In questo periodo, innovazione tecnologica e interconnessione ci portano a pensare con sempre maggior frequenza a nuovi modelli di business e a nuovi paradigmi, in ambito produttivo, industriale, nella logistica ed in tutti i settori in cui dati ed informazioni assumono un valore particolarmente rilevante, diventando veri e propri asset da tutelare.

È soprattutto in questi settori che emerge con maggior urgenza la necessità di elevare il livello di sicurezza di reti e infrastrutture per prevenire la sempre maggiore esposizione delle imprese, degli enti e delle realtà coinvolte ai rischi di perdita, diffusione illecita di dati e di informazioni e, con quest’ultime, ai rischi informatici e alle minacce che possono inevitabilmente compromettere anche la continuità operativa rispetto ai servizi erogati.

Ridisegnare un nuovo perimetro di ciò che chiamiamo sicurezza è dunque una priorità. Lo scopo è evidente: rendere possibile la costruzione, nei diversi ambiti, di modelli resilienti in grado di garantire la continuità nella fornitura di servizi e attività, capaci di valorizzare e tutelare dati ed informazioni (si pensi anche ai segreti commerciali, al know-how, ai processi, ai modelli di sviluppo 4.0 etc.) e rispondere in maniera efficace agli incidenti informatici.

Da una parte, il panorama normativo, nazionale, europeo ed internazionale e, dall’altro, gli obiettivi di governi ed aziende, non possono che essere influenzati da queste esigenze di tutela della sicurezza: è a partire da questa consapevolezza che due norme europee come il GDPR e la Direttiva NIS hanno sancito definitivamente una nuova visione e la necessità di una nuova consapevolezza.

Il passo successivo è la riflessione sui punti di contatto tra le normative vigenti – alle quali le aziende sono chiamate a conformarsi – e la necessità di mettere in atto misure di sicurezza tecniche e organizzative adeguate ad affrontare i rischi di ciascun contesto, con l’obiettivo di garantire il livello di sicurezza atteso.

È necessario costruire un modello integrato, che faccia riferimento ai supporti normativi in particolare riguardo alla cybersecurity e alla data protection, nel quale la tutela sia creata grazie a strategie, progetti, scelte tecnologiche e adozione delle misure necessarie per valorizzare due aspetti: da un lato, l’importanza dei dati e della loro protezione, dall’altro – ma strettamente connesso con questo – la sicurezza delle infrastrutture e dei sistemi sui quali questi dati viaggiano e vengono conservati, attraverso il controllo delle vulnerabilità in caso di attacchi informatici.

La priorità diventa dunque promuovere la cultura e la cooperazione in ambito di sicurezza informatica e migliorare le capacità nazionali e la resilienza delle infrastrutture cyber dell’intero Sistema Paese, che svolgono un ruolo essenziale per la produzione e circolazione di beni, servizi e persone.

 

Quale sicurezza per dati e infrastrutture?

Quando parliamo di sicurezza informatica tendiamo a concentrarci sull’aspetto logico di queste misure. Ma anche per quanto riguarda la sicurezza fisica, è necessario presidiare questo nuovo modello organizzativo, che ci rende capaci di affrontare i rischi e di reagire agli incidenti notificandoli secondo le iniziative che le norme definiscono.

Analizzare la rete, i sistemi, tracciare le risorse, implementare i sistemi necessari (applicare soluzioni, dispositivi e tecnologie adeguate), garantire un monitoraggio capace di rilevare le minacce, identificare i rischi ed essere in grado di risolvere criticità e problematiche: sono questi i passaggi fondamentali che rendono le infrastrutture più sicure e garantiscono il corretto svolgimento dei processi aziendali. Con il beneficio ulteriore di accrescere, attraverso la tutela degli asset e dei beni aziendali (inclusi, si ribadisce, dati, informazioni, processi, progetti, know how etc.), il livello di competitività.

Infrastrutture e sistemi sono i nodi nevralgici nella gestione di dati e informazioni. È ad essi e ai servizi connessi agli ambiti di riferimento della propria organizzazione che va posta la massima attenzione, come indicato dalla direttiva NIS. Un ruolo centrale è in questo senso attribuito agli Operatori di Servizi Essenziali (OSE) e ai Fornitori di Servizi Digitali (FSD).

 

Gli OSE sono i soggetti, pubblici o privati, che forniscono servizi essenziali per la società e l’economia nei settori sanitario, dell’energia, dei trasporti, bancario, delle infrastrutture, dei mercati finanziari, della fornitura e distribuzione di acqua potabile e delle infrastrutture digitali.

L’importanza di questi servizi, e la loro dimensione informatica, sono trasversali al sistema sociale, economico e politico ed è pertanto necessario raggiungere l’obiettivo della direttiva NIS rispetto alla necessità di migliorare la capacità della cybersecurity dei singoli Stati membri aumentando così il livello di cooperazione tra tutti. Per l’Italia, in particolare, le necessità si allargano anche alla piena attuazione delle ulteriori norme e regolamenti che definiscono il cosiddetto perimetro cibernetico.

 

Valutare i rischi e agire con responsabilità

Pensiamo al sistema sanitario durante il periodo di emergenza epidemiologica che stiamo vivendo e alla necessità di garantire la continuità operativa dei servizi definiti essenziali – come quelli forniti dalle infrastrutture critiche e dai sistemi di rete maggiormente vitali per il sistema paese – per i quali è richiesto un livello di sicurezza sempre più elevato, che tenga conto del valore e della “particolarità” dei dati e delle informazioni che vengono gestiti.

Nell’ambito delle infrastrutture critiche occorre certamente favorire lo sviluppo tecnologico e la digitalizzazione, senza tuttavia trascurare la protezione degli assetti cibernetici che rivestono, per questo settore, un elemento di sicurezza nazionale dovendo di conseguenza fare ricorso alle misure organizzative e alle misure di sicurezza fisica e logica (inclusa la scelta di sistemi e soluzioni tecnologiche) come indicate dalle normative applicabili.

Questo è l’aspetto più importante: negli ambiti individuati dalla direttiva NIS, le infrastrutture interessate devono necessariamente essere resilienti, sicure e dotate di procedure di gestione delle emergenze.

Non si tratta solo di ottemperare ai programmi di compliance – ovvero di essere conformi a quanto stabilito dalle normative – ma soprattutto di essere proattivi e responsabili per confermare ciò che si definisce accountability, quel principio di responsabilizzazione richiesto non solo dal GDPR ma dalla stessa NIS e da tutte le normative europee che, a prescindere dal settore di applicazione, hanno il medesimo approccio.

Il testo normativo non indica un elenco tassativo di misure da adottare (come più volte appunto sottolineato anche nell’analisi del GDPR) ma si limita ad esprimere l’obbligo di implementare un livello di protezione adeguato. Questo rappresenta dunque il passaggio da un approccio di mera compliance a uno basato sulla gestione del rischio e sulla responsabilità dei soggetti coinvolti.

Gli operatori individuati dalla normativa, nell’adottare le misure di sicurezza, devono tener conto anche delle linee guida e delle best practices predisposte dalle autorità competenti e in particolare del Framework Nazionale per la Cybersecurity e la Data Protection: uno strumento di supporto alle organizzazioni che necessitano di strategie e processi volti alla protezione dei dati personali e alla sicurezza cyber.

 

Le strategie e i processi richiesti dalla direttiva NIS e dal GDPR

Questo modello, che deve essere adottato per mettere in atto progetti e processi di adeguamento strutturati, quando è applicato sin dall’analisi iniziale dello “stato dell’arte” della propria organizzazione, il cosiddetto assessment, consente di avviare un percorso di adeguamento alla cybersecurity e alla protezione dei dati coerente con quanto richiesto dalla stessa normativa (NIS e GDPR), riducendo i costi necessari e aumentando l’efficacia delle misure realizzate.

Per le organizzazioni che hanno già avviato i processi di compliance, questo strumento, inoltre, consente di avere una linea e una guida per le attività di monitoraggio e di miglioramento con attenzione all’integrazione delle norme e degli standard internazionali applicabili.

Grazie al framework è possibile comprendere la necessità di raggiungere il livello di sicurezza atteso attraverso l’attività di prevenzione, ovvero:

• conoscere e analizzare il contesto in cui ci si trova ed i relativi i rischi;
• individuare gli asset critici (in particolare ai fini della protezione di dati, informazioni e della continuità operativa e dei servizi);
• implementare le misure volte alla protezione di tutti i processi e degli asset aziendali (comprendendo anche quali sistemi, soluzioni, dispositivi debbano essere adottati);

Svolta la fase preventiva è possibile individuare quella di difesa vera e propria e così:

• definire e attuare le attività per identificare gli incidenti di sicurezza;
• agire, intervenire e contenere i rischi quando l’incidente si sia verificato;
• attuare le attività per la gestione dei piani di ripristino dei processi e dei servizi impattati.

Da questi passaggi ne conseguirà dunque un sistema resiliente e dinamico dove, dopo le attività di prevenzione e di difesa, le azioni di monitoraggio e di controllo potranno consentire il miglioramento continuo di un modello “sicuro” partendo da un approccio “risk based” e affrontando scelte e decisioni in una visione di “security by design”.

Il percorso che ogni azienda o ente deve individuare per essere conforme, non può dunque che essere supportato dall’implementazione di tutte quelle misure che, a fronte dell’analisi delle criticità, delle vulnerabilità, dei rischi e del contesto in cui ci si trova, possano consentire la tutela dei dati e delle informazioni e soprattutto la costruzione di sistemi e di infrastrutture sicure per affrontare e rispondere alle violazioni o alle fughe di dati e agli incidenti che possono verificarsi e che potrebbero provocare problemi operativi anche nell’erogazione dei servizi.

Resta inteso che il medesimo approccio e l’importanza di questi principi sono alla base delle strategie di sicurezza oggi più che mai necessarie in specifici ambiti individuati dalla NIS ma anche in tutti gli ambiti in cui sicurezza logica e fisica e le scelte organizzative definiscono modelli di tutela, garanzia e fiducia nell’innovazione, nei diritti e nel ruolo attivo di tutti i soggetti coinvolti dell’intera filiera.

È in questo senso che l’innovazione tecnologica può e deve essere una risorsa e un’alleata preziosa per costruire modelli resilienti e consentire di avere una percezione dei rischi e la consapevolezza della loro gestione nel momento in cui occorre reagire, intervenendo per evitare conseguenze, sia in termini di sanzioni, sia per gli aspetti operativi che in termini di danno reputazionale per le aziende.

Il coinvolgimento di tutti i soggetti dell’intera filiera  è necessario per condividere strategie univoche  e garantire il giusto livello di attenzione, considerata l’importanza dell’analisi dei rischi, la mappatura di tutti i processi e degli elementi necessari affinché sia possibile effettuare le scelte migliori sia dal punto di vista della compliance che di adozione delle tecnologie, e raggiungere così la massima interazione ed integrazione  tra i sistemi (e i modelli di gestione) e di conseguenza tra le norme che ci interessano.

 

Perché un White Paper?

È importante ribadire come il percorso illustrato richieda il coinvolgimento di tutti (professionisti, vendor,  canale di distribuzione, progettisti, installatori e così via), affinché sia per tutti possibile riconoscere l’opportunità dell’innovazione tecnologica e il valore di cooperazione, collaborazione e condivisione per poter raggiungere la reale consapevolezza del nuovo assetto normativo e del necessario cambio di paradigma che può essere meglio compreso anche e soprattutto grazie alla formazione e all’informazione.

Con il White Paper Dati e infrastrutture: beni aziendali da proteggere, Axis si pone l’obiettivo, nella consapevolezza del proprio ruolo e della propria visione, di dare supporto alle aziende, ai propri partner, ai professionisti, per meglio comprendere gli obiettivi normativi e in che modo costruire ed adottare strategie di compliance e sinergie necessarie per elevare il livello di sicurezza e protezione dei dati, dei sistemi e delle infrastrutture.

Il White Paper parte dai contenuti normativi (in particolare riprendendo il framework di riferimento), e analizza, con taglio trasversale e un approccio pratico e concreto, i principi richiesti e gli aspetti inerenti gli adempimenti e le attività di compliance che ricadono su tutti i soggetti coinvolti.

Le due norme (GDPR e NIS), messe a confronto attraverso l’analisi svolta nel White Paper, ci danno modo di comprendere che, seppur apparentemente distanti presentano, nei principi e nell’analisi che va fatta, evidenti punti di contatto: entrambi pongono al centro l’esigenza di garantire un’adeguata protezione a infrastrutture e dati e sottolineano la rilevanza della “resilienza dell’intero Sistema-Paese”. Necessità, questa, che non può prescindere da un approccio coordinato, da un aumento della consapevolezza, della sussistenza e della valutazione dei rischi, nonché dalla messa in campo di una più stretta collaborazione tra operatori di servizi essenziali (OSE), nei settori pubblico e privato e di conseguenza nell’intera filiera coinvolta.

 

Scarica il White Paper di Axis sulla protezione di Dati e Infrastrutture

White Paper Dati e Infrastrutture