Menu
Menu
CRESCIUTI FIANCO A FIANCO
Un mondo in costante evoluzione
Le minacce informatiche evolvono rapidamente e diventano sempre più numerose ed efficaci, inoltre il “cloud”, la “fabbrica connessa” e lo “smart working” se da un lato offrono evidenti benefici dall’altro costringono ad affrontare nuove e complesse problematiche in tema di gestione della sicurezza e della conformità normativa.
Un’organizzazione per essere più resiliente e protetta dai rischi cyber, non deve solo essere in grado di prevenire e rispondere rapidamente agli incidenti informatici, ma deve gestire questi processi e tecnologie in modo integrato e conforme alle norme cogenti e alle norme volontarie a cui l’organizzazione ha deciso di adeguarsi (ISO 9001, D.Lgs. 231/2001, ISO 14001, ISO 27001 ecc.) ottimizzando così i costi e migliorando la capacità di governance complessiva.
In questo contesto per condurre un percorso strutturato orientato a ridurre i rischi di incidenti informatici e di sanzioni occorre elevare il livello di maturità dei processi e delle tecnologie con il supporto di figure professionali esperte con competenze trasversali.
Risk assessment
L’approccio più efficace per una gestione integrata della cybersecurity e della conformità normativa si fonda su un’attività preliminare di risk assessment che consenta all’organizzazione di quantificare la propria esposizione al rischio.
Una volta effettuata questa attività, per trasformare queste informazioni in azioni concrete di riduzione dei rischi,
è necessario individuare un insieme specifico di misure tecniche ed organizzative di mitigazione proporzionali ai rischi rilevati ed eventualmente riorganizzare i processi interni verso una capacità di reazione agli incidenti più rapida ed efficace.
Esperienza maturata negli anni
Oltre venticinque professionisti affiancano le imprese
in tutte le aree tecnologiche per la loro sopravvivenza ed evoluzione.
I rischi che le aziende devono affrontare variano in base al contesto, al mercato di appartenenza e alle evoluzioni tecnologiche ed organizzative.
Blue Team srl sono stati concepiti secondo un approccio multidisciplinare (tecnico, organizzativo e legale)
con gli obiettivi di migliorare la “resilienza digitale” delle aziende e delle amministrazioni pubbliche e di supportare
il management a comprendere i rischi e prendere decisioni consapevoli.
La nostra proposta
Nell’odierna economia basata sulla conoscenza, le informazioni sono fondamentali per la capacità di un’azienda non solo di produrre beni e servizi, ma anche di svilupparsi e innovare. Il patrimonio informativo aziendale (dati di business e dati personali) necessita almeno dello stesso livello di protezione di qualsiasi altro asset strategico aziendale.
Nella maggior parte dei casi, tuttavia, l’approccio alla sicurezza delle informazioni digitali viene concepito esclusivamente come una disciplina tecnica. Sebbene l’IT fornisca strumenti utili a proteggere le informazioni, in realtà, la tecnologia da sola non è la soluzione. Infatti, le vulnerabilità che derivano da una governance inappropriata, gestione inadeguata, una cultura disfunzionale o personale non adeguatamente formato non possono essere risolte con la tecnologia. Per proteggere più efficacemente le informazioni, le aziende dovrebbero stabilire politiche di sicurezza delle informazioni supportate da standard, procedure e linee guida consolidate.
In qualsiasi azienda esiste una rete di persone che interagiscono, usando i “processi aziendali” per canalizzare questa interazione. All’interno di questa rete ci sono sia i dipendenti che altri soggetti come i partner esterni, fornitori di terze parti, consulenti, clienti e altre parti interessate. Tutte queste relazioni interne ed esterne pongono le basi per l’efficacia operativa e, in definitiva, per il successo e la sostenibilità dell’impresa.
Il modello generale di funzionamento di una azienda, molto utile per comprendere ed affrontare problematiche di sicurezza delle informazioni, è rappresentato da quattro elementi (Organizzazione, Persone, Processi e Tecnologie) collegati tra loro tramite interconnessioni dinamiche.
L’Organizzazione definisce le strategie, gli obiettivi di business e le politiche da perseguire. Le Persone rappresentano l’elemento che, in accordo alla cultura aziendale, mette in atto tali strategie mediante l’implementazione di Processi volti a garantire l’integrità, la disponibilità e la riservatezza delle informazioni. La Tecnologia è composta da tutti gli strumenti, le applicazioni e le infrastrutture che rendono i processi più efficienti. Come elemento che subisce frequenti cambiamenti, la tecnologia presenta i suoi rischi dinamici ed è fortemente influenzata dagli utenti e dalla cultura organizzativa.
In un approccio olistico alla sicurezza tutti questi elementi interagiscono e si influenzano tra loro.
Il modello in figura rappresenta queste interrelazioni evidenziando che quando uno o più elementi subiscono una modifica o non sono gestiti in modo appropriato, l’equilibrio del sistema potrebbe essere compromesso e quindi pregiudicare il mantenimento di un livello adeguato di sicurezza delle informazioni.
Per esempio l’introduzione di una nuova tecnologia determina un cambiamento che tramite le interconnessioni dinamiche esercita una tensione anche sugli altri elementi. A questa sollecitazione va data una risposta nell’ambito degli altri elementi connessi (es. adeguata formazione delle persone, modifica dei processi aziendali) consentendo al sistema complessivo di adattarsi secondo necessità e di conservare un “equilibrio” al fine di garantire un’adeguata protezione delle informazioni.
Rischi Informatici
In questo contesto per condurre un percorso strutturato orientato a ridurre i rischi derivanti da incidenti informatici e di sanzioni nell’ambito della protezione dei dati personali (GDPR) occorre elevare il livello di maturità dei processi e delle tecnologie digitali aziendali.
I rischi che le aziende devono affrontare variano in base al contesto, al mercato di appartenenza e alle evoluzioni tecnologiche ed organizzative, chi si occupa di risk management sa bene quanto sia importante e complessa la gestione dei rischi in una moderna organizzazione.
La presenta proposta fa riferimento ad una attività di assessement relativa alla valutazione di un sottoinsieme di rischi che possono essere definiti Rischi Informatici e alla individuazione e documentazione di un opportuno insieme di misure tecniche ed organizzative finalizzate al contenimento di tali rischi.
Le misure tecniche che verranno proposte non individueranno specifici prodotti o servizi, sarà compito del cliente sulla base delle proprie indagini di mercato, individuare specifici prodotti o servizi.
METODOLOGIA
L’analisi del rischio sarà mappata secondo una opportuna gerarchizzazione e tassonomia degli asset, l’analisi delle minacce, vulnerabilità e contromisure e relativo calcolo del rischio saranno basati sui “CIS Controls®”.
Queste misure, sviluppate e regolarmente aggiornate dal CIS, consentono di definire differenti ambiti di mitigazione dei rischi, consistenti in controlli di natura tecnologica, organizzativa e procedurale, con tre livelli crescenti di complessità di attuazione.
Il primo livello di attuazione è da considerarsi basico, i due livelli successivi richiedono misure tecniche ed organizzative via via più complete e sofisticate che risultano necessarie per le organizzazioni più complesse o maggiormente esposte a rischi per via della criticità dei servizi erogati.
Il “rischio informatico” è un rischio puro
In letteratura viene spesso sottolineata la distinzione tra rischi unilaterali (o puri) e bilaterali (o imprenditoriali). Il rischio è unilaterale se il solo effetto possibile è negativo, mentre è bilaterale se gli effetti possono essere sia positivi che negativi sull’economicità dell’impresa.
Il “rischio informatico” è un rischio puro determinato da eventi inaspettati nell’ambito della gestione del dato digitale e come tale presenta come effetto la distruzione del “valore”. Nondimeno bisogna tenere presente che tale eventualità sfavorevole possa manifestarsi anche sotto forma di risultato positivo inferiore a quello atteso, in ogni caso misurabile in termini di danno economico.
I rischi nelle aziende hanno prevalentemente un contenuto economico, infatti qualsiasi operazione o evento presenta un impatto che può creare o distruggere valore. In alcuni casi l’impatto dell’evento negativo può coinvolgere le persone fisiche, sia dentro che fuori l’azienda, in termini di danno alla libertà e dignità della persona. Tuttavia in questo caso la normativa vigente prevede sanzioni per il “titolare” a cui potrebbe aggiungersi una richiesta di risarcimento danni non patrimoniali da parte delle persone fisiche danneggiate.
Per precisare ulteriormente cosa deve intendersi per “Rischio Informatico” è necessario chiarire il significato di Information Security, Cybersecurity e Data Protection.
La Information security si occupa delle informazioni indipendentemente dal loro formato, comprende: documenti cartacei, proprietà digitali e intellettuali e comunicazioni verbali o visive.
La Cybersecurity invece si occupa di proteggere le risorse digitali, ovvero tutto ciò che comprende hardware, software, informazioni che transitano nelle reti e nei sistemi digitali (Digital Assets). Pertanto la “cybersecurity” rappresenta un sottoinsieme della Information Security.
La Data Protection si occupa della protezione dei dati personali indipendentemente dal loro formato, al pari dell’information security, pertanto anche la Data Protection rappresenta un sottoinsieme della Information Security.
I Rischi Informatici sono relativi ai Digital Assets che rappresentano il dominio della Cybersecurity, che a sua volta ricomprende le misure tecniche ed organizzative di protezione dei dati personali digitali. È bene precisare che i Digital Assets, di solito associati esclusivamente ai sistemi dell’Information Technology (IT), in realtà possono comprendere, nell’ambito dell’industria e delle utility, anche i sistemi di OT (Operational Technology) e di ICS (Industrial Control Systems) utilizzati per la gestione e il controllo dei macchinari e degli impianti. Quindi il dominio della Cybersecurity e il Rischio Informatico ricomprendono anche gli ambiti dell’OT e dell’ICS oltre che dell’IT.
Quindi considerato la trasversalità dei sistemi e dei processi digitali il rischio informatico rappresenta una componente considerevole dei:
Rischi operativi = I rischi operativi riguardano l’attività tipica d’impresa sono riconducibili a tutti quei rischi che possono minacciare le condizioni di efficienza, efficacia ed economicità delle risorse e dei processi aziendali che caratterizzano la catena del valore.
Rischi reputazionali = I rischi reputazionali riguardano la percezione negativa dell’immagine dell’azienda da parte di clienti, controparti, azionisti, investitori o autorità di vigilanza.
Rischi di conformità normativa (compliance) = I rischi di compliance sono originati dal mancato rispetto delle leggi e dei regolamenti, che espongono l’impresa a sanzioni, multe, penalità, e nei casi più gravi possono comportare la sospensione dell’attività produttiva per periodi più o meno ampi.
I rischi informatici sono ormai un fenomeno intrinseco nell’economia di tutte le aziende e sono critici per una corretta attività di risk management che si fonda sulla capacità di individuare le fonti di ogni tipologia di rischio d’impresa, saperle valutare e trattare correttamente.
“Nella vita ci sono rischi che non possiamo permetterci di correre
e ci sono rischi che non possiamo permetterci di non correre.”
(Peter F. Drucker)
Via Ancona, 13 bis 60035 Jesi (AN)
blueteam.srl@pec.it
info@blueteamsicurezzainformatica.it
0731 696134
