Sicurezza dei dati e continuità operativa: un obbligo dettato dalle leggi e dal mercato

01 Ottobre 2019

Fino a qualche anno fa, in tutte le organizzazioni, l’area legale e quella informatica erano due campi di competenza distanti gestiti da differenti specialisti e simili a due satelliti autonomi che ruotavano intorno alle aree di business. Ora non può più essere così.

La presenza sempre più pervasiva delle tecnologie informatiche e l’aumento esponenziale della produzione e dello scambio di dati, rendono ormai fondamentale una gestione integrata della cybersecurity.
Ecco perché, considerata la rilevante minaccia che un’inadeguata gestione della sicurezza dei dati e delle tecnologie informatiche rappresenta per tutte le infrastrutture pubbliche e private del Paese, sono state emanate normative che impongono a tutte le organizzazioni, enti e aziende di adottare nuovi modelli di governance e più adeguate misure di sicurezza, non solo tecnologiche, ma anche organizzative e gestionali.

 

A rispondere in prima persona della cybersecurity è il Management, che è chiamato a perseguire e ad applicare con efficacia standard sempre aggiornati di sicurezza. Nello specifico, ai dirigenti d'azienda viene richiesto di:

  • valutare i rischi
  • definire le politiche di sicurezza
  • predisporre adeguate misure tecnologiche e processi organizzativi
  • sensibilizzare e formare il personale
  • effettuare continui monitoraggi e controlli

 

Si tratta di un compito complesso, poiché è necessario che queste misure vengano concretamente applicate garantendo al tempo stesso la soddisfazione delle esigenze del business e degli stakeholders, nonché l’efficienza in termini di impegno di risorse e di costi.

Tutte le recenti normative (come il GDPR Europeo e la prossima Legge Federale sulla Protezione dei Dati) nonché le regolamentazioni di settore richiedono di fare riferimento alle metodologie degli enti internazionali accreditati (ISO, NIST, COBIT, ITIL, etc.) e a tutte le best practice riconosciute, che stanno convergendo sugli stessi principi di governance:

  • Orientamento agli obiettivi
  • Risk-based approach
  • Ciclicità del processo di gestione (plan-do-check-act)
  • Security by design
  • Proporzionalità degli investimenti
  • Accountability.

 

Ma come può il Management districarsi tra i numerosi standard richiesti e tutte queste best practice? Attraverso una serie di accorgimenti chiave.

Eccoi principali.

  • Adottando un approccio top-down che consenta - attraverso uno schema generale della situazione - di avere una panoramica complessiva del “campo di gioco”, in modo da “vedere l’intera foresta dall’alto e non gli alberi, uno ad uno, dal basso”. Molto spesso, infatti, il Management non ha un’idea chiara di quali siano i dati e le tecnologie gestiti e delle reali criticità.
  • Applicando una metodologia di valutazione dei rischi che consenta la completezza di analisi (per non rischiare di trascurare elementi importanti), permetta di procedere per approfondimenti successivi in ambiti via via più specifici e ristretti (per rilevare le effettive criticità e mantenere un’adeguata efficienza) e non da utimo assicuri l’oggettività e la ripetibilità delle valutazioni (grazie alla condivisione e all’assunzione di responsabilità tra i diversi attori coinvolti).
  • Garantendo il mantenimento, l'aggiornamento e il controllo continui del sistema di protezione. Spesso le aziende investono tempo e denaro per costruire il sistema di gestione della sicurezza, ma dopo averlo realizzato non lo applicano con la dovuta perseveranza e rigore, né lo adeguano alle novità del contesto interno e dello scenario esterno (nuovi rischi e nuove normative).
    Questo favorisce inoltre la “deresponsabilizzazione” ai diversi livelli di controllo. È necessario definire in modo chiaro i compiti e le responsabilità di ciascuno, condividendo internamente un sistema di indicatori e di reporting costruito su misura per la propria organizzazione.
  • Investendo nella sensibilizzazione e formazione di tutto il personale. Questo è fondamentale, in quanto, come si suol dire, “la catena è tanto forte quanto lo è il suo anello più debole”. Quante volte i media ci ripetono che gli attacchi informatici più frequenti e devastanti sfruttano la debolezza di utenti ignari e inconsapevoli?

 

L’adozione di un sistema di governance della security e della business continuity riveste un'importanza strategica, non solo per la riduzione dei rischi e per rispondere ai requisiti imposti dalle normative, ma anche per ottenere vantaggi in termini di posizionamento sul mercato.
Molti enti pubblici nei loro bandi di gara e molte grandi aziende e multinazionali private chiedono sempre più spesso ai loro fornitori-partner di adottare modelli di governance che garantiscano la protezione dei dati e la continuità dei servizi. Ed è anche per questo che molte aziende puntano a ottenere la certificazione ISO 27001 e la certificazione ISO 22301 del sistema di gestione della sicurezza delle informazioni, delle tecnologie informatiche e della business continuity, in modo da accrescere la propria reputazione sul mercato nei confronti della concorrenza.

Da tempo Security Lab Advisory partecipa a convegni e tiene corsi di formazione in cui vi è la possibilità di approfondire questi temi con le aziende presenti e suggerire possibili soluzioni. Inoltre, pubblica periodicamente articoli di aggiornamento e approfondimento. 

 

CONVENZIONE

Alle aziende associate ad AITI, FIT e ATIO, Security Lab Advisory offre le seguenti agevolazioni:

  • Incontro di introduzione e di valutazione - a titolo gratuito - dello stato di maturità aziendale in materia di Governance, Risk Management, Business Continuity, Cyber-Security, Certificazioni ISO e Compliance alle normative sulla protezione dei dati (durata: fino a max. 4 ore).
  • Sconto del 15% sui prezzi di listino dei seguenti 3 Corsi in modalità e-learning: 
    “Regolamento Europeo sulla Protezione dei Dati (GDPR)” - "GDPR: Autorizzati al trattamento" - "Security Awareness"
  • Tariffe preferenziali sulle consulenze professionali erogate.

 

Per maggiori informazioni, consultate il sito www.sec-lab.com

 

EVENTO ESCLUSIVO PER GLI ASSOCIATI AITI, FIT E ATIO: VISITA GUIDATA AGLI STUDI TELEVISIVI DELLA RSI!!!

MARTEDÌ 10 DECEMBRE 2019, dalle ore 15.00 alle ore 18.30 cira, gli associati AITI, FIT e ATIO sono invitati a partecipare ad un Evento esclusivo, promosso in collaborazone con Security Lab Advisory, che sarà incentrato proprio sul tema della CONTINUITÀ OPERATIVA (Business Continuity). L'evento in oggetto si svolgerà presso la  RSI-Radiotelevisione Svizzera a Comano, dove i partecipanti avranno l'opportunità di compiere una visita guidata agli studi televisivi.

Un'occasione unica, da non perdere assolutamente! A breve riceverete l'invito elettronico....