale misura i criteri prefissati siano stati soddisfatti o meno. Un audit può essere “interno” svolto da parte della Società stessa al fine di verificare la propria conformità a norme e/o regolamenti, oppure può essere di tipo esterno (seconda o terza parte), ad esempio svolto da parte di un cliente su un proprio fornitore;
  • La figura dell’auditor cybersecurity: l’auditor in ambito cybersecurity conduce revisioni indipendenti per valutare la conformità dei controlli e dei processi, considerando il framework normativo interno ed esterno all’organizzazione.
Raccomandazioni

Nel contesto delle PMI una valutazione della postura di cybersecurity e delle azioni prioritarie da intraprendere può essere conseguita anche tramite attività che in termini di risorse e strumenti siano più semplici di un audit, come le attività di assessment (valutazione e verifica di determinati processi, considerando le normative applicabili esterne e le regole aziendali). 

L’assessment di cybersecurity

Cyber 4.0 ha sviluppato insieme alla rete dei Digital Innovation Hub di Confindustria un modello di assessment cybersecurity specifico per il contesto organizzativo e tecnologico tipico di una PMI. Il modello di assesment si base sul Framework Nazionale Cybersecurity e prende in considerazione tutti i controlli definiti “essenziali”. Tramite l’implementazione del modello di assessment è possibile: 

  • comprendere le vulnerabilità e le debolezze del governo cybersecurity dell’organizzazione; 
  • identificare i principali sistemi informatici a supporto dei processi dell’organizzazione; 
  • identificare e descrivere le azioni di rimedio prioritarie per diminuire i rischi cybersecurity applicabili all’organizzazione.

Per saperne di più contatta Cyber 4.0 all’indirizzo: cyber@cyber40.it.

Inoltre, ENISA ha rilasciato sul proprio sito il “Cybersecurity Maturity assessment for Small and Medium Enterprises”. Lo strumento disponibile gratuitamente online valuta il livello di maturità aziendale attraverso una serie di domande accentrate in tre aree chiave per il governo della sicurezza informatica (persone, tecnologie, processi). Considerando lo specifico contesto aziendale, viene fornito anche un piano d’azione personalizzato per la sicurezza informatica.

1.5. TENERE A MENTE LA PROTEZIONE DEI DATI

A norma del Regolamento Generale dell’Unione Europea sulla Protezione dei Dati (nota come GDPR), ogni PMI che tratta o conserva dati personali appartenenti a residenti UE/ SEE deve garantire che vengano svolti adeguati controlli della sicurezza ai fini della protezione dei dati e che anche qualsiasi terzo che lavora per conto della PMI abbia attuato idonee misure di sicurezza.

Parole chiave
  • Dato personale: Qualsiasi informazione concernente una persona fisica identificata o identificabile
  • Trattamento di dati personali: Qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.
  • Titolare del trattamento: Una persona fisica o giuridica o un altro organismo responsabile del trattamento dei dati personali e che ne determina le finalità e i mezzi.
  • Responsabile del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento
  • Trattamento su larga scala: Il Regolamento Generale sulla protezione dei dati non fornisce una definizione precisa di larga scala; tuttavia, le linee guida in materia indicano i seguenti fattori caratterizzanti i trattamenti effettuati su larga scala:
  • Monitoraggio sistematico: secondo in linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato” si tratta di trattamento utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti o “la sorveglianza sistematica su larga scala di una zona accessibile al pubblico” . Questo tipo di monitoraggio e` un criterio in quanto i dati personali possono essere raccolti in circostanze nelle quali gli interessati possono non essere a conoscenza di chi sta raccogliendo i loro dati e di come li utilizzerà`. Inoltre, si tratta di quei contesti nei quali può` essere impossibile per le persone evitare di essere soggette a tale trattamento nel contesto di spazi pubblici (o accessibili al pubblico).

Per tutti i termini ed i concetti previsti normativa in materia di protezione dei dati personali, consulta il testo in italiano del GDPR , in particolare art. 4 “Definizioni”.

Contesto di riferimento

Dal 25 maggio 2018 è divenuto pienamente applicabile in tutti gli Stati membri il Regolamento UE 2016/679, noto come GDPR (General Data Protection Regulation) – relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali. 
In data 19 settembre 2018 è entrato in vigore il D.lgs. 10 agosto 2018, n. 101 che ha introdotto disposizioni per l’adeguamento della normativa nazionale italiana (D.lgs. 196/2003) alle disposizioni del GDPR, recependo le regole europee nell’ambito del contesto giuridico nazionale. Il D.lgs. ha l’obiettivo di armonizzare le norme del Codice della Privacy al GDPR ed è entrato in vigore il 19 settembre 2018.
Il quadro normativo introduce il concetto di “responsabilizzazione” di titolari e responsabili del trattamento: è richiesta infatti l’adozione da parte di titolari e responsabili di comportamenti proattivi al fine di dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del Regolamento (per maggiori informazioni consulta gli artt. 23-25, in particolare, e l’intero Capo IV del Regolamento). 
I titolari hanno il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel Regolamento.

Identikit del “Responsabile della Protezione dei dati” (Data Protection Officer)

Il responsabile della protezione dei dati personali (di seguito “RPD”; o anche conosciuto come Data Protection Officer) è una figura prevista dall’art. 37 del GDPR. Si tratta di un soggetto designato dal titolare o dal responsabile del trattamento, ed ha il compito di supportare, controllare, fornire consulenza, formare ed informare l’organizzazione in merito all’applicazione del GDPR. A tal fine, deve essere “tempestivamente e adeguatamente” coinvolto in tutte le questioni riguardanti la protezione dei dati personali anche con riferimento ad attività di interlocuzione con l’Autorità. 
Coopera, inoltre, con l’Autorità e costituisce il punto di contatto rispetto a quest’ultima e agli interessati, in merito alle questioni connesse al trattamento dei dati personali (artt. 38 e 39 del GDPR) Il Responsabile della Protezione dei dati può essere un “dipendente” del titolare o del responsabile del trattamento (secondo quanto previsto dall’art. 37, par. 6, del GDPR) in grado di svolgere le proprie funzioni in autonomia e indipendenza, nonché in collaborazione diretta con il vertice dell’organizzazione.
Qualora il Responsabile della Protezione dei Dati sia individuato in un soggetto esterno, quest’ultimo potrà essere anche una persona giuridica (es. una Società che fornisce servizi di DPO as a service, come uno studio legale), purché sia comunque identificata una persona fisica atta a fungere da punto di contatto con gli interessati e con l’Autorità di controllo.

È obbligatorio nominare un Responsabile della Protezione dei dati?

Sono tenuti alla designazione del RPD il titolare o il responsabile del trattamento che rientrino nei casi previsti dall’art. 37, par. 1, lettere b) e c), del GDPR, ossia soggetti che: 

  • svolgono attività di core business che consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati (es. attività di marketing profilato, gestione reti di telecomunicazioni) su larga scala (per tale concetto, fare riferimento alla sezione “parole chiave”); o 
  • Svolgono attività di core business in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati (es. azienda ospedaliera). 

Tutti gli altri enti non sono tenuti a designare un DPO.
In ogni caso, resta comunque fortemente raccomandata la designazione di tale figura.
Per maggiori informazioni puoi consultare l’art. 37, par. 1, lettere b) e c), del GDPR oppure le linee guida in materia emanate dal Gruppo di Lavoro “Articolo 29” 1.

1“Il Gruppo di lavoro “Articolo 29” (Art. 29 WP) era il gruppo di lavoro europeo indipendente che, fino al 25 maggio del 2018 (entrata in vigore del RGPD) aveva lo scopo di occuparsi di questioni relative alla protezione della vita privata e dei dati personali”. Per maggior informazioni visita la pagina: https://edpb.europa.eu/about-edpb/more-about-edpb/article-29-working-party_it
2 https://www.garanteprivacy.it/home/doveri
3 https://www.garanteprivacy.it/home/attivita-e-documenti/iniziative
4 https://www.garanteprivacy.it/infografiche