• Pasquale Russo

Economia e Cyber security, uno scudo per le PMI

Sono ancora molte le organizzazioni impreparate a reagire efficacemente a un incidente di sicurezza informatica. Il 77% che sostiene di non avere un piano di risposta agli incidenti applicato in maniera consistente in tutta l’azienda.

A dirlo sono i risultati di uno studio globale che esplora la preparazione delle aziende in relazione alla loro capacità di resistere e ripristinare l’operatività in seguito a un attacco cyber. 

Credo che la proposta di un modello organizzativo, strategico e procedurale per le PMI, relativo al tema della cyber security.

Cyber security è, in particolare, sinonimo di sicurezza informatica e concerne la parte dell’information security (sicurezza delle informazioni, ovvero minacce alla privacy, sicurezza informatica, etc) che dipende esclusivamente dalle tecnologie informatiche.

Il modello proposto in questa sede promuove una vera e propria “cultura aziendale” in materia, da intendersi come propensione al rischio, grado di innovatività, tipologia di attività svolta e strumenti di prevenzione e tutela, sviluppando, in tal senso, una struttura organizzativa interna che consente di garantire alle imprese aderenti la realizzazione di una adeguata architettura della sicurezza volta alla protezione delle informazioni da attacchi interni ed esterni.

Occorre evidenziare, infatti, come punto di partenza nella corretta costruzione di siffatto modello di difesa (e, più in generale, dalle minacce informatiche) sia, non solo il ricorso a strumenti tecnologici o a competenze settoriali bensì, al contrario, la stessa implementazione di elementi di carattere strategico, organizzativo, procedurale e di gestione delle risorse di ciascuna impresa.

Molto importante diventa soprattutto, laddove un’impresa, chiamata ad interagire con la Pubblica Amministrazione, sia chiamata essa stessa a garantire la sicurezza del patrimonio informatico pubblico e dei dati trattati.

In sintesi e per punti mi permetto di suggerire  un modello organizzativo  frutto del gruppo di lavoro della Link Campus University che se l’azienda lo adottasse e autocertificasse garantirebbe  il proprio patrimonio aziendale e i dati sensibili che tratta.

Modello organizzativo: requisiti

1.Pianificazione

1.1Politica

L’azienda deve adottare ufficialmente una politica, emessa dalla Direzione e comunicata a tutte le risorse e i fornitori che abbiano un impatto diretto sulla sicurezza dei dati (cybersecurity), tale da dare indicazioni sull’azienda stessa, gli impegni al rispetto dei requisiti legali, le responsabilità e i principi etici.

1.1.1.Analisi dei rischi e piani d’azione

L’azienda deve sviluppare un’analisi dei rischi di cybersecurity commisurata alla complessità dell’azienda stessa e a quella delle attività svolte e revisionata ad intervalli regolari massimi di 2,5 anni, completa di piani d’azione per la mitigazione dei rischi, relativi budget e obiettivi.

2.Operatività

2.1Responsabilità

L’azienda deve dotarsi di un’organizzazione che disciplini ruoli e responsabilità sulla cybersecurity, separazione di compiti e contatti con le autorità, anche relativamente alle singole commesse. Tale organizzazione deve essere documentata (ad esempio tramite organigramma).

2.1.1.Competenze

L’azienda deve dimostrare di avere al suo interno persone in possesso della necessaria competenza relativamente alle attività svolte di sicurezza informatica, alle dotazioni tecniche utilizzate e alla gestione dei progetti.

L’azienda deve nominare un Responsabile della Protezione dei dati (DPO) che abbia superato un corso di almeno 80 ore in materia di protezione dei dati e sicurezza delle informazioni oppure che sia in possesso di certificazione UNI 11697 sotto accreditamento per il medesimo profilo.

L’azienda deve garantire e documentare la formazione sulla cybersecurity delle persone che lavorano nelle attività aventi impatto nella protezione dati sulle procedure e sulle dotazioni tecniche e l’informazione

2.1.2.Istruzioni e procedure

L’azienda deve dotarsi di istruzioni o procedure documentate coerenti con le proprie dimensioni e con la complessità delle proprie attività, che definiscano, oltre alle modalità operative, anche le modalità per il controllo dell’implementazione e le responsabilità.

Tali istruzioni e procedure devono coprire come minimo i seguenti aspetti:

  • pianificazione e gestione dei progetti e dell’operatività con attribuzione di responsabilità e controllo della presenza delle necessarie competenze;

  • utilizzo e sicurezza dei dispositivi interni ed esterni, delle reti WiFi e LAN;

  • classificazione delle informazioni, gestione dei supporti rimovibili, controllo accessi e privilegi;

  • sicurezza fisica e ambientale degli operatori e delle apparecchiature;

  • gestione delle vulnerabilità tecniche, con controlli per l’audit dei sistemi informativi tali da assicurare la difesa da virus informatici;

  • gestione e tenuta sotto controllo dei fornitori;

  • prevenzione e gestione degli incidenti relativi alla sicurezza di dati e loro trasmissione.

3.Controlli

L’azienda deve implementare i controlli tecnici necessari a garantire l’efficace implementazione del modello organizzativo e delle sue procedure sulla sicurezza dei dati. Dell’esito di tali controlli devono essere conservate informazioni.

L’azienda deve sottoporre ad audit interno a intervalli regolari (al massimo di 2.5 anni) i seguenti aspetti:

  • stato di implementazione dei piani d’azione;

  • una commessa, per verificare l’efficace implementazione delle istruzioni e delle procedure.

Deve essere lasciata traccia dei controlli effettuati e dell’esito dell’audit interno con riferimenti specifici, in modo da assicurare l’obiettività e la ripetibilità dei controlli.

4.Miglioramenti

L’azienda deve riesaminare il proprio modello organizzativo a intervalli regolari di almeno 2.5 anni, garantendo che siano presi in considerazione l’efficacia dell’analisi rischi (cyber), degli obiettivi, dei piani d’azione e dell’utilizzo del budget, le criticità emerse, l’aggiornamento di tutti gli aspetti della pianificazione, l’adeguatezza delle competenze a disposizione e del controllo (monitoraggio e audit).

Conclusioni

Il rispetto di queste regole organizzative e l’inserimento diretto o la consulenza di un tecnico esperto di cybersecurity o di un’azienda, consentirebbero di ridurre la superficie di attacco verso i cyber criminali.

La tutela della privacy, la tutela dei dati trattati soprattutto se di proprietà della Pubblica Amministrazione, la tutela dei dati sensibili, penso alla Sanità, devono essere un must di ogni impresa e l’attenzione va posta soprattutto sulle aziende estere e non europee che spesso hanno regole di Paesi che non hanno il nostro rispetto per i cittadini.

Il programma Industria 4.0 è una grande opportunità per le imprese e per le PMI, ma deve essere associato ad un chiaro programma di informazione e con soluzioni utili ai nostri piccoli imprenditori, soprattutto quelli del Made in Italy, che non possono vedersi depredare dal loro know how, ma non devono neanche spendere patrimoni per difendersi e sentirsi sempre sotto attacco informatico, altrimenti meglio staccarsi da Internet e fare il proprio business di persona oppure come può succedere chiudere l’azienda.

*Direttore Generale Link Campus University

0 visualizzazioni

Post recenti

Mostra tutti
  • White Twitter Icon

© 2020 by Pasquale Russo

This site was designed with the
.com
website builder. Create your website today.
Start Now