Digitalizzazione sicura, connettività e tecnologie innovative offrono indubbiamente tante opportunità alle aziende, consentendo di offrire nuove esperienze, servizi e prodotti ai clienti e di aumentare enormemente l’efficienza dei processi aziendali e della comunicazione. L’uomo e la tecnologia si integrano sempre di più.
Di pari passo, però, aumentano anche le segnalazioni di incidenti di sicurezza: attacchi di phishing, di ransomware con conseguenti ricatti tramite cifratura indesiderata di file e cartelle, frodi su Internet, furto di dati riservati come i dati delle carte di credito e via dicendo.
Organizzazioni di tutte le dimensioni e di tutti settori, pubbliche o private che siano, sono le principali vittime di questi cyber attacchi. Recentemente, giusto per fare qualche esempio, è stato colpito il Comune di Spoleto, mentre in Germania un grande ospedale e un’università sono rimasti sotto attacco per diversi giorni.
Con la crescente digitalizzazione della produzione (Industria 4.0), dei prodotti e dei servizi (Smart home, Smart car ecc.) e l’aumento della virtualizzazione (Smart work ecc.) aumentano, dunque, anche le sfide.
La sicurezza delle informazioni è diventata un importante fattore di successo per tutte le organizzazioni. Un incidente di sicurezza può provocare la perdita della fiducia dei clienti e della reputazione e causare oltre ai costi diretti anche elevate richieste finanziarie.
Di conseguenza clienti, investitori, collaboratori, partner e autorità aumentano continuamente le loro richieste in merito alla gestione della sicurezza nelle organizzazioni e alla sicurezza dei prodotti e servizi.
In futuro cresceranno le richieste per la certificazione della sicurezza dei fornitori e/o dei prodotti.
La sicurezza delle informazioni è diventata un valore competitivo e per alcune gare è già un requisito minimo o un criterio essenziale di selezione. Siamo ben preparati e protetti?
Indice degli argomenti
Digitalizzazione sicura: le regole attuative
Per un lungo periodo la sicurezza delle informazioni era spesso considerata responsabilità dell’IT (ad esempio, antivirus, firewall). Visto che l’anello più debole della catena determina il livello di protezione, la sicurezza delle informazioni deve essere attuata da tutti i soggetti coinvolti in modo sistemico.
Lo standard ISO/IEC 27001 offre, insieme ai sub-standard di questa serie, un valida guida pratica. L’integrazione ottimale della sicurezza delle informazioni nell’intera gestione aziendale ne promuove anche l’attuazione efficiente e sostenibile.
Integrazione nella strategia
In base alle aspettative dei diversi soggetti interessati, alle richieste di mercato/cittadini, agli obiettivi aziendali e tenendo conto sia dell’organizzazione e della cultura aziendale, ma anche di tutte le disposizioni legali e regolatori pertinenti al tipo di attività e le specifici richieste contrattuali (come ad esempio l’altissima disponibilità di servizi online o della fornitura di energia), si definiscono gli obiettivi individuali e le strategie di sicurezza.
In tale modo la sicurezza porta un valore aggiunto all’organizzazione e ne promuove il successo. Una digitalizzazione sicura può aprire nuovi mercati e segmenti di clientela, aumentare l’efficienza, assicurare la fiducia dei clienti e ridurre i costi.
Analisi dei rischi e gestione delle emergenze
Si inizia con la rivelazione dei valori aziendali (ad esempio: informazioni tecniche sui prodotti, ricerche, strategie, segreti aziendali, dati riservati), analizzando anche le tecnologie associate e le misure di sicurezza attuate.
Tenendo conto dei requisiti di sicurezza per i processi aziendali, si deducono i requisiti per le tecnologie di supporto e i loro componenti associati in modo olistico e sistemico (ad esempio; servizi cloud con la trasmissione dati o gli impianti di produzione con le loro unità di controllo elettroniche, l’alimentazione elettrica ecc.).
In conformità ai principi di gestione del rischio (cfr. ISO 31000, ISO 27005), si definiscono i rischi residui tenendo conto delle circostanze specifiche e delle misure di sicurezza attuate (vedi Protezione dei dati, come fare bene l’analisi dei rischi).
Infine, per i rischi residui ritenuti accettabili si definiscono i piani di emergenza da attuare in caso di eventi di sicurezza. Piani di emergenza che, ovviamente, devono essere periodicamente testati ed eventualmente aggiornati.
Integrazione nei processi e nei progetti
Le misure preventive elaborate nell’analisi dei rischi si integrano in modo ottimale nei processi lavorativi (ad esempio l’attribuzione e la cessazione dei diritti d’accesso nel processo HR) per garantire l’attuazione efficiente e sostenibile.
In tal modo, la sicurezza delle informazioni è integrata anche nella gestione dei progetti (vedi Sicurezza by design e by default). In tutti i progetti di digitalizzazione, cambiamenti e innovazioni tecnologiche occorre sempre considerare la sicurezza sin dall’inizio.
Necessari requisiti di sicurezza fanno parte integrante dei contratti/incarichi di servizi/forniture e vengono concordati in modo vincolante. È fondamentale verificare che fornitori critici per la sicurezza aziendale dimostrino in modo rintracciabile di avere un livello di sicurezza adeguato.
Integrazione nella gestione delle risorse
Risorse adeguate e competenze specialistiche allo stato dell’arte supportano la sicurezza. L’errore umano è la causa principale di incidenti.
Diversi studi scientifici sottolineano che obiettivi di sicurezza memorabili e chiari, formazioni pratiche e di impatto, linee guida attuali, efficienti, facili da attuare e da comprendere, ma anche efficaci e veloci da consultare in caso di necessità promuovono fra altro la consapevolezza per la sicurezza dei collaboratori (vedi Cybersecurity, proteggere l’azienda dall’errore umano).
In tal modo, tutti attuano la sicurezza insieme efficacemente e sostenibile come valore aggiunto per gli interessati, i clienti/cittadini, gli shareholder e l’intera organizzazione.
Integrazione nel miglioramento continuo
Il contesto esterno ed interno, le richieste e i rischi cambiano continuamente. Le procedure di monitoring, l’analisi degli segnalazioni degli eventi e gli audit periodici sono utilizzati per valutare l’adeguatezza e l’efficacia delle misure.
Necessarie misure e potenziali riconosciuti vengono integrati secondo l’approccio descritto sopra in modo sistemico e rintracciabile. Si comunica periodicamente alla direzione dell’azienda insieme con eventi interni ed esterni che si sono verificati ed altro.
Tutti rapporti sono orientati ai destinatari e dimostrano l’ottemperanza degli obblighi e comunicano i benefici. Un manager racconta con entusiasmo: “I nostri collaboratori hanno sviluppato una forte comprensione strategica della sicurezza. Concepiscono la sicurezza come fattore di successo per l’azienda e per il loro posto di lavoro”.
Digitalizzazione sicura e cultura della sicurezza
Per raggiungere l’obiettivo di una digitalizzazione sicura, la sicurezza delle informazioni richiede l’impegno attivo di tutti. Soprattutto i manager con i loro dati e le loro autorizzazioni sono un target interessante per eventuali attacchi. La fretta, il lavoro mobile, viaggi in paesi critici per la sicurezza e via dicendo aumentano i rischi per loro.
La sicurezza delle informazioni deve diventare parte integrante di ogni decisione, degli obiettivi/valutazioni e la scelta dei fornitori. Un’adeguata cultura della sicurezza con una sensibilizzazione continua e l’impegno visibile del management promuovono l’attuazione sostenibile. In tale modo la sicurezza delle informazioni diventa parte integrante dei valori etici dell’azienda e della cultura aziendale.
L’integrazione della sicurezza delle informazioni nella gestione aziendale sfrutta le sinergie, consente di ridurre i costi e promuove l’efficienza e l’efficacia. Inoltre, promuove l’ottemperanza delle dispsoizioni legali (la protezione dei dati, la direttiva NIS, le disposizione per la cyber security ecc.).
In questo senso, la certificazione ISO/IEC 27001 con ev. ISO/IEC 27018 (protezione dei dati personali in cloud) facilitano la dimostrazione di un livello di sicurezza adeguato, lo rendono visibile all’esterno e promuovono la fiducia dei clienti. Inoltre è un primo passo verso una certificazione di prodotto che verrà richiesto in futuro (cfr. Regolamento cybersecurity) o per la certificazione della protezione dei dati.
