Il rapporto CSA

Governance, rischio e compliance nel settore sanitario sul cloud: le sfide

Home Norme e adeguamenti
Indirizzo copiato

Le organizzazioni sanitarie adottano sempre più spesso i servizi cloud, ma questa transizione comporta numerose sfide GRC che devono essere affrontate per poter sfruttare tutti i vantaggi offerti

Pubblicato il 11 set 2024
Federica Maria Rita Livelli

Business Continuity & Risk Management Consultant, BCI Cyber Resilience Committee Member, CLUSIT Scientific Committee Member, ENIA Comitato Scientifico

Decalogo Garante privacy AI in sanità

L’associazione Cloud Security Alliance (CSA) ha recentemente pubblicato una nuova edizione del report “Information Technology Governance, Risk and Compliance in Healthcare” che offre una descrizione degli elementi di un programma efficace di GRC Cloud nel settore sanitario.

Le Organizzazioni Sanitarie (OS), da quanto si evince dal report, riconoscono l’importanza cruciale di garantire la gestione del rischio e la compliance nel settore sanitario, sottolineando come i programmi di GRC contribuiscano a raggiungere tale obiettivo.

È doveroso sottolineare che un programma GRC – attraverso un approccio top-down – contribuisce a identificare e affrontare i rischi tecnologici da una prospettiva aziendale, garantendo la conformità alle normative e agli standard di settore, oltre che mitigare le potenziali minacce.

Ne consegue che un programma di GRC Cloud, ben strutturato, si converte in un potente strumento per le OS, permettendo loro di: raccogliere dati critici sui rischi, convalidare la compliance e generare report.

Il report di CSA fornisce un’analisi degli elementi chiave di un programma di GRC Cloud, oltre a descrivere i passaggi necessari per l’implementazione, considerando anche l’aumento dell’uso dell’Intelligenza Artificiale (AI) nel settore sanitario. Un aumento che ha reso ancora più essenziale l’adozione di solide pratiche GRC per garantire la qualità e l’accuratezza dei dati nei sistemi di AI e Machine Learning (ML).

Inoltre, la natura sensibile dei dati dei pazienti, le considerazioni etiche, le questioni legali, la sicurezza e la privacy diventano, oggigiorno, elementi quanto mai fondamentali.

Di fatto, le OS – grazie al programma GRC – possono stabilire la supervisione necessaria per allineare il comportamento dell’AI agli standard etici e alle aspettative della società, evitando potenziali impatti negativi.

Inoltre, un programma GRC contribuisce a garantire una condivisione di informazioni pertinenti e a colmare le lacune, oltre a eliminare i silos all’interno dell’organizzazione, favorendo, altresì, una maggiore comprensione del rischio e della compliance, propedeutica a prendere decisioni migliori e garantire un ambiente sanitario più sicuro.

Le OS, il GRC Cloud e le tecnologie emergenti

Le OS, ovvero, gli enti che forniscono assistenza medica ai pazienti e possono essere pubbliche, private o a scopo di lucro – tra cui ospedali, cliniche ambulatoriali, centri chirurgici ambulatoriali, case di cura, Residenze Sanitarie Residenziali (RSA) e aziende di assistenza domiciliare infermieristica – generalmente, si avvalgono di GRC Cloud per diversi motivi, quali:

  • Migliorare la qualità delle cure ai pazienti
  • Ridurre i costi
  • Migliorare l’efficienza
  • Aumentare la sicurezza dei dati
  • Soddisfare i requisiti normativi

È doveroso evidenziare che l’adozione sempre più rapida, nel settore sanitario, di tecnologie emergenti – quali blockchain, Internet of Things (IoT), AI e analisi avanzate – pone nuove sfide e opportunità per i framework GRC, dato che tali tecnologie, se da un lato possono aiutare a snellire i processi, ottimizzare l’integrità dei dati e migliorare i risultati per i pazienti, dall’altro lato, introducono anche complessità nella gestione della compliance e della sicurezza. Ne consegue che affrontare queste tecnologie all’interno dei framework GRC garantisce che siano allineate agli standard e alle normative sanitarie, rafforzando al contempo le misure di cyber security.

Cyber sicurezza nella sanità: gli impatti del ransomware e i punti deboli da presidiare

Governance

Le OS devono ripensare la governance IT a fronte dell’adozione del cloud computing, dato che è necessario implementare e mantenerne un ciclo di vita per pianificare, definire, implementare e monitorare le attività, oltre a tener conto di un modello di responsabilità condivisa e di un ambiente multi-tenant.

È doveroso evidenziare che una governance IT efficace garantisce sia l’allineamento degli investimenti tecnologici agli obiettivi organizzativi sia l’allocazione efficiente delle risorse, oltre che la trasparenza dei processi decisionali. Inoltre, è necessario definire politiche, procedure e standard per i sistemi IT e il personale, considerando che le architetture cloud sono più complesse rispetto ai data center on-premise e non possono essere gestite con le stesse politiche e strumenti.

Secondo quanto sostiene l’Information Systems Audit and Control Association (ISACA), una governance cloud ben strutturata – basata su politiche e standard specifici – minimizza i rischi, ottimizza gli investimenti e garantisce la conformità normativa, oltre ad evitare problemi legati a una strategia “cloud-first“.

È doveroso evidenziare, altresì, che l’introduzione del cloud computing influisce su ruoli, responsabilità, processi e metriche. Ne consegue che, senza una governance adeguata, le OS potrebbero affrontare vari problemi, tra cui: disallineamento con gli obiettivi aziendali; frequenti revisioni delle eccezioni alle policy; progetti in stallo; penalità per mancata conformità normativa; problemi di gestione dei dati; sforamenti di budget; valutazione del rischio incompleta.

Il report CSA evidenzia che il ciclo di vita della governance cloud, secondo il framework Service Oriented Architecture (SOA), è costituito da quattro fasi, quali: pianificazione, definizione, implementazione e monitoraggio. Vediamo in cosa consistono.

Immagine che contiene testo, schermata, diagramma, CarattereDescrizione generata automaticamente
Fonte immagine: CSA REPORT- “Information Technology Governance, Risk and Compliance in Healthcare”.

Pianificazione

La pianificazione inizia con l’identificazione delle esigenze aziendali degli stakeholder e con la definizione di come soddisfarle. È doveroso evidenziare che la fase di pianificazione del ciclo di vita della governance del cloud comprende diverse fasi fondamentali, qui di seguito riportate.

Analisi dei modelli e dei processi di governance implementati – Si tratta di garantire la valutazione degli aspetti della governance aziendale per creare o per mantenere un modello di governance cloud. Inoltre, la maturità della governance del cloud computing è valutata seguenti su 6 livelli:

    • Livello 0: Governance del cloud computing inesistente
    • Livello 1: Governance del cloud computing iniziale/ad hoc
    • Livello 2: Governance del cloud computing ripetibile
    • Livello 3: Governance del cloud computing definita
    • Livello 4: Governance del cloud computing gestita e misurabile
    • Livello 5: Governance del cloud computing ottimizzata

Visione e strategia di governance cloud – Questo livello si basa sui principi guida della governance cloud e sulla strategia aziendale, oltre ad includere la valutazione della governance cloud e la definizione di metriche per misurarne il valore.

La sanità è sotto attacco: soluzioni e best practice per metterla in sicurezza

Ambito di applicazione della governance cloud – Si tratta di garantire l’identificazione delle esigenze degli stakeholder, oltre che l’identificazione dei processi di governance cloud e del livello di governance e selezione dei componenti della governance cloud.

Adattamento dei principi guida – Si tratta di garantire l’adattamento dei principi guida della governance cloud per le OS, in conformità con i principi della governance IT aziendale. Ovvero, si consiglia di considerare i principi guida ISACA che includono: abilitazione, rapporto costi-benefici, rischio aziendale, capacità, responsabilità e fiducia. Tali principi, mettendo in luce le problematiche e le preoccupazioni relative al cloud computing, forniscono un orientamento generale alle OS e sono utili per soddisfare gli obiettivi aziendali nell’adozione di soluzioni cloud.

Pianificazione della roadmap della governance cloud – È necessario garantire la definizione del numero di iterazioni nel ciclo di vita della governance cloud, ovvero: l’implementazione iniziale, durante il primo ciclo, con graduale completamento della visione di governance cloud nelle iterazioni successive. Inoltre, secondo quanto si evince dal report di CSA, è necessario considerare due aree fondamentali per garantire con successo la pianificazione del proprio modello di governance e, precisamente:

Classificazione dei dati che comporta: stabilire le regole di accesso, di utilizzo e di condivisione dei dati; definire i requisiti di sicurezza che determinano la classificazione dei dati; verificare se i dati sono informazioni personali identificabili (Personally Identifiable Information -PII) o informazioni sanitarie protette (Protected Health Information -PHI) o se possono essere condivisi liberamente.
Identificazione dei ruoli e delle responsabilità, considerando che: il Cloud Computing è un ambiente di responsabilità condivisa; un modello di governance basato su un data center on-premise non è sufficiente per un ambiente cloud ibrido; è importante la comprensione dell’ereditarietà della compliance dei fornitori di servizi cloud; i fornitori di servizi cloud devono implementare controlli per la loro parte di responsabilità condivisa; è necessario implementare controlli per una compliance olistica in qualità di cliente del servizio cloud (i.e.: IAM; controllo dell’accesso alle applicazioni, ai sistemi ed ai dati; gestione delle vulnerabilità delle applicazioni; ciclo di vita sicuro dello sviluppo del software; rispetto dei requisiti di conservazione e smaltimento dei dati; implementazione di controlli di sicurezza; monitoraggio delle risorse cloud per anomalie e attività malevole; Gestione degli incidenti).

A titolo esemplificativo, segue una tabella di Microsoft che mostra le responsabilità delle differenti funzioni.

Immagine che contiene testo, schermata, software, numeroDescrizione generata automaticamente
Fonte immagine: CSA REPORT- “Information Technology Governance, Risk and Compliance in Healthcare”.

Descrizione

Si tratta di definire il processo di elaborazione dettagliata dei passaggi necessari per raggiungere gli obiettivi stabiliti nella fase di pianificazione. Ecco alcune attività comprese in questo livello:

  • Valutare lo stato attuale della governance del cloud rispetto a un modello di maturità della governance riconosciuto.
  • Definire le politiche di governance e le normative di conformità che si applicano all’OS.
  • Identificare le lacune da colmare per soddisfare i requisiti di governance del cloud dell’OS.
  • Definire organismi di governance per eseguire tutti i processi di governance.
  • Definire un framework di governance. Ad esempio, Il framework Cloud Controls Matrix (CCM) di CSA si concentra sull’intero ciclo di vita della sicurezza delle informazioni. Inoltre, vengono definite le tecnologie e gli strumenti necessari per implementare e gestire la governance del cloud. Ancora, viene condotta un’analisi delle tecnologie e degli strumenti aziendali esistenti per identificate le lacune. I risultati della gap analisi servono come base per l’acquisizione di tecnologie e strumenti che dovrebbero supportare le capacità di automazione per la governance del cloud.

Implementazione

Implementare un framework di governance è un processo impegnativo che richiede collaborazione, comunicazione, monitoraggio e miglioramento continuo. Gli OS, dopo aver definito i processi, la tecnologia e gli strumenti nella fase di definizione, devono definire gli standard e le procedure che includono linee guida per tutti gli aspetti del cloud computing, quali: provisioning, gestione degli accessi e controllo delle modifiche.

Telemedicina e NIS 2, la sicurezza dei pazienti al centro: un approccio metodico e avanzato

Successivamente, gli standard e le procedure devono essere comunicati a tutte le parti interessate, specificando chiaramente i ruoli e le responsabilità di ciascuna. Inoltre, gli OS dovrebbero fornire formazione per familiarizzare tutte le parti interessate con le politiche, le procedure e gli standard di governance del cloud.

È importante comprendere che l’implementazione della governance cloud comporterà delle sfide nella definizione dei requisiti in termini di sicurezza e di privacy. Inoltre, la mancanza di formazione sull’importanza della governance e sul significato effettivo dei controlli può porre ulteriori sfide inaspettate durante l’implementazione.

Monitoraggio

Il monitoraggio continuo è essenziale per l’efficacia della governance cloud, considerando che le politiche e gli standard devono essere aggiornati in base all’evoluzione della tecnologia e delle normative. Pertanto, l’OS deve rivedere e aggiornare periodicamente le politiche, oltre a condurre valutazioni per identificare eventuali miglioramenti.

Il monitoraggio permette, altresì, di raccogliere informazioni sulle prestazioni dei processi di governance cloud, essenziali per raggiungere gli obiettivi della governance stessa. Si tratta di un monitoraggio continuo atto ad acquisire dati aggiornati e accurati, valutati costantemente o a intervalli regolari, secondo le esigenze aziendali. Inoltre, l’implementazione di soluzioni di Cloud Security Posture Management (CSPM) offre visibilità in termini di configurazioni errate del cloud, con raccomandazioni per mitigare i rischi tecnologici.

Ancora, l’adozione di Infrastructure as Code (IaC) permette una gestione proattiva del rischio, identificando e correggendo le configurazioni errate negli script IaC prima dell’implementazione. grazie all’approccio proattivo è possibile ottenere un ritorno sull’investimento (Return On Investment – ROI), ottimizzando l’individuazione dei rischi e facilitando rapidi interventi correttivi, oltre a rafforzare i framework di governance cloud.

La governance cloud può contribuire a migliorare notevolmente la capacità di un’OS di soddisfare le esigenze aziendali, utilizzando il cloud computing. Inoltre, le OS, man mano che continuano a migrare verso il cloud, devono comprendere come utilizzare i servizi cloud e raggiungere l’allineamento tra IT e business. Le OS, sebbene non esista un unico framework specifico per la governance cloud, devono sceglierne uno e adattarlo alle proprie esigenze.

A tal proposito, il report di CSA evidenzia come il framework CSA Cloud Controls Matrix (CCM) – concentrandosi sull’intero ciclo di vita – può essere utile alle OS nello sviluppo del proprio framework e facilitare la gestione di alcune difficoltà in termini di integrazione della governance cloud nei processi di governance esistenti, di pianificazione della roadmap di governance e di progettazione della struttura di governance.

Cyber security sanitaria e gestione del rischio

Nella sfera sanitaria, il rischio cibernetico non deve essere visto solo come un problema tecnico, ma come una minaccia strategica con significative implicazioni finanziarie e operative. Le OS devono, quindi, adottare un approccio olistico alla gestione del rischio, integrandolo nella propria strategia aziendale complessiva.

Riduzione del rischio: un obiettivo concreto

L’implementazione di controlli di sicurezza efficaci non mira a eliminare completamente il rischio, obiettivo irrealistico in qualsiasi sistema informatico. L’obiettivo concreto è ridurre il rischio a un livello accettabile e gestibile, garantendo la continuità operativa e la protezione di dati sensibili.

È doveroso ricordare che l’adozione di soluzioni cloud presenta innegabili vantaggi, ma introduce anche nuove sfide in termini di gestione del rischio. La natura ibrida degli ambienti cloud, il modello di responsabilità condivisa con i fornitori di servizi e la mancanza di visibilità completa sui loro sistemi richiedono, di fatto, un approccio strutturato e proattivo.

Identificazione dei rischi: il primo passo verso la sicurezza

Le OS devono sviluppare la capacità di individuare prontamente le minacce e comunicarle alle parti interessate competenti. Alcune attività chiave per l’identificazione dei rischi includono:

  • Stabilire categorie di rischio – Classificare le minacce in base a caratteristiche comuni per una migliore analisi e gestione.
  • Identificare le fonti di rischio – Rintracciare l’origine delle potenziali minacce, basandosi sull’esperienza storica e su un’analisi approfondita delle attività e dei processi aziendali.
  • Creare un registro dei rischi – Documentare e organizzare le informazioni relative ai rischi identificati, facilitando la prioritizzazione e la pianificazione degli interventi.
  • Implementare un meccanismo di segnalazione – Favorire una cultura della sicurezza informatica incentivando i dipendenti a segnalare proattivamente i rischi rilevati.

Valutazione del rischio nella Cyber security sanitaria

Il processo di analisi del rischio garantisce che tutti i rischi identificati vengano valutati tenendo conto dei fattori di rischio dell’OS e supportare le decisioni relative alla gestione del rischio. È quanto mai importante – indipendentemente dalla metodologia utilizzata per condurre l’analisi del rischio – documentare il processo per garantire coerenza e fornire un contesto per futuri miglioramenti.

La gestione del rischio nel cloud è il processo di identificazione, valutazione e controllo del rischio all’interno dei moderni ambienti cloud ibridi durante tutto il ciclo di vita del rapporto con il cloud. Essa può essere resa complicata dal modello di responsabilità condivisa – a causa dei diversi tipi di cloud adottati, i.e. IaaS, PaaS, SaaS – e della mancanza di visibilità nelle offerte e negli ambienti dei fornitori di servizi cloud (Cloud Service provider -CSP), che fa parte anche della gestione del rischio dei terzi (Third Party Risk Management -TPRM). Le valutazioni del rischio possono inoltre variare a seconda della forma di implementazione del cloud—privato, pubblico o ibrido.

Durante la valutazione del rischio cloud, è necessario anche comprendere il modello di responsabilità condivisa. L’aspetto più importante è capire chi è responsabile per tutte le fasi di una distribuzione cloud. Prima di acquisire un servizio cloud, l’OS deve analizzare il rischio associato all’adozione di una soluzione basata su cloud e pianificare le attività di trattamento del rischio e di controllo associate alle operazioni cloud, acquisendo una visione d’insieme dell’intero ecosistema cloud che servirà le operazioni del proprio sistema informativo basato su cloud.

Quando si effettua una valutazione del rischio su una piattaforma cloud, è necessario combinare diversi metodi di valutazione. Di seguito alcuni metodi di valutazione del rischio specifici per il cloud:

  • Questionario – Esso fornisce una serie di domande sulla gestione e sul controllo operativo del sistema che devono essere compilate da parte del personale tecnico o manageriale. Il questionario dovrebbe coprire la strategia aziendale dell’OS, le esigenze di sicurezza, i sistemi di gestione, la riservatezza del sistema e dei dati, le dimensioni e la struttura del sistema, e così via.
  • Intervista – Le interviste in loco prevedono che i valutatori si rechino presso la sede per intervistare il personale tecnico o manageriale del sistema e raccogliere informazioni sugli aspetti fisici, ambientali e operativi del sistema. Il contenuto dell’intervista dovrebbe includere:
    • Presenza di una progettazione per i test di integrità dell’archiviazione dei dati
    • Esistenza di mezzi e misure per la cancellazione delle copie dei dati
    • Capacità di identificare, segnalare e bloccare attacchi sostenuti con traffico elevato e presenza di apparecchiature specializzate per rilevare intrusioni di rete
    • Metodo di isolamento tra macchine virtuali (VM) e tra VM e host
    • Piani preliminari per l’uscita dai servizi di cloud computing o il cambio di provider di servizi cloud, nonché piani di formazione operativa e di sicurezza per il personale cliente rilevante
  • Test di intrusione di sicurezza – security penetration testing – A causa dell’impatto sull’infrastruttura, i test di intrusione potrebbero non essere consentiti negli ambienti SaaS. I test di intrusione nel cloud sono consentiti in PaaS e IaaS, ma richiedono un certo coordinamento. È importante evidenziare che l’accordo di servizio, secondo quanto specificato in contratto, determinerà quali tipi di test sono consentiti e con quale frequenza.


Gestire il rischio nella Cyber security sanitaria: responsabilità condivisa tra OS e i CSP

Nella gestione del rischio per il cloud computing, la responsabilità è condivisa tra le OS e CSP.

Responsabilità del CSP – Valutare e convalidare i propri controlli di sicurezza – Il CSP dovrebbe fornire alle OS un rapporto da un valutatore indipendente che attesti l’implementazione e il corretto funzionamento dei controlli di sicurezza. Tra le prove richieste ci possono essere certificazioni come SOC 2.

Responsabilità dell’OS –Si tratta di:

  • Valutare i rischi per la propria area di responsabilità: Le OS, basandosi sul modello di responsabilità condivisa, devono effettuare una valutazione del rischio per i propri sistemi e dati. Questo include dispositivi di accesso, connettività di rete, account e identità, e dati memorizzati.
  • Implementare controlli di sicurezza adeguati: Le valutazioni del rischio guidano l’implementazione di controlli di sicurezza efficaci da parte dell’OS. Questi controlli includono la crittografia dei dati, la registrazione e il monitoraggio, il controllo degli accessi, la gestione delle identità e degli accessi, e la gestione delle vulnerabilità.
  • Adottare un framework di riferimento per la gestione del rischio: Per una gestione strutturata dei rischi, le OS dovrebbero mappare il proprio quadro di riferimento a uno standardizzato per il cloud computing, come ISO 27001, COBIT o NIST.

CSA consiglia – per comprendere meglio le potenziali minacce e i rischi legati alle piattaforme di cloud computing – di far riferimento al report CSA “Top Threats to Cloud Computing Pandemic Eleven”, che fornisce informazioni sulle sfide di sicurezza più significative che gli utenti e i fornitori di cloud devono affrontare, tra cui: violazioni dei dati, errori di configurazione, interfacce e API non sicure e minacce interne. Di fatto, le OS, se consapevoli di queste minacce, possono adoperarsi per adottare misure proattive atte a mitigare i rischi e a migliorare la propria sicurezza cloud.

Compliance

La compliance cloud, nel settore sanitario, è un’area di importanza critica che definisce le linee guida, le leggi e i regolamenti che governano la protezione e la gestione dei dati archiviati su piattaforme cloud. Per le OS, questo si traduce in una serie di norme e leggi che riguardano sia la sicurezza che la privacy dei dati, inclusa la modalità di archiviazione, la protezione e l’utilizzo di informazioni sensibili.

Diversi paesi hanno introdotto leggi nazionali per proteggere i dati personali dei propri cittadini, comprese le informazioni archiviate sia all’interno del territorio nazionale che all’estero.

L’Unione Europea ha implementato il Regolamento Generale sulla Protezione dei Dati (GDPR), che definisce i dati personali e richiede trasparenza nel trattamento. La direttiva vieta inoltre il trasferimento di dati personali in qualsiasi paese che non dimostri una protezione adeguata.

Le OS, quindi, dovrebbero stabilire obiettivi di conformità chiari, allineati alle normative di settore e ai loro specifici requisiti aziendali. Inoltre, le OS possono identificare potenziali rischi per la sicurezza e gap di conformità svolgendo una valutazione del rischio completa.

È essenziale sviluppare politiche e procedure ben definite e documentate che contemplino: il controllo degli accessi; la crittografia; la gestione dei dati; la risposta e la gestione degli incidenti; la gestione delle modifiche; la gestione delle vulnerabilità; la notifica delle violazioni dei dati. Il monitoraggio continuo dell’ambiente cloud aiuta, di fatto, a identificare e a correggere tempestivamente problemi di non conformità o incidenti di sicurezza.

Importanza degli aspetti etici nel GRC

Il report di CSA sottolinea come – a fronte del continuo progresso tecnologico che permea ogni aspetto dell’assistenza sanitaria – le considerazioni etiche assumono un’importanza sempre maggiore. Ne consegue che è quanto mai fondamentale integrare linee guida etiche all’interno del framework GRC per affrontare tematiche quali la privacy dei dati, il consenso del paziente e i bias algoritmici nelle applicazioni di AI in modo da avvantaggiare i pazienti, senza comprometterne i diritti o la loro autonomia.

Cloud Compliance Frameworks

Secondo quanto si evince dal report di CSA, è fondamentale che sia i fornitori di servizi cloud sia i clienti possiedano una conoscenza approfondita dei vari framework di cloud compliance. Di seguito una suddivisione di alcuni tipi di framework con cui dovrebbero avere familiarità:

Matrice dei controlli cloud (Cloud Control Matrix – CCM) – CSA ha pubblicato il CCM, fornendo un Framework per la valutazione della sicurezza del cloud. E che fornisce una linea guida di base per i fornitori di sicurezza. Di fatto, il framework aiuta i clienti valutare la posizione di rischio dei potenziali fornitori di cloud. Inoltre, CSA ha sviluppato un programma di certificazione chiamato Security, Trust, Assurance, and Risk (STAR) e grazie al registro STAR – accessibile al pubblico – è possibile conoscere i controlli di sicurezza e di privacy forniti dai cloud service provider più diffusi.

ISO/IEC 27017: -l’Organizzazione internazionale per la standardizzazione (ISO) ha pubblicato più standard sulla cybersecurity, tra cui la norma ISO/IEC 27017:2015 che fornisce le linee guida per i controlli di sicurezza delle informazioni nei servizi cloud.

Conclusione

Governance, Risk e Compliance (GRC) è un insieme di processi, pratiche, framework e tecnologie che aiuta le organizzazioni sanitarie a strutturare il proprio approccio alla governance, alla gestione del rischio e alla conformità normativa con l’obiettivo è unificare e allineare gli sforzi in queste aree, traendone diversi benefici.

Le OS, nell’adozione del cloud computing, dovranno identificare con attenzione i propri requisiti di sicurezza, valutare i controlli di cyber security e di privacy da parte dei fornitori di servizi e comprendere le responsabilità condivise e l’ereditarietà della conformità normativa.

Solo attraverso una comprensione approfondita dei requisiti di GRC, le OS potranno allineare le attività di performance con gli obiettivi aziendali, gestire il rischio e rispettare le normative di conformità, garantendo un ambiente sicuro per l’erogazione dell’assistenza sanitaria.

Ovvero, si tratta sempre e, oggi più che mai, di garantire la cyber resilience quale calibrata sintesi dell’implementazione dei principi di risk management, business continuity e cyber security.

 

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Federica Maria Rita Livelli
Business Continuity & Risk Management Consultant, BCI Cyber Resilience Committee Member, CLUSIT Scientific Committee Member, ENIA Comitato Scientifico

Who's Who

Argomenti

Canali

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati

  • Scenari

    Cyber security, come si può difendere il settore manifatturiero nel 2024

    21 Mar 2024

    di Federica Maria Rita Livelli

    Condividi

  • La guida

    La Direttiva NIS2 avanza: come prepararsi in questi 9 mesi

    23 Gen 2024

    di Federica Maria Rita Livelli

    Condividi

  • SICUREZZA INFORMATICA

    NIST Cybersecurity Framework 2.0, cambia lo standard della cyber security: ecco come

    05 Mar 2024

    di Giorgio Sbaraglia

    Condividi

  • NIS 2 e i requisiti e controlli della ISO/IEC 27001: analisi puntuale e confronto tra le norme

    16 Apr 2024

    di Giuseppe Alverone e Monica Perego

    Condividi

Prossimo

Cyber security, come si può difendere il settore manifatturiero nel 2024

Articolo 1 di 5