L’innovazione come metodo – lo Standard ISO 56002

La trasformazione digitale troppo spesso viene erroneamente intesa soltanto come un cambiamento dell’ecosistema applicativo in termini tecnologici. È invece una grande opportunità per apportare innovazione in ambito culturale, organizzativo, sociale e più in generale nell’evoluzione delle capacità manageriali all’interno delle imprese ed organizzazioni.

È pertanto fondamentale ridisegnare le basi stesse della struttura organizzativa, adattandola ai canoni dell’era digitale e concependo un’organizzazione totalmente nuova a partire dall’organigramma, dalla cultura aziendale, dal modello di business nonché dalla leadership; questo consentirebbe alle imprese di cogliere realmente le opportunità che il mercato presente e soprattutto futuro sta mettendo e metterà a disposizione.

Innovare è il nuovo verbo, il mantra del momento. Innovare quindi e a tutti i costi, ma come?

Per innovare le aziende servono senz’altro creatività e capacità inventiva, ma da sole non sono sufficienti.

L’elemento fondamentale per una buona riuscita del processo di innovazione è l’execution. Si tratta di un percorso continuativo, fatto di miglioramenti progressivi e duraturi nel tempo, che richiede una chiara visione olistica e strategica per raggiungere risultati di successo. Creatività e metodo dunque, che sembrano due concetti apparentemente in contrasto, possono costituire i reali fattori critici di successo.

A conferma di questa affermazione, ci viene a supporto l’ISO (International Organization for Standardization) che nel 2019 ha pubblicato la nuovissima ISO 56000 con l’obiettivo di normare il SISTEMA DI GESTIONE DELL’INNOVAZIONE, rafforzando quindi il concetto che non può esserci vera innovazione senza una gestione organizzata e costante nel tempo tipica di un sistema, quest’ultimo inteso come l’Insieme di elementi correlati e interagenti di una organizzazione necessari per stabilire politiche, obiettivi e processi per raggiungere tali obiettivi.

La definizione di INNOVAZIONE così come viene indicata dall’OCSE (l’Organizzazione per la Cooperazione e lo Sviluppo Economico) e dalla Commissione Europea nel MANUALE DI OSLO 2018 (le linee guida per la raccolta e l’interpretazione dei dati sull’innovazione) è: Un’innovazione è l’implementazione di un prodotto (sia esso un bene o servizio) o di un processo, nuovo o considerevolmente migliorato, di un nuovo metodo di marketing, o di un nuovo metodo organizzativo con riferimento alle pratiche commerciali, al luogo di lavoro o alle relazioni esterne.

La definizione della recente ISO 56000 è invece molto più semplice e generalizzata: Entità nuova o modificata che realizza o redistribuisce valore, dove per valore si intende genericamente guadagni derivati dalla soddisfazione di bisogni e aspettative, in relazione alle risorse utilizzate.

Dalla lettura della norma quindi, possiamo rafforzare la convinzione già espressa che l’innovazione non può limitarsi soltanto ad avere idee brillanti ma essa dovrebbe contribuire nelle organizzazioni a creare:

  • valore e aiutarle ad adattarsi ed evolversi continuamente;
  • successo in modo progressivo, aumentandone la capacità di adattamento in un mondo che cambia;
  • migliori modalità di lavoro, nonché nuove soluzioni per generare guadagni e migliorare la sostenibilità.

L’innovazione inoltre è strettamente legata alla resilienza di un’organizzazione, in quanto aiuta a comprendere e rispondere a contesti sfidanti, a cogliere le opportunità che potrebbero apportare e sfruttare la creatività sia dei propri lavoratori che dei partner.

In definitiva, grandi idee e nuove invenzioni sono spesso il risultato di una lunga serie di piccoli pensieri e cambiamenti, tutti catturati e indirizzati nel modo più efficace.

Uno dei modi più efficienti per farlo è appunto attraverso l’implementazione di un sistema di gestione dell’innovazione.

Così come avviene per molte altre norme della famiglia ISO, anche per la 56000 il sistema di gestione dell’innovazione fornisce un approccio sistemico per integrare l’innovazione in tutti gli strati delle organizzazioni al fine di cogliere e creare opportunità per lo sviluppo di nuove soluzioni, sistemi, prodotti e servizi.

Secondo Alice de Casanove, Presidente del comitato tecnico che ha sviluppato lo standard, la ISO 56002 aiuterà le organizzazioni di qualsiasi dimensione e settore produttivo ad aumentare le opportunità di business e le loro prestazioni in diversi modi: Ogni organizzazione che vuole dominare il proprio futuro deve incorporare alcuni aspetti della gestione dell’innovazione. Cioè, [le organizzazioni] devono evolversi e adattarsi per stare al passo con le tendenze del mercato e della società. La sfida è identificare ciò che darà loro il vantaggio competitivo e creare valore per il futuro, e quindi quali azioni strategiche intraprendere.

Fornendo una guida su come cogliere al meglio le proprie idee, testarle in modo efficace e gestire i rischi e le opportunità associate, la ISO 56002 può aiutare le organizzazioni a creare nuove proposte di valore e massimizzare il loro potenziale in modo strutturato.

La norma può anche aiutare a instillare una cultura dell’innovazione in una organizzazione, sfruttando così la creatività e la motivazione di ogni membro della stessa e, in definitiva, migliorando la collaborazione, la comunicazione e le prestazioni dell’azienda.

La capacità di innovare di un’organizzazione è quindi riconosciuta come un fattore chiave per la crescita duratura, la redditività economica, l’aumento del benessere e lo sviluppo della società. Essa include inoltre, la capacità di comprendere e rispondere alle mutevoli condizioni del suo contesto, di perseguire nuove opportunità e di sfruttare la conoscenza e la creatività delle persone all’interno dell’organizzazione e in collaborazione con le parti interessate esterne. Un’organizzazione può innovare in modo più efficace ed efficiente se tutte le attività necessarie e gli altri elementi interconnessi o interagenti, sono gestiti come un sistema di gestione dell’innovazione, in grado di fornire una struttura e un vocabolario comuni per sviluppare e implementare capacità di innovazione, valutare le prestazioni e ottenere i risultati previsti.

Per raggiungere l’effettiva implementazione del sistema di gestione dell’innovazione è fondamentale il commitment del top management ed il forte impegno dei leader nel promuovere una cultura a sostegno delle attività di innovazione.

Infine, una corretta implementazione di un sistema di gestione dell’innovazione in conformità con la ISO 56002 può portare molti benefici, tra cui annoveriamo:

  • maggiore capacità di gestire l’incertezza;
  • aumento della crescita, ricavi, redditività e competitività;
  • riduzione dei costi e degli sprechi e aumento della produttività e dell’efficienza delle risorse;
  • miglioramento della sostenibilità e della resilienza;
  • aumento della soddisfazione di utenti, clienti, cittadini e altri stakeholder;
  • rinnovo sostenuto del portafoglio di offerte;
  • persone impegnate e autorizzate nell’organizzazione;
  • maggiore capacità di attrarre partner, collaboratori e finanziamenti;
  • maggiore reputazione e valutazione dell’organizzazione;
  • facilitazione del rispetto delle normative e di altri requisiti pertinenti.

di Giovanni Lamberti Research & Innovation @ Dedalo GRC advisory

Covid-19 e Privacy

Negli ultimi mesi, tutti i governi del mondo hanno dovuto affrontare un’emergenza sanitaria globale, che ha richiesto sacrifici e mobilitazioni senza precedenti in tempo di pace. Come in altri Paesi, ai cittadini in Italia è stato richiesto di rinunciare ad alcuni diritti e libertà da sempre dati per certi, ma che hanno assunto un nuovo significato in questi tempi di crisi.

Un ambito in particolare ha attirato l’attenzione di cittadini e aziende: la protezione dei personali durante una pandemia. Secondo molti, questo sarà il vero banco di prova della nuova normativa privacy Europea, il General Data Protection Regulation o GDPR, e in molti attendono di capire come l’emergenza ne determinerà gli sviluppi futuri.

In Italia, il Garante per la Protezione dei Dati Personali ha assunto un ruolo centrale nella gestione dell’emergenza. Questa Autorità ha infatti partecipato attivamente alla revisione delle disposizioni di emergenza emanate dal Governo ed ha fornito chiarimenti essenziali utili all’implementazione di alcune misure adottate in emergenza, come la didattica a distanza o la ricetta medica elettronica. Il Garante ha inoltre fornito linee guida necessarie a tutti i cittadini circa la protezione dei dati personali nel corso dell’emergenza sanitaria, creando una sezione dedicata di “Frequently Asked Questions” (FAQ) sul proprio sito web.

Il dibattito nazionale nel corso dell’emergenza ha mostrato come il GDPR abbia sensibilizzato l’opinione pubblica circa la protezione dei dati personali. Sui giornali e i social media, ad esempio, si è ampiamente discusso sulle potenziali minacce legate alla diffusione delle App per il tracciamento dei contatti.

Immuni, lanciata dal Governo stesso, ha naturalmente catturato gran parte dell’attenzione, ma una semplice ricerca su Google mostra quanto queste App siano numerose e variegate. Lo scetticismo emerso intorno a questi nuovi strumenti è stato in qualche modo alimentato anche dalla carenza di evidenze concrete circa i benefici ottenuti dal loro utilizzo nel corso dell’emergenza. Secondo un’analisi della rivista Bloomberg infatti, il tracciamento dei contatti tramite App non ha finora portato benefici tangibili nella prevenzione e gestione dell’emergenza sanitaria in nessun paese, con l’unica eccezione della Cina, dove però sono state introdotte misure che sarebbero considerate inaccettabili altrove.

Oltre agli aspetti etici, ci sono infine aspetti tecnologici che pongono seri dubbi circa l’affidabilità dei dati raccolti tramite smartphone e tecnologia Bluetooth, probabilmente questo il punto debole del sistema di tracciamento, vista la poca accuratezza nel calcolo delle distanze tra dispositivi.

Paradossalmente, invece, per le aziende operanti in Italia, le grandi sfide privacy sono arrivate proprio in questi giorni, con la progressiva riapertura e la ripresa delle attività economiche. Molti dei nostri clienti si sono infatti dovuti confrontare con esigenze contrastanti: assicurare la sicurezza fisica sul luogo di lavoro, seppur garantendo misure adeguate alla protezione dei dati personali dei propri dipendenti, clienti o partner. Nella nostra esperienza, è stato ad esempio difficile fornire un parere sul ventaglio di nuovi prodotti e soluzioni software sulla sicurezza: dagli strumenti per il controllo degli accessi in ufficio tramite riconoscimento facciale e misurazione della temperatura (“contactless”), alle App che permettono al datore di lavoro di tracciare i movimenti all’interno degli spazi lavorativi e che talvolta prevedono test di autovalutazione giornalieri sulle condizioni di salute dei dipendenti.

Come scriveva Albert Einstein, senza crisi non ci sono sfide. Questa emergenza sanitaria rappresenta senza dubbio una sfida importante per le autorità di controllo e i governi in tutta Europa, che nei prossimi mesi avranno l’arduo compito di gestire una crisi senza precedenti e allo stesso tempo garantire i diritti e le libertà dei propri cittadini. Nel nostro piccolo, siamo in prima fila per offrire ai nostri clienti aggiornamenti costanti e competenze specifiche per districarci in questa nuova realtà.

di Licia Nicoletti Senior Consultant – IT & Security Governance, Risk Management e Compliance @ Dedalo GRC Advisory

Pandemia da Covid-19: la nuova frontiera dello Smart Working

Il Decreto del Presidente del Consiglio dei Ministri emanato il 1° marzo 2020 ha introdotto una serie di misure per il contenimento della diffusione della malattia respiratoria “Covid-19” causata dal nuovo  Coronavirus, imponendo forti restrizioni alla circolazione dei cittadini e alle attività lavorative. Il Decreto ha altresì esteso le modalità di lavoro agile a tutto il territorio nazionale, anche in assenza di accordi individuali precedentemente concordati.

Come confermato anche nel successivo Decreto dell’11 marzo 2020, le modalità di lavoro agile sono state estese ad interi settori della nostra economia, compresa la pubblica amministrazione.

Il lavoro agile (o “smart working”), già disciplinato nel diritto italiano nel 2017 (Legge 22 maggio 2017, n. 81), e il “telelavoro” sono dunque diventati realtà per milioni di Italiani.

Secondo uno studio del Politecnico di Milano, in Italia, le grandi e medie aziende che nel 2019 avevano già introdotto forme di lavoro agile erano circa il 60%, ma questo numero appariva significativamente ridotto nelle piccole e medie realtà. Il Coronavirus, insomma, ha colto la gran parte delle aziende italiane impreparate. Se da molti punti di vista, tale cambiamento repentino ha portato risvolti positivi per la nostra economia, permettendo ad esempio a moltissime persone di continuare a lavorare nonostante l’emergenza, secondo gli esperti, i veri benefici ci attendono nel medio e lungo periodo sottoforma di incrementi di produttività, risparmio dei costi e riduzione delle emissioni di CO2 nelle grandi città.

Altri studi inoltre, fanno luce su cambiamenti anche più profondi che tale modalità di lavoro porterà nel nostro Paese, come ad esempio il passaggio ad una gestione del lavoro basata su obiettivi, la promozioni di maggiore autonomia da parte del dipendente e l’instaurazione di relazioni lavorative basate sulla fiducia.

Su un aspetto tutti gli esperti concordano: nonostante l’enorme “esperimento” nazionale di smart working e telelavoro non sia iniziato con i migliori presupposti, questo ha modificato permanentemente la nostra cultura del lavoro e tali novità rimarranno nella nostra quotidianità anche nel post-emergenza.

Dal punto di vista della sicurezza informatica, l’introduzione repentina e massiccia di varie forme di lavoro a distanza ha portato ad una vera e propria “rivoluzione”. In poche settimane le aziende e le pubbliche amministrazioni del nostro Paese hanno dovuto affrontare cambiamenti tecnologici ed organizzativi, che nella normalità avrebbero richiesto anni di progettazione e sviluppo.

In questo articolo abbiamo provato a raccogliere le principali sfide affrontate dai nostri clienti e partner per assicurare la continuità dei propri servizi nonché dei relativi processi critici. L’obiettivo è quello di far luce sulle sfide di oggi, per aiutare aziende e privati a navigare in questo nuovo mare.

I principali ostacoli rilevati dalla nostra ricognizione sono relativi alla connettività dei sistemi, che ora più che mai è sottoposta a carichi di una portata senza precedenti. Centinaia di migliaia di dipendenti e collaboratori si collegano infatti a reti private aziendali (Virtual Private Network), accedendo da dispositivi anche personali e spesso non dotati di adeguate misure di protezione. Pertanto ci si è focalizzati sul fenomeno “BYOD”, dall’inglese Bring Your Own Device, che elimina in modo irrimediabile la distinzione tra “sistemi aziendali” e quelli privati. Questi servizi, ampiamente esaminati negli anni passati, permettono di affrontare nuove sfide importanti non solo nell’ambito della sicurezza delle informazioni, ma anche nell’erogazione dei servizi IT stessi. Alcuni clienti sprovvisti di strumenti per l’assistenza ed il supporto da remoto, ad esempio, hanno coinvolto Dedalo nella selezione delle soluzioni ritenute più affidabili, attività che spesso richiede un minuzioso bilanciamento tra sicurezza, facilità nell’utilizzo e costi di implementazione.

È naturale come in un momento di emergenza, nella definizione delle pratiche di smart working e telelavoro, molte aziende abbiano dovuto trovare un compromesso tra sicurezza delle informazioni e necessità operative di business. Con la riapertura della cosiddetta “Fase 2”, tuttavia, riteniamo essenziale riportare la sicurezza IT in primo piano. Secondo molti esperti del settore, la priorità per le aziende dovrà essere quella di rafforzare le misure di sicurezza utilizzate per mitigare i rischi connessi alla connettività, irrobustendo il processo di patch management e disegnando misure di sicurezza più restrittive per le VPN aziendali. Altre fonti autorevoli, come ad esempio il National Institute of Standards and Technology statunitense, sottolinea invece l’importanza del processo di gestione degli accessi logici, per il quale si ritiene necessario implementare modalità di autenticazione più robuste e garantire un adeguata gestione dei privilegi di accesso secondo i profili di rischio associati.

La nostra esperienza in queste settimane ha inoltre confermato ancora una volta come la formazione degli utenti sia essenziale per la sicurezza delle informazioni. È noto, ad esempio, come i tentativi di phishing siano nettamente aumentati nel corso dell’emergenza sanitaria, che ha permesso ai cyber criminali di utilizzare il tema del COVID-19 per convincere milioni di utenti a fornire informazioni e/o credenziali (Google ha recentemente dichiarato di bloccare circa 18 milioni di email di questo genere al giorno). Ogni utente del sistema informativo aziendale ha un ruolo fondamentale nel processo di tutela delle informazioni, un suo comportamento inappropriato può invalidare la solidità di qualsiasi barriera IT al Cyber Crime, per questo sensibilizzare la consapevolezza dei dipendenti è un fattore strategico per salvaguardare il business e il patrimonio informativo aziendale. Per questo scopo, e in linea con le indicazioni del governo sul distanziamento sociale, abbiamo guidano i nostri clienti nella selezione e valutazione delle soluzioni di e-learning più adeguate, sviluppando con loro il piano e i contenuti della necessaria formazione.

Così come per l’emergenza sanitaria attualmente in corso, anche la gestione sicura dei nuovi strumenti, infrastrutture e processi per lo smart working e il telelavoro richiederà un approccio coeso e coordinato tra tutti gli attori coinvolti. La sicurezza, si sa, è una catena.

di Licia Nicoletti Senior Consultant – IT & Security Governance, Risk Management e Compliance @ Dedalo GRC Advisory

ENISA pubblica un Tool per la mappatura delle (inter) dipendenze tra “OSE” e “FSD” rispetto agli Standard internazionali di Cybersecurity

Obiettivo e contesto

La direttiva del NIS (Network and Information Security), entrata in vigore nel 2016, rappresenta la prima normativa europea in materia di sicurezza informatica. La direttiva è stata creata con l’obiettivo di rafforzare il livello generale di sicurezza informatica nell’Unione europea attraverso il miglioramento delle competenze di Cybersecurity negli Stati membri, il rafforzamento della cooperazione in materia di Cybersecurity tra gli Stati membri e richiedendo agli operatori dei servizi essenziali (OSE) ed ai fornitori di servizi digitali (FSD) di gestire i loro rischi. In relazione a questi ultimi, un elemento importante del processo di valutazione del rischio è quello relativo alle dipendenze e interdipendenze dei servizi offerti dagli OSE e dai FSD. Queste dipendenze potrebbero essere di natura nazionale o transnazionale.
Tale contesto rivela una serie di (inter)dipendenze emergenti tra OSE e FSD, sia a livello di sistemi che di servizi. Vi è un numero crescente di incidenti di Cybersecurity che, a causa di queste interdipendenze, si sono propagati tra le organizzazioni, spesso oltre i confini, o hanno avuto un effetto a cascata a livello dei servizi essenziali. Su tale ambito, L’Agenzia Europea per la Cybersecurity (ENISA) ha emanato un Report denominato “Good practices on interdependencies between OSE and DSPs to international information security standards”, all’interno del quale vengono analizzate le dipendenze e le interdipendenze tra OSE e FSD, identificando i principali indicatori per valutarle. Tali indicatori sono ricondotti ai più noti Framework internazionali di sicurezza informatica quali ISO IEC 27002, COBIT5, NIS Cooperation Group Security Measures e NIST Cybersecurity Framework.


Il report evidenzia inoltre come, a causa della digitalizzazione dei servizi, tutti i settori di maggiore rilievo abbiano aumentato il proprio livello di Cyber (inter)dipendenza da infrastrutture digitali e da fornitori di servizi digitali, suggerendo di integrare la valutazione di tali (inter)dipendenze all’interno di un più ampio processo di Risk Management, includendo le dipendenze e le interdipendenze Cross-settoriali e Cross-Border.


Sulla scia delle risultanze dell’analisi sopra citata, ENISA ha pubblicato un Tool per mappare gli Standard internazionali di sicurezza informatica a specifici indicatori di interdipendenza tra gli OSE (operatori di servizi essenziali) ed i FSD (fornitori di servizi digitali), che presenta al suo interno la mappatura degli indicatori mostrati all’interno del Report “Good practices on interdependencies between OES and DSPs to international information security standards”.


Il seguente modello è stato utilizzato per identificare e analizzare le interdipendenze con la finalità di definire degli indicatori utili:

Le principali raccomandazioni indicate da ENISA per affrontare efficacemente le interdipendenze nelle loro valutazioni del rischio, tra cui:

  • OSE e FSD dovrebbero condurre indagini empiriche per raccogliere i dati necessari a svolgere la valutazione;
  • OSE, FSD e le autorità competenti dovrebbero sviluppare e integrare metodologie e strumenti ad-hoc;
  • Gli OSE e i FSD dovrebbero sviluppare le competenze attraverso la consapevolezza e la formazione;
  • Le autorità competenti dovrebbero adoperarsi per sviluppare una tassonomia comune della valutazione dell’impatto degli incidenti;
  • OSE e FSD dovrebbero indirizzare le interdipendenze ed i relativi rischi attraverso processi ed approcci operativi;
  • Le autorità competenti dovrebbero facilitare la condivisione delle informazioni.

Il Tool
Il Tool, accessibile online dal sito ufficiale dell’ENISA (https://www.enisa.europa.eu/topics/nis-directive/Interdependencies_OES_and_DSPs), intende contribuire al raggiungimento di un comune e convergente livello di sicurezza nelle reti e nei sistemi informatici a livello europeo, così come previsto dall’Art. 3 della Direttiva NIS, e non sostituisce gli standard esistenti, né i Framework internazionali o le Best Practice utilizzate dagli Operatori di Servizi Essenziali.
Durante lo sviluppo del Tool, i ricercatori hanno identificato 17 indicatori di interdipendenza (es. distribuzione geografica, numero di utenti impattati, etc.) e li hanno mappati rispetto ai controlli dei principali standard del settore:

  • Requisiti del Gruppo di Cooperazione della Direttiva NIS;
  • Standard ISO/IEC 27002 (Tecnologie Informatiche – Tecniche di sicurezza – Codice di pratica per la gestione della sicurezza delle informazioni stabilisce che la sicurezza dell’informazione è caratterizzata da integrità, riservatezza e disponibilità);
  • Framework di cybersecurity del National Institute of Standards and Technology (NIST);
  • Framework COBIT® 5 per la governance e il management dei sistemi informativi.

La risultante matrice, adattabile in base alle esigenze aziendali, risulta essere uno strumento di supporto utile e versatile per la valutazione dei potenziali impatti delle interdipendenze in termini di rischio. L’utilizzo degli standard internazionali e di Framework universalmente riconosciuti nel settore, permette di utilizzare una terminologia comune e omnicomprensiva.

di Daniele Binda Manager Consultant – IT & Security Governance, Risk Management e Compliance @ Dedalo GRC Advisory

SWIFT – Customer Security Controls Framework v2020

Ci siamo, la scadenza è alle porte!

Il programma di sicurezza per i partecipanti alla rete SWIFT (Customer Security Programme, CSP), lanciato da SWIFT nel 2016, stabilisce un insieme comune di controlli di sicurezza progettati per aiutare gli utenti a proteggersi contro i crimini informatici, rilevarli e reagire dopo essere stati colpiti.

A seguito di una serie di attacchi cibernetici e violazioni informatiche nel corso del 2016 SWIFT ha pubblicato, a marzo 2017, il Customer Security Controls Framework (CSCF V1) nell’ambito del CSP. Si tratta di un insieme di controlli che permettono di definire una baseline comune di sicurezza per tutti gli utenti SWIFT. L’implementazione dei controlli opzionali è fortemente consigliata per rafforzare ulteriormente la robustezza dell’infrastruttura locale degli utenti.

Il Customer Security Controls Framework, nella versione 2020, si rinnova; promuove 2 controlli da advisory a mandatory e ne introduce 2 nuovi come consigliati, per un totale di 31 controlli.
La versione 2019 del framework ne includeva 19 obbligatori e 10 consigliati.

La vera novità?
Dal luglio di questo anno, il self-assessment effettuato dai clienti entro il 31 dicembre di ogni anno rispetto ai suddetti controlli, non sarà più sufficiente.

Sarà infatti necessario un assessment indipendente, interno o esterno, a sostegno dell’autocertificazione annuale, che dimostri l’effettiva implementazione del controllo richiesto con evidenze a supporto.

Come Dedalo può essere di supporto?
Assessment and Gap Analysis
Mappatura e valutazione dei processi e dei controlli di sicurezza implementati dall’organizzazione rispetto alle linee guida del Customer Security Programme.
Security Testing
Vunerability Assessment e Penetration Test delle principali componenti dell’infrastruttura SWIFT in perimetro al Customer Security Controls Framework.
Remediation Plan
Supporto nel disegno e nell’implementazione dei presidi tecnico/organizzativi necessari a colmare i gap individuati in termini di tecnologie e/o di processo.
Attestation and Assurance
Attestazione della conformità ai controlli CSP anche tramite standard di assurance riconosciuti a livello internazionale come L’ISAE 3000.

Cyber Security: approvato il disegno di legge

Il disegno di legge prevede, tra l’altro:
•la definizione delle finalità del perimetro e delle modalità di individuazione dei soggetti pubblici e privati che ne fanno parte, nonché delle rispettive reti, dei sistemi informativi e dei servizi informatici rilevanti per le finalità di sicurezza nazionale cibernetica per i quali si applicano le misure di sicurezza e le procedure introdotte;
•l’istituzione di un meccanismo teso ad assicurare un procurement più sicuro per i soggetti inclusi nel perimetro che intendano procedere all’affidamento di forniture di beni e servizi ICT destinati a essere impiegati sulle reti, sui sistemi e per i servizi rilevanti;
•l’individuazione delle competenze del Ministero dello sviluppo economico – per i soggetti privati inclusi nel perimetro – e dell’Agenzia per l’Italia Digitale (AgID) – per le amministrazioni pubbliche;
•l’istituzione di un sistema di vigilanza e controllo sul rispetto degli obblighi introdotti;
•lo svolgimento delle attività di ispezione e verifica da parte delle strutture specializzate in tema di protezione di reti e sistemi nonché, per quanto riguarda la prevenzione e il contrasto del crimine informatico, delle Amministrazioni da cui dipendono le Forze di polizia e le Forze armate, che ne comunicano gli esiti.

Cybersecurity Act – Pubblicato in Gazzetta Ufficiale Ue il testo del provvedimento.

Dopo l’approvazione della Direttiva NIS nel 2016 – trasposta in Italia dal D.Lgs. 65/2018 – le istituzioni europee continuano a adottare misure intese a rafforzare la sicurezza cibernetica nell’Unione europea.
Il 7 giugno 2019 è stato infatti pubblicato sulla Gazzetta ufficiale dell’Unione europea il testo definitivo del cosiddetto Cybersecurity Act. Questo atto normativo, formalmente identificato come Regolamento (UE) 2019/881 del Parlamento Europeo e del Consiglio del 17 aprile 2019, entrerà ufficialmente in vigore il prossimo 27 giugno e, essendo un Regolamento e non una Direttiva, avrà effetto immediato in tutti gli Stati membri.

Il Cybersecurity Act costituisce una parte fondamentale della nuova strategia dell’UE per la sicurezza cibernetica, che mira a rafforzare la resilienza dell’Unione agli attacchi informatici, a creare un mercato unico della sicurezza cibernetica in termini di prodotti, servizi e processi e ad accrescere la fiducia dei consumatori nelle tecnologie digitali. Lo strumento normativo in questione si affianca, ed è in parte complementare, alla prima normativa in materia di sicurezza cibernetica introdotta a livello dell’Unione, ossia la Direttiva NIS.

Il Regolamento si compone di due parti: nella prima vengono specificati il ruolo e il mandato dell’Enisa, mentre nella seconda viene introdotto un sistema europeo per la certificazione della sicurezza informatica dei dispositivi connessi ad Internet e di altri prodotti e servizi digitali.
Lo schema prevede tre livelli di certificazione, caratterizzati da livelli di affidabilità commisurati al livello di rischio associato al prodotto o servizio.
L’onere di sviluppare lo schema di certificazione è stato assegnato ad ENISA, mentre tutti gli Stati membri dovranno curare la costituzione di Centri nazionali di valutazione che, sotto la sorveglianza dell’esistente circuito di Enti di accreditamento (per l’Italia, Accredia) potranno svolgere le opportune verifiche tecniche e rilasciare gli attestati di conformità.

CR.AA.M. – Nuovi Moduli di Audit per la Cyber Security

Implementati due nuovi moduli per le attività di verifica (Compliance e Audit) nell’ambito della Cyber Security:

  • Cybersecurity Framework NIST
  • Framework Nazionale per la Cybersecurity e la Data Protection

Il servizio di valutazione e monitoraggio del rischio di compliance in architettura web, garantirà quindi:

  • l’archiviazione e la consultazione dei Framework,
  • la storicizzazione delle verifiche svolte (check-up),
  • la gestione dei check-up di conformità e audit sui singoli moduli normativi,
  • la produzione di report di sintesi e analitici tipo grafico e tabellare,
  • la produzione di un executive summary in formato editabile.