Security & Compliance: la nuova sicurezza “su misura”

Non più indicazioni oggettive e uguali per tutti, ma norme che insistono sul tema della valutazione del rischio e su sistemi di protezione “su misura” rispetto
al singolo contesto aziendale: è uno dei punti che caratterizzano la nuova normativa europea, così come l’ha raccontata Gabriele Faggioli, Responsabile Scientifico dell’Osservatorio Information Security & Privacy del Politecnico di Milano, in occasione della presentazione della ricerca “Digital Trasformation: siamo al sicuro?” che – oltre a offrire vari spunti di riflessione rispetto al tema S&P – indica il driver normativo come forte leva di cambiamento.

Pubblicato il 14 Giu 2016

Figura 1 - La spesa in Information Security - fonte: Politecnico

Secondo i dati recentemente presentati dall’Osservatorio Information Security & Privacy del Politecnico di Milano, in campo sicurezza It le aziende si stanno muovendo con sempre più convinzione: nello specifico, la ricerca ha evidenziato il crescente interesse verso soluzioni di information security e tematiche connesse alla gestione della riservatezza dei dati – argomenti ritenuti rilevanti dall’intero campione intervistato, 150 Ciso, Cso e Cio di grandi aziende italiane – e la conseguente variazione della spesa media dedicata alla sicurezza: relativamente agli ultimi 12 mesi, la ricerca registra una crescita del +7% e nella maggioranza dei casi vi è una allocazione formale delle risorse, “sebbene – come precisa Alessandro Piva, Direttore dell’Osservatorio – le aziende che veramente hanno un orizzonte pluriennale legato a un piano di sviluppo aziendale non sono molte [poco più del 30% del panel – ndr]” e, aggiungiamo noi, quantificando le spese, solo il 33% del panel dedica alla S&P più del 5% del budget It (figura 1).

Alessandro Piva, Direttore dell’Osservatorio Information Security & Privacy, Politecnico di Milano

È questo il quadro all’interno del quale, durante l’evento di presentazione dei risultati della ricerca, si è ragionato in particolare sul tema della compliance, una focalizzazione giustificata dagli stessi dati del Politecnico: “L’aspetto normativo – spiega Piva – è un elemento di traino, soprattutto in alcuni settori verticali come il finance e il mondo media-telco”: secondo la ricerca, il 58% dei rispondenti ritiene che, a oggi, le scelte di investimento siano fortemente influenzate dalle normative vigenti.

Gabriele Faggioli, Responsabile Scientifico dell’Osservatorio Information Security & Privacy del Politecnico di Milano e Presidente del Clusit

“Il fatto stesso che il sottoscritto, con una formazione giuridica, sia presidente del Clusit e co-responsabile dell’Osservatorio che ha prodotto questa ricerca – fa notare a questo proposito Gabriele Faggioli, Responsabile Scientifico dell’Osservatorio e dell’Associazione Clusit – è un indicatore di quanto il driver normativo sia importante”, dice il relatore, che con il suo intervento, in particolare, ha messo in luce una serie di elementi che caratterizzano la nuova normativa europea sulla Protezione dei Dati Personali – in vigore dalla primavera del 2018 – sottolineandone alcune sfaccettature significative

  • Focus sull’analisi del rischio e sulla sicurezza “su misura”

Figura 1 – La spesa in Information Security – fonte: Politecnico di Milano

“A livello italiano, negli ultimi anni, si è puntata molto l’attenzione su alcuni settori specifici, come la sanità e il mondo del finance, ma si è parallelamente assistito a una tendenziale riduzione del perimetro normativo e degli obblighi in materia di sicurezza generalizzati, rivolti a tutti”, dice Faggioli, che quindi spiega: “Il regolamento europeo cambia questa prospettiva e torna a un concetto di obbligo di sicurezza più orizzontale, sia nel mondo della Pa sia in quello del privato, e lo fa reintroducendo pesantemente il tema dell’analisi dei rischi, che era stato tolto nel nostro attuale regolamento giuridico relativo al tema data privacy e data protection”. Come spiega il relatore, la normativa insiste sul concetto di costruzione di un sistema di protezione che sia equilibrato rispetto alle specificità dell’azienda e che tenga conto delle tecnologie disponibili – ma anche dei costi delle stesse, e dunque dell’effettiva possibilità dell’azienda di adottarle – e della probabilità e gravità dei rischi in gioco. “È un aspetto da sottolineare – dice Faggioli – perché siamo abituati in Italia a normative diverse, più oggettive: viene dato un obbligo da adempiere, viene indicato come farlo e vengono imposte delle misure minime di sicurezza”; questa dinamica normativa, è diversa: “Si abbracciano logiche nuove di soggettività e le aziende devono fare scelte strategiche che poi sarà la magistratura – in sede di esame – ad analizzare e valutare”. Questo risulta evidente, per esempio, nell’Art. 30, dove si trattano le misure tecniche atte a garantire un livello di sicurezza adeguato (tra queste ricordiamo l’uso dello pseudonimo e della criptazione dei dati personali e l’adozione di sistemi per garantire il ripristino rapido dei dati in caso di incidente): “Si tratta solo di un elenco di indicazioni, suggerimenti – fa notare Faggioli – non di misure minime da seguire”.

  • Segnalazione data breach: contrastare l’omertà e premiare i virtuosi

Altro aspetto rilevante della normativa è l’importante sostegno che questa offre alla lotta contro il diffuso atteggiamento omertoso delle aziende in materia di segnalazione di data breach (violazione dei dati personali). Come spiega Faggioli, oggi esistono veri e propri obblighi solo in alcuni settori, come quello sanitario e delle Telco, e persino le banche sono solo caldamente invitate, ma non costrette, a comunicare gli incidenti. “L’imposizione, con la normativa, diventerà orizzontale: per tutti non sarà più opportuno ma obbligatorio dare notifica alle autorità dell’accaduto entro 72 ore dalla violazione”, spiega il Responsabile dell’Osservatorio. “Tuttavia – aggiunge Faggioli – è interessante notare che se l’azienda dimostra all’autorità garante di aver adempiuto alla norma adottando misure idonee di sicurezza, potrebbe essere autorizzata dal garante stesso a non segnalare l’accaduto agli interessati”: un modo per “premiare” i virtuosi evitando di danneggiare la brand image. Un approccio normativo che conferma, aggiungiamo, quanto sia ormai diffusa la consapevolezza, che ora si traduce in normativa, che per quanto ci si possa armare di soluzioni e policy adeguate, il cyber criminale può comunque riuscire a superare le difese in essere: un sistema di sicurezza idoneo, anche per il garante, non è purtroppo sinonimo di inviolabilità.

  • La figura del Data Protection Officer: un ruolo ridimensionato?

Nel regolamento europeo viene anche introdotta la figura del Data Protection Officer (Dpo – figura che ha il compito di mettere in atto una politica di gestione del trattamento dei dati personali all’interno dell’organizzazione per adempiere alle normative di riferimento); tuttavia la versione finale della norma, come fa notare Faggioli, vede una casistica piuttosto restrittiva rispetto a quella ipotizzata nelle fasi precedenti di elaborazione del regolamento stesso: l’obbligo vale, oltre che per le realtà che trattano dati sensibili (con il dato biometrico che entra a tutti gli effetti a far parte di questa categoria) e per la Pa, solo per le aziende che hanno come attività principale trattamenti che richiedono il controllo regolare e sistematico dei dati degli interessati: “Una formulazione non chiarissima – dice il relatore – che sembra riferirsi alle telco ma escludere, per esempio, chi fa attività industriale, commerciale o legata al terziario”.

Nonostante sia giusto segnalare queste limitazioni, l’introduzione del Dpo resta degna d’attenzione e lo stesso Faggioli sottolinea la diffusione progressiva di questa figura attraverso alcuni dati della ricerca svolta dall’Osservatorio: forse spinte dalla volontà di allinearsi alla normativa già durante la sue fasi di elaborazione, il 20% delle aziende intervistate dichiara già oggi una presenza formalizzata della figura del Dpo e il 16% ha intenzione di introdurla nei prossimi 12 mesi.

Cloud e mobilità: manca chiarezza da parte dei provider

Figura 2 – Le aree di investimento in materia Information Security – fonte: Politecnico di Milano

Tornando alla ricerca, come sottolinea Piva: “Un elemento di sicuro interesse riguarda le aree di investimento che abbiamo definito emergenti (figura 2): dai dati risulta evidente che i responsabili della sicurezza e i Cio hanno compreso che nel futuro i temi cloud e mobility richiederanno ingenti investimenti, ma sorprende il fatto che questi due temi tecnologici fondamentali della digital trasformation, siano ancora ritenuti marginali quando si parla di attuali priorità di investimento”.

Concentrandosi nello specifico sul cloud, Faggioli ha voluto porre l’accento sul rapporto azienda-fornitore; dopo aver sottolineato l’attenzione che le imprese dedicano al tema sicurezza quando valutano una nuova soluzione (i dati della ricerca dicono che la security è un aspetto rilevante che guida le scelte di fornitura per il 50% del panel) il relatore ha voluto evidenziare come un freno a una maggiore adozione del cloud potrebbe essere legato alla reticenza dei provider nell’offrire ai clienti maggiori garanzie: “Lasciano perplessi alcune clausole che fornitori primari di cloud computing internazionali mettono ancora nei contratti”, dice Faggioli, che quindi cita in particolare quella attraverso cui, quando viene offerto un servizio infrastrutturale o applicativo, il provider declina ogni responsabilità in caso di perdita di dati; “Al di là della tenuta giuridica della clausola, scelte di questa natura vanno in direzione opposta rispetto all’approccio ferreo che dovrebbero tenere i fornitori nel garantire tutele ai clienti; tutele che dovrebbero non derivare dalla negoziazione, ma essere di default nei contratti proposti”, conclude il giurista.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati