I rischi di cybersecurity derivanti dalla carenza di competenze interne alle aziende

In uno scenario globale che ha visto un drammatico aumento degli attacchi informatici negli ultimi tre anni, la presenza di adeguate competenze interne in materia di Information Security è diventato un fattore determinante per la tutela delle aziende.

Infatti, a fronte anche dei dati esposti nell’ultimo rapporto Clusit, nel primo semestre 2022 è stato registrato un incremento del + 53% del numero di attacchi rispetto allo stesso periodo dell’anno scorso. Oltre al numero, è risultata essere aumentata la Severity, cioè l’impatto stimato degli attacchi. Di frequente si tende a ricercare esternamente all’azienda la fonte di Cyber-attacchi, al contrario rilevanti risultano essere i rischi e le minacce a cui un’azienda è esposta a causa di Insider aziendali che possono danneggiarla, sia intenzionalmente che per negligenza.

Tipici esempi di azioni da parte dei dipendenti che possono danneggiare le aziende, anche involontariamente, sono l’apertura di e-mail di Phishing, la mancata o inadeguata partecipazione alla formazione in materia di Information Security, la perdita di dispositivi aziendali contenenti dati e informazioni, la condivisione di file e di e-mail senza un’adeguata conoscenza delle Policy e delle procedure di Data Classification, navigazione su siti Web dannosi e installazione di Software non autorizzato.

Fortunatamente, le Best Practices di riferimento e le normative di settore forniscono linee guida tecniche e organizzative anche a presidio di tali rischi, tra le quali:

  • Disegno e implementazione di adeguati modelli di valutazione, monitoraggio e controllo dei rischi ICT e di sicurezza – di particolare attualità nel settore Bancario il 40° aggiornamento della Circolare 285 di Banca d’Italia in cui sono stati modificati il Capitolo 4 “Il sistema informativo” ed il Capitolo 5 “La continuità operativa” al fine di attuare le Linee guida EBA sulla gestione dei rischi inerenti alle tecnologie dell’informazione.
  • Implementazione di adeguati processi e strumenti per il monitoraggio dei Client dei dipendenti e delle infrastrutture ICT tramite soluzioni quali SIEM, EDR e XDR – il continuo monitoraggio consente una rapida rilevazione di “exploit” e di attività sospette. Infatti, tramite tecnologie come le Suite EDR, le aziende possono monitorare gli endpoint per rilevare comportamenti sospetti nonché registrare e analizzare ogni singola attività ed evento. Inoltre, la correlazione delle informazioni raccolte consente di eseguire attività di risposta automatiche, come l’isolamento di un endpoint infetto dalla rete quasi in tempo reale.
  • Implementazione di adeguati modelli di “Role-Based Access Control” e di “Segregation of Duties”, finalizzati a restringere al massimo i privilegi di accesso dei singoli dipendenti sui sistemi e ad evitare conflitti tra le attività nei processi operativi. Un modello “Role Based Access Control” (RBAC), rappresenta un presidio di “controllo d’accesso basato sui ruoli’’ (e sulle mansioni effettive dei singoli dipendenti) che concorre al governo della sicurezza delle informazioni e risulta essenziale per il rispetto dei principi di “Least privilege” e “Need to know”. La “Segregation of Duties” (SoD) si basa sul non concentrare su un unico soggetto le responsabilità di un processo o di un’attività critici, per evitare errori o frodi, e consente di comprendere quali siano i processi e le attività potenzialmente in conflitto SoD, identificando anche azioni correttive.
  • Implementazione di Policy e procedure di Data Classification che rendano possibile la realizzazione di un adeguato livello di protezione delle informazioni e dei dati aziendali. La Data Classification ha l’obiettivo di classificare i dati secondo determinate categorie di rischio e criticità e di definire adeguate modalità di trattamento del dato (trasmissione elettronica, spedizione per posta interna/esterna, archiviazione, stampa, copia, ecc.).
  • Sessioni di formazione obbligatorie, con frequenza almeno annuale, in materia di Information Security Awareness dirette a tutto il personale, incluso il management e le figure direzionali. Lo scopo (oltre al rendere l’azienda Compliant a normative come GDPR, Direttiva NIS, Framework NIST ed ISO 27001) è accrescere la responsabilità degli utenti, favorendo un atteggiamento maggiormente attivo nei confronti delle possibili minacce alle quali essi stessi, in quanto parte dell’azienda, sono esposti.
  • Campagne simulate di Phishing attraverso strumenti automatizzati, ad esempio tramite piattaforme ah hoc in cloud, che riflettono le minacce di phishing in corso e future.  La simulazione si avvale dell’inserimento di marchi noti, che sono spesso protagonisti in campagne di Phishing reali, e fondamentale risulta essere la realizzazione di un apprendimento attivo del destinatario.
  • Verifiche periodiche da parte della funzione Internal Audit in ambito ICT e sicurezza rappresentano presidi di monitoraggio essenziali per rendere la sicurezza aziendale conforme alla crescente evoluzione dei rischi ICT e di sicurezza, anche a fronte della maggiore esposizione dovuta alla crescente digitalizzazione dei processi di Business. Ciò implica un ruolo determinante per chi effettua l’Audit interno su tematiche ICT e di sicurezza, al fine di individuare se l’azienda sta adottando un approccio appropriato, efficace ed efficiente, rispetto agli Standard internazionali di riferimento nonché a leggi e regolamenti vigenti.
  • Informative ai dipendenti nel processo di Onboarding contenenti le linee guida di sicurezza delle informazioni definite dall’azienda – secondo la “Society for Human Resource Management (SHRM)” un corretto Onboarding si basa sulle cosiddette ‘’Quattro C’’: Compliance, Clarification, Culture, Connection. La prima di queste (Compliance) riveste un ruolo fondamentale per la sicurezza delle informazioni. Infatti, soltanto tramite un’adeguata comunicazione ed una formale approvazione da parte dei dipendenti delle linee guida per la sicurezza delle informazioni aziendali, è possibile introdurre un efficace deterrente e costruire un’adeguata consapevolezza in merito a tali tematiche, con la finalità di ridurre drasticamente il rischio di violazioni.
  • Definire ruoli e responsabilità in materia di Information Security e Cybersecurity per tutti i dipendenti – per innestare adeguati presidi tecnici e organizzativi in relazione alla sicurezza delle informazioni all’interno dell’organizzazione, molteplici standard internazionali suggeriscono la nomina di un “Chief Information Security Officer (CISO)” (anche in Outsourcing), quale responsabile del governo della sicurezza delle informazioni, e l’implementazione di processi, strumenti e unità organizzative di IT Security Operations. Tuttavia, la crescente incidenza di Cyber attacchi di Phishing, Social Engineering e furto di credenziali, dimostra altresì l’importanza di non considerare la sicurezza come una responsabilità esclusiva di tali figure e unità aziendali e di come sia necessaria una formale responsabilizzazione sul tema per tutti i dipendenti a prescindere da ruoli, mansioni e responsabilità.

A conferma dell’importanza di tali presidi tecnici e organizzativi a protezione delle informazioni aziendali, è essenziale tenere conto dei dati ufficiali emanati dai Player globali che operano in ambito Information Security e Cybersecurity. Infatti, secondo Trend Micro, leader mondiale di soluzioni Enterprise di Cloud Security, il recente incremento del lavoro da remoto ha comportato un maggiore utilizzo delle soluzioni basate su Cloud, che ha causato un aumento di alcune tipologie di attacco informatico, quali: sfruttamento di configurazioni Cloud errate, Social Engineering, sfruttamento di problemi nel controllo degli accessi, Phishing, furto di credenziali ed Escalating Privilege.

Interessanti anche i dati emersi dal report “Cost of Insider Threats Global Report – 2022” di Proofpoint realizzato dal Ponemon Institute che ha rilevato un aumento del 44% in due anni degli Insider Threats (cioè causati da dipendenti o collaboratori negligenti ed insider criminali) in cui la causa principale della maggior parte degli incidenti (il 56%) risiede nei dipendenti o collaboratori negligenti mentre soltanto il (26%) sarebbe originato da Insider criminali. Solitamente gli incidenti causati da Insider negligenti sono frutto dell’inosservanza di Policy di sicurezza, mancanza di protezione dei dispositivi, assenza di patch o aggiornamenti. Parallelamente, rispetto al biennio precedente, anche il furto di credenziali ad opera di Cyber criminali risulta essere raddoppiato.

Dedalo GRC Advisory, Società di consulenza specializzata nell’ambito dell’IT & Security Governance, Risk and Compliance, opera da più di vent’anni al fianco dei propri clienti per supportarli nella strutturazione e nel governo e nell’implementazione dei principali presidi di sicurezza delle informazioni.

Per ricevere ulteriori informazioni clicca qui

di Daniele Binda Senior Manager – IT & Security Governance, Risk Management, Compliance and Finance @ Dedalo GRC Advisor

di Giulia Pagnotta Consultant – IT & Security Governance, Risk Management, Compliance @ Dedalo GRC Advisory

Cybersecurity pills – Web-scraping

In questa pillola di cybersecurity affrontiamo il tema del “web scraping”. Molti utenti potrebbero non aver mai sentito parlare di questa tecnica informatica, ma in realtà vale la pena approfondire il tema, che ci coinvolge tutti e ha grandi impatti sulla nostra vita digitale. Ecco di cosa si tratta.

Che cos’è il web scraping?

Il web scraping è una tecnica utilizzata per acquisire informazioni e dati tramite processi di scansione automatica di siti web pubblici. Nel marketing online, questa tecnica viene impiegata per monitorare specifici trend (es. parole chiave utilizzate sul web, riferimenti a specifici brand, etc.) o per agevolare il confronto tra informazioni pubblicate su vari siti (es. prezzo di un prodotto). Una semplice ricerca su Google mostra la grande varietà di soluzioni commerciali disponibili, che spesso non richiedono competenze tecniche specifiche o un’infrastruttura dedicata.

Il web scraping non è di per sé un’attività illegale. Tuttavia, con l’introduzione della normativa europea sulla privacy (GDPR), questa tecnica potrebbe configurarsi come un trattamento illecito di dati personali, in quanto l’Interessato non sarebbe adeguatamente informato circa l’utilizzo dei propri dati personali, pubblicati sul web per differenti finalità.

Questa tecnica apparentemente innocua, inoltre, sta diventando uno dei principali strumenti utilizzati nel cybercrime per raccogliere informazioni su potenziali vittime. Una volta raggiunto l’obiettivo, infatti, i cybercriminali utilizzano loro stessi i dati o li vendono al miglior offerente, in quello che sta diventando il crescente fenomeno del cybercrime-as-a-service (anche noto come “Caas”), in cui una nuova generazione di cybercriminali ha scelto di offrire i propri “servizi” e le proprie competenze tecniche a potenziali “clienti”. I dati così raccolti, vengono poi utilizzati per eventuali attacchi di phishing e spear phishing, ma anche per altri generi di frode, come il furto d’identità digitale.

Come combattere il web scraping?

Come noto, la sicurezza informatica è una catena, e ciascuna misura di sicurezza adottata contribuisce a renderla più forte. Riportiamo di seguito alcuni consigli per proteggere i propri dati e quelli della vostra azienda dal web scraping:

  • Utilizzare i social network in maniera consapevole. Gran parte dei dati personali disponibili sul web sono proprio quelli che gli utenti pubblicano sui social network, come Instagram, Linkedin e Facebook. Nel mese di aprile scorso, proprio quest’ultima azienda ha denunciato di essere stata vittima di una campagna di web scraping massivo e illecito, che dal 2019 ha raccolto dati personali pubblicati da 530 milioni di utenti, compresi contatti telefonici e indirizzi di posta elettronica. Su questo tema è intervenuto il Garante per la Protezione dei Dati Personali, che ha chiesto a Facebook di rendere disponibile un servizio che consenta agli utenti in Italia di verificare se i propri dati siano stati violati. La misura più efficace contro il web scraping è quella di non pubblicare dati personali sui propri account social. Raccomandiamo inoltre di dedicare del tempo a comprendere e configurare le preferenze privacy rese disponibili dalle piattaforme social, così da limitare il più possibile l’accesso ai propri dati.
  • Linee guida sull’utilizzo del web. Per le aziende, invece, raccomandiamo di limitare la superficie di attacco tramite la definizione di regole comportamentali chiare circa la diffusione di informazioni aziendali sul web da parte dei propri dipendenti. Alcune aziende, ad esempio, scelgono di non pubblicare informazioni circa ruoli e responsabilità di dettaglio, altre ancora vietano l’utilizzo degli indirizzi di posta aziendali per l’iscrizione a siti o altri servizi web non autorizzati.

Speriamo che abbiate trovato utile questa pillola di Cybersecurity, e vi invitiamo a seguirci per i prossimi approfondimenti.

di Licia Nicoletti Senior Consultant – IT & Security Governance, Risk Management e Compliance @ Dedalo GRC Advisory

Digital Operational Resilience Act – DORA

Mai come prima d’ora, il mondo sta vivendo un momento di piena transizione digitale, guidata anche dai governi che hanno inserito la tematica nei primi posti delle loro agende e nei piani di ripresa dalla pandemia di COVID-19. Proprio l’emergenza sanitaria ha dimostrato ulteriormente la necessità di un’evoluzione dei modelli di business in questa direzione. In conseguenza di ciò, le aziende che si troveranno ad essere impegnate in tale sfida dovranno di certo affrontare gli innumerevoli rischi legati alla trasformazione digitale.

In tale contesto, l’Unione Europea ha colto l’opportunità per definire delle regole che assicurino standard di sicurezza delle infrastrutture ed il monitoraggio dei fornitori ICT operanti nel settore finanziario, attraverso la proposta di regolamento in materia di “resilienza operativa digitale per il settore finanziario” pubblicata il 24 settembre 2020 da parte della Commissione Europea (Digital Operational Resilience Act – DORA) e facente parte di un pacchetto di misure finalizzate ad accrescere e supportare il potenziale della finanza digitale in termini di innovazione e concorrenza, con un approccio orientato alla gestione dei rischi ICT.

I principali obiettivi che il Regolamento DORA si propone di conseguire sono i seguenti:

  • migliorare, snellire e armonizzare la gestione del rischio ICT;
  • aumentare la consapevolezza delle autorità di vigilanza sui rischi informatici e sulla gestione degli incidenti;
  • garantire alle autorità di vigilanza il potere di sorvegliare i rischi derivanti dalla dipendenza delle entità finanziarie da fornitori di servizi ICT.

Per quanto riguarda i requisiti previsti dal Regolamento, gli stessi possono essere raggruppati secondo le seguenti tematiche:

  • Governance

    favorire un migliore allineamento delle strategie commerciali delle entità finanziarie e della gestione dei rischi relativi alle tecnologie ICT attraverso la definizione di ruoli e responsabilità definiti. L’organo di gestione sarà tenuto a mantenere un ruolo attivo e cruciale nel dirigere il quadro di gestione dei rischi ICT e dovrà garantire il rispetto di una scrupolosa igiene informatica.

  • Gestione dei rischi ICT

    per tenere il passo con il rapido sviluppo del contesto delle minacce informatiche, le entità finanziarie devono:

    • istituire e mantenere strumenti e sistemi ICT resilienti, tali da ridurre al minimo l’impatto dei rischi ICT;
    • identificare costantemente tutte le fonti di rischio ICT;
    • introdurre misure di protezione e prevenzione;
    • individuare tempestivamente le attività anomale;
    • mettere in atto strategie di continuità operativa e piani di ripristino in caso di disastro come parte integrante della strategia di continuità operativa.
  • Gestione degli incidenti ICT

    requisiti per l’armonizzazione e la razionalizzazione delle segnalazioni di incidenti ICT.

  • Test di resilienza operativa digitale:

    le capabilities e le funzioni incluse nella gestione dei rischi ICT devono essere sottoposte a test periodici per accertarne il livello di  “Readiness”, identificarne punti di miglioramento o carenze e verificare la capacità di attuare tempestivamente misure correttive.

  • Gestione dei rischi ICT di terze parti

    garantire un solido monitoraggio dei rischi ICT derivanti da terzi.

  • Condivisione delle informazioni

    sensibilizzare in merito ai rischi ICT, ridurne al minimo la propagazione, sostenere le capacità di difesa e le tecniche di identificazione delle minacce delle entità finanziarie.

Per quanto riguarda le tempistiche, la pubblicazione del Regolamento in versione definitiva non è prevista prima del 2022. Nell’attesa, sorgono già i primi interrogativi: poiché l’attuale comparto normativo dei singoli paesi europei risulta già piuttosto evoluto in merito alla vigilanza ed al controllo dei processi e presidi ICT posti in essere dai soggetti coinvolti dal Regolamento DORA, quali sovrapposizioni normative potremo riscontrare in Italia e in Europa sulle tematiche nel perimetro di analisi? Le autorità di vigilanza dei singoli paesi (ad esempio Banca d’Italia e ISVAP per il nostro paese) hanno già sensibilizzato a sufficienza i soggetti vigilati attraverso le circolari sinora emanate e le attività di ispezione eseguite negli anni? Di che entità risulterà l’attuale “Gap” procedurale e di controllo interno ICT dei soggetti nel perimetro DORA rispetto ai requisiti richiesti e, di conseguenza, quanto sarà gravoso per tali soggetti il “costo della Compliance” di tale novità normativa?

Alle società italiane coinvolte non resta quindi che attendere i prossimi sviluppi e preparare nel contempo la strategia per poter rispondere in modo proattivo alle evoluzioni che ne deriveranno.

Cybersecurity Pills – Smishing

Come abbiamo riportato nel nostro recente articolo, la pandemia globale ha portato a nuovi ed inaspettati trend nella cybersecurity. Mentre governi ed istituzioni internazionali combattevano un’emergenza sanitaria senza precedenti, i cittadini hanno scoperto sulla propria pelle le conseguenze di un’altra minaccia globale: il cybercrimine. Le statistiche parlano chiaro, il numero di attacchi cyber rivolti a cittadini ed aziende è cresciuto in modo esponenziale, ma esistono delle semplici misure che ciascuno di noi può adottare per invertire il trend e rispondere in modo deciso alle nuove minacce. La formazione e la consapevolezza sono le armi più efficaci a questo scopo, e per questo in Dedalo abbiamo lanciato una nuova iniziativa di Awareness: Cybersecurity Pills. L’obiettivo è quello di approfondire tematiche spesso complesse in modo chiaro ed accessibile a tutti, fornendo spunti pratici e semplici istruzioni da seguire per la sicurezza informatica.

Il primo tema che abbiamo scelto di approfondire è quello dello smishing.

Che cos’è lo smishing?

In questa modalità di attacco, i cybercriminali utilizzano SMS o altre piattaforme di messagistica per raggiungere le proprie vittime. I criminali inviano dunque SMS apparentemente innocui, con messaggi sintetici o poco chiari, spesso contenti link a siti web non noti. Secondo alcune recenti analisi, in gran parte degli attacchi di smishing i messaggi sembrano provenire da banche o istituti di credito, ma non è sempre facile identificare un attacco. In questi ultimi giorni, ad esempio, molti utenti in Italia hanno ricevuto SMS sospetti prevenienti da società di spedizione o servizi di posta, proprio come quello che riportiamo nell’immagine. Una volta cliccato il link, la vittima scarica inconsapevolmente un software malevolo sul proprio dispositivo o viene reindirizzata a siti “civetta”, che richiedono l’inserimento delle proprie credenziali o informazioni. Il colpo è andato a buon fine.

Gli attacchi di smishing hanno più probabilità di successo per ragioni sia tecniche che psicologiche. Innanzitutto, come già noto nel mondo del marketing, gli SMS sono più efficaci per catturare l’attenzione degli utenti. Come riporta Gartner, infatti, il 98% degli SMS vengono letti (in confronto al 20% delle e-mail), e molti di questi riescono a innescare una risposta del destinatario (45%, in confronto al 6% delle e-mail). Gli utenti, inoltre, non sono sufficientemente sensibilizzati su questa “nuova” modalità di attacco, che non viene spesso considerata nelle campagne di sensibilizzazione in ambito security. Dal punto di vista tecnico, infine, i dispositivi mobili personali o aziendali sono solitamente sprovvisti di adeguati presidi di sicurezza (es. software antivirus, restrizioni al download, etc.), e non viene garantita una protezione adeguata nel caso in cui il “fattore umano” fallisca.

Come combattere lo smishing?

Come già noto, la sicurezza informatica è una catena, e richiede l’implementazione di più azioni coordinate per poter rispondere in modo efficace. In questo caso, tuttavia, proponiamo due semplici regole, economiche e di facile implementazione, da seguire per combattere lo smishing. Ciascuna organizzazione potrà poi affiancare le misure tecniche ed organizzative che ritiene più idonee a rispondere alle proprie esigenze di sicurezza. Ecco i nostri suggerimenti:

  1. Adottare adeguati presidi di sicurezza sui dispositivi mobili (smartphone e tablet). Valutare, ad esempio, l’installazione di un software antivirus sul dispositivo personale. Per le aziende, invece, raccomandiamo l’implementazione di un sistema di Mobile Device Management, che possa rispondere in modo adeguato alle esigenze operative degli utenti, salvaguardando però dati e reti aziendali;
  2. Sensibilizzare il personale a questa nuova modalità di attacco cyber, integrando i piani di formazione aziendali con le nuove minacce cyber. Suggeriamo di adottare strumenti di comunicazioni variegati (es. intranet aziendale, e-mail, classi online) per assicurare di trasmettere il messaggio a tutti gli utenti, specialmente a quelli che operano in smart working. Recentemente, inoltre, abbiamo sperimentato l’efficacia dello svolgimento di simulazioni di attacchi e campagne di smishing mirate, che riteniamo servizi supplementari essenziali per garantire una valida sensibilizzazione.

Speriamo che abbiate trovato utile questa Cybersecurity Pills, e vi invitiamo a seguirci per i prossimi approfondimenti.

di Licia Nicoletti Senior Consultant – IT & Security Governance, Risk Management e Compliance @ Dedalo GRC Advisory

Cybercrime ai tempi del COVID

Abbiamo recentemente partecipato al webinar “Cybercrime under pandemic” organizzato da PrivacyRules. L’evento è stato particolarmente interessante grazie alla varietà di background degli speaker: rappresentanti governativi, ricercatori universitari, esperti legali e forze dell’ordine.

In questo articolo riportiamo i principali temi di discussione, e offriamo il nostro contributo su come affrontare le nuove sfide cyber.

Come già riportato dall’Interpol nel corso dell’estate, il numero di attacchi cyber sono aumentati vertiginosamente nel corso dell’emergenza sanitaria globale. In questo scenario, inoltre, Ben Waites di Europol, sottolinea come le autorità abbiano anche notato specifici trend connessi a questo genere di crimini. I cyber criminali stanno sfruttando le paure e le ansie dei cittadini con campagne spesso mirate, e che si insinuano nelle nuove abitudini digitali degli utenti.

Per affrontare questa crisi di sicurezza, i governi di tutto il mondo stanno promuovendo nuove iniziative. Queste includono il consolidamento del diritto internazionale in materia (es. Direttiva NIS 2), e la creazione di nuovi meccanismi di cooperazione. Gli esperti, infatti, pongono l’accento sull’opportunità di rafforzare i meccanismi di collaborazione per combattere le nuove minacce in maniera coesa e attraverso azioni coordinate. I risultati ottenuti tramite tali collaborazioni sono davvero incoraggianti: nel mese di gennaio, ad esempio, le azioni coordinate delle autorità di otto paesi facenti parte del framework di cooperazione EMPACT, hanno scardinato uno dei più longevi e pericolosi trojan in circolazione, EMOTET.

Dal mondo accademico, invece, si pone l’accento sulla necessità di promuovere una “cultura” di sicurezza in azienda e nel pubblico, anche attraverso incentivi innovativi.  Els De Busser dell’Università di Leiden, ad esempio, propone di ideare uno standard di certificazione per promuovere i prodotti e i servizi sviluppati con sufficienti garanzie di sicurezza informatica (“security by design”). Questo meccanismo di “etichettatura”, che prende spunto dal settore alimentare (es. etichette “bio” e “fair trade”), permetterebbe ai consumatori di poter approntare scelte informate su quale dispositivo acquistare o a quale App concedere l’accesso ai propri dati.

Anche nell’ambito dei servizi da noi erogati, abbiamo riscontrato un significativo aumento degli incidenti informatici, coinvolgendo industries di settore e dimensione differenti. In particolare, le piccole e medie imprese sono state colte impreparate dai cambiamenti organizzativi e tecnologici imposti dall’emergenza sanitaria, e hanno dovuto affrontare le nuove sfide spesso ricorrendo ad eccezioni delle policy di sicurezza, o a nuove procedure non ancora consolidate.

Negli ultimi mesi, tuttavia, abbiamo sostenuto i nostri clienti in varie iniziative che riteniamo essenziali per proteggere le aziende dai nuovi trend del cyber crime. In particolare, riteniamo prioritario definire ed implementare un framework per i controlli interni che si concentri sui rischi cyber, utilizzare software e piattaforme di collaborazione adeguate al contesto e continuare a sensibilizzare gli utenti sulle buone prassi di sicurezza. Approfondiremo queste tematiche nei prossimi articoli, che pubblicheremo nelle rubriche specializzate sul nostro portale.

di Licia Nicoletti Senior Consultant – IT & Security Governance, Risk Management e Compliance @ Dedalo GRC Advisory

CAPISALDI E INNOVAZIONI DELLA NUOVA DIRETTIVA “NIS 2”

Un insufficiente livello di Cyber resilienza delle aziende che operano nell’Unione Europea, una discontinua applicazione della Direttiva tra Industry e Stati membri, una carente capacità di agire congiuntamente in condizioni di crisi e negli ambiti di condivisione delle conoscenze sono tra i principali punti di debolezza della Direttiva 2016/1148 (cd. “NIS 1”), che ne ha comportato un livello di impatto ed efficacia inferiori alle aspettative.

In tale scenario, il 16 dicembre 2020 la Commissione europea ha presentato una proposta di Direttiva “NIS 2” che racchiude una serie di sostanziali revisioni e aggiornamenti della precedente Direttiva. La proposta di revisione della Direttiva dovrà essere recepita dagli Stati membri entro 18 mesi dalla sua entrata in vigore, previo esame del Parlamento europeo e del Consiglio dell’Unione Europea.

La nuova Direttiva “NIS 2”, che abrogherà e sostituirà la Direttiva NIS 1, si pone di superare i limiti della precedente norma attraverso alcuni capisaldi fondamentali:

  • una più chiara ed estesa descrizione del perimetro di applicazione;
  • l’introduzione delle “entità importanti” (come gestione dei rifiuti, industria chimica, servizi postali, industria alimentare, fornitori di servizi digitali), che avranno restrizioni più leggere ed applicate “ex-post” rispetto alle “entità essenziali” (denominati “operatori di servizi essenziali” nella precedente Direttiva);
  • l’esclusione dal perimetro delle piccole e medie imprese resta confermata ma con alcune eccezioni;
  • le misure tecniche minime da imporre ad entità essenziali ed entità importanti sono più razionalizzate e specifiche rispetto alla precedente norma, inclusi gli obblighi di notifica degli incidenti;
  • l’obbligo, da parte di un’entità interessata da un incidente ritenuto “significativo”, di darne notifica all’autorità competente entro 24 ore e di produrre una reportistica ad-hoc entro un mese, nonché di informare tempestivamente i destinatari dei servizi impattati dall’incidente;
  • le misure tecniche adottate dovranno essere commisurate al “rischio” (anche in termini di “impatti” e di relativa “probabilità di accadimento) ed all’evoluzione delle tecnologie;
  • una maggiore definizione delle attività di supervisione da parte delle autorità competenti in merito alla conforme applicazione della normativa, prevedendo che gli operatori essenziali ed importanti siano sottoposti alla giurisdizione degli Stati Membri dove prestano i propri servizi;
  • una maggiore attenzione alla gestione del rischio e delle vulnerabilità delle “Supply Chain”, a causa della crescente dipendenza degli operatori da fornitori terzi di sistemi informativi e di infrastrutture tecnologiche;
  • un maggiore allineamento con le prescrizioni imposte dal Regolamento (UE) 2016/679 (GDPR), che spinge i “titolari del trattamento” a condurre adeguati Assessment delle misure e dei presidi di sicurezza informatica adottate dai fornitori ICT;
  • il rafforzamento della cooperazione tra Stati membri e della spinta alla condivisione delle informazioni tra i soggetti coinvolti, soprattutto attraversol’istituzione delEuropean Cyber Crisis Liaison Organisation Network (EU – CyCLONe)” con il ruolo di coordinare gestire gli incidenti su larga scala, garantendo un regolare scambio di informazioni tra gli Stati membri e le istituzioni europee;
  • l’inasprimento del regime sanzionatorio, che prevedono una sanzione massima fino a 10.000.000 di euro o il 2% del fatturato globale annuale.

In conclusione, nell’era del COVID-19 e dello Smart-Working globale, della crescente dipendenza dalle tecnologie e dalle vulnerabilità agli attacchi Cyber che esse comportano, della maggiore interconnessione tra i settori economici, la Direttiva NIS 2 si innesta certamente all’interno di un quadro normativo Europeo che intende rafforzare la resilienza degli operatori, limitare l’impatto degli attacchi Cyber sul funzionamento dei mercati e uniformare l’approccio tra gli Stati Membri…nella speranza che il tutto si traduca in un vero e proprio pilastro a presidio degli operatori, mantenendo però sufficiente flessibilità e un peso sostenibile per la loro operatività.

di Daniele Binda Senior Manager – IT & Security Governance, Risk Management, Compliance and Finance @ Dedalo GRC Advisor

L’innovazione come metodo – lo Standard ISO 56002

La trasformazione digitale troppo spesso viene erroneamente intesa soltanto come un cambiamento dell’ecosistema applicativo in termini tecnologici. È invece una grande opportunità per apportare innovazione in ambito culturale, organizzativo, sociale e più in generale nell’evoluzione delle capacità manageriali all’interno delle imprese ed organizzazioni.

È pertanto fondamentale ridisegnare le basi stesse della struttura organizzativa, adattandola ai canoni dell’era digitale e concependo un’organizzazione totalmente nuova a partire dall’organigramma, dalla cultura aziendale, dal modello di business nonché dalla leadership; questo consentirebbe alle imprese di cogliere realmente le opportunità che il mercato presente e soprattutto futuro sta mettendo e metterà a disposizione.

Innovare è il nuovo verbo, il mantra del momento. Innovare quindi e a tutti i costi, ma come?

Per innovare le aziende servono senz’altro creatività e capacità inventiva, ma da sole non sono sufficienti.

L’elemento fondamentale per una buona riuscita del processo di innovazione è l’execution. Si tratta di un percorso continuativo, fatto di miglioramenti progressivi e duraturi nel tempo, che richiede una chiara visione olistica e strategica per raggiungere risultati di successo. Creatività e metodo dunque, che sembrano due concetti apparentemente in contrasto, possono costituire i reali fattori critici di successo.

A conferma di questa affermazione, ci viene a supporto l’ISO (International Organization for Standardization) che nel 2019 ha pubblicato la nuovissima ISO 56000 con l’obiettivo di normare il SISTEMA DI GESTIONE DELL’INNOVAZIONE, rafforzando quindi il concetto che non può esserci vera innovazione senza una gestione organizzata e costante nel tempo tipica di un sistema, quest’ultimo inteso come l’Insieme di elementi correlati e interagenti di una organizzazione necessari per stabilire politiche, obiettivi e processi per raggiungere tali obiettivi.

La definizione di INNOVAZIONE così come viene indicata dall’OCSE (l’Organizzazione per la Cooperazione e lo Sviluppo Economico) e dalla Commissione Europea nel MANUALE DI OSLO 2018 (le linee guida per la raccolta e l’interpretazione dei dati sull’innovazione) è: Un’innovazione è l’implementazione di un prodotto (sia esso un bene o servizio) o di un processo, nuovo o considerevolmente migliorato, di un nuovo metodo di marketing, o di un nuovo metodo organizzativo con riferimento alle pratiche commerciali, al luogo di lavoro o alle relazioni esterne.

La definizione della recente ISO 56000 è invece molto più semplice e generalizzata: Entità nuova o modificata che realizza o redistribuisce valore, dove per valore si intende genericamente guadagni derivati dalla soddisfazione di bisogni e aspettative, in relazione alle risorse utilizzate.

Dalla lettura della norma quindi, possiamo rafforzare la convinzione già espressa che l’innovazione non può limitarsi soltanto ad avere idee brillanti ma essa dovrebbe contribuire nelle organizzazioni a creare:

  • valore e aiutarle ad adattarsi ed evolversi continuamente;
  • successo in modo progressivo, aumentandone la capacità di adattamento in un mondo che cambia;
  • migliori modalità di lavoro, nonché nuove soluzioni per generare guadagni e migliorare la sostenibilità.

L’innovazione inoltre è strettamente legata alla resilienza di un’organizzazione, in quanto aiuta a comprendere e rispondere a contesti sfidanti, a cogliere le opportunità che potrebbero apportare e sfruttare la creatività sia dei propri lavoratori che dei partner.

In definitiva, grandi idee e nuove invenzioni sono spesso il risultato di una lunga serie di piccoli pensieri e cambiamenti, tutti catturati e indirizzati nel modo più efficace.

Uno dei modi più efficienti per farlo è appunto attraverso l’implementazione di un sistema di gestione dell’innovazione.

Così come avviene per molte altre norme della famiglia ISO, anche per la 56000 il sistema di gestione dell’innovazione fornisce un approccio sistemico per integrare l’innovazione in tutti gli strati delle organizzazioni al fine di cogliere e creare opportunità per lo sviluppo di nuove soluzioni, sistemi, prodotti e servizi.

Secondo Alice de Casanove, Presidente del comitato tecnico che ha sviluppato lo standard, la ISO 56002 aiuterà le organizzazioni di qualsiasi dimensione e settore produttivo ad aumentare le opportunità di business e le loro prestazioni in diversi modi: Ogni organizzazione che vuole dominare il proprio futuro deve incorporare alcuni aspetti della gestione dell’innovazione. Cioè, [le organizzazioni] devono evolversi e adattarsi per stare al passo con le tendenze del mercato e della società. La sfida è identificare ciò che darà loro il vantaggio competitivo e creare valore per il futuro, e quindi quali azioni strategiche intraprendere.

Fornendo una guida su come cogliere al meglio le proprie idee, testarle in modo efficace e gestire i rischi e le opportunità associate, la ISO 56002 può aiutare le organizzazioni a creare nuove proposte di valore e massimizzare il loro potenziale in modo strutturato.

La norma può anche aiutare a instillare una cultura dell’innovazione in una organizzazione, sfruttando così la creatività e la motivazione di ogni membro della stessa e, in definitiva, migliorando la collaborazione, la comunicazione e le prestazioni dell’azienda.

La capacità di innovare di un’organizzazione è quindi riconosciuta come un fattore chiave per la crescita duratura, la redditività economica, l’aumento del benessere e lo sviluppo della società. Essa include inoltre, la capacità di comprendere e rispondere alle mutevoli condizioni del suo contesto, di perseguire nuove opportunità e di sfruttare la conoscenza e la creatività delle persone all’interno dell’organizzazione e in collaborazione con le parti interessate esterne. Un’organizzazione può innovare in modo più efficace ed efficiente se tutte le attività necessarie e gli altri elementi interconnessi o interagenti, sono gestiti come un sistema di gestione dell’innovazione, in grado di fornire una struttura e un vocabolario comuni per sviluppare e implementare capacità di innovazione, valutare le prestazioni e ottenere i risultati previsti.

Per raggiungere l’effettiva implementazione del sistema di gestione dell’innovazione è fondamentale il commitment del top management ed il forte impegno dei leader nel promuovere una cultura a sostegno delle attività di innovazione.

Infine, una corretta implementazione di un sistema di gestione dell’innovazione in conformità con la ISO 56002 può portare molti benefici, tra cui annoveriamo:

  • maggiore capacità di gestire l’incertezza;
  • aumento della crescita, ricavi, redditività e competitività;
  • riduzione dei costi e degli sprechi e aumento della produttività e dell’efficienza delle risorse;
  • miglioramento della sostenibilità e della resilienza;
  • aumento della soddisfazione di utenti, clienti, cittadini e altri stakeholder;
  • rinnovo sostenuto del portafoglio di offerte;
  • persone impegnate e autorizzate nell’organizzazione;
  • maggiore capacità di attrarre partner, collaboratori e finanziamenti;
  • maggiore reputazione e valutazione dell’organizzazione;
  • facilitazione del rispetto delle normative e di altri requisiti pertinenti.

di Giovanni Lamberti Research & Innovation @ Dedalo GRC advisory

Covid-19 e Privacy

Negli ultimi mesi, tutti i governi del mondo hanno dovuto affrontare un’emergenza sanitaria globale, che ha richiesto sacrifici e mobilitazioni senza precedenti in tempo di pace. Come in altri Paesi, ai cittadini in Italia è stato richiesto di rinunciare ad alcuni diritti e libertà da sempre dati per certi, ma che hanno assunto un nuovo significato in questi tempi di crisi.

Un ambito in particolare ha attirato l’attenzione di cittadini e aziende: la protezione dei personali durante una pandemia. Secondo molti, questo sarà il vero banco di prova della nuova normativa privacy Europea, il General Data Protection Regulation o GDPR, e in molti attendono di capire come l’emergenza ne determinerà gli sviluppi futuri.

In Italia, il Garante per la Protezione dei Dati Personali ha assunto un ruolo centrale nella gestione dell’emergenza. Questa Autorità ha infatti partecipato attivamente alla revisione delle disposizioni di emergenza emanate dal Governo ed ha fornito chiarimenti essenziali utili all’implementazione di alcune misure adottate in emergenza, come la didattica a distanza o la ricetta medica elettronica. Il Garante ha inoltre fornito linee guida necessarie a tutti i cittadini circa la protezione dei dati personali nel corso dell’emergenza sanitaria, creando una sezione dedicata di “Frequently Asked Questions” (FAQ) sul proprio sito web.

Il dibattito nazionale nel corso dell’emergenza ha mostrato come il GDPR abbia sensibilizzato l’opinione pubblica circa la protezione dei dati personali. Sui giornali e i social media, ad esempio, si è ampiamente discusso sulle potenziali minacce legate alla diffusione delle App per il tracciamento dei contatti.

Immuni, lanciata dal Governo stesso, ha naturalmente catturato gran parte dell’attenzione, ma una semplice ricerca su Google mostra quanto queste App siano numerose e variegate. Lo scetticismo emerso intorno a questi nuovi strumenti è stato in qualche modo alimentato anche dalla carenza di evidenze concrete circa i benefici ottenuti dal loro utilizzo nel corso dell’emergenza. Secondo un’analisi della rivista Bloomberg infatti, il tracciamento dei contatti tramite App non ha finora portato benefici tangibili nella prevenzione e gestione dell’emergenza sanitaria in nessun paese, con l’unica eccezione della Cina, dove però sono state introdotte misure che sarebbero considerate inaccettabili altrove.

Oltre agli aspetti etici, ci sono infine aspetti tecnologici che pongono seri dubbi circa l’affidabilità dei dati raccolti tramite smartphone e tecnologia Bluetooth, probabilmente questo il punto debole del sistema di tracciamento, vista la poca accuratezza nel calcolo delle distanze tra dispositivi.

Paradossalmente, invece, per le aziende operanti in Italia, le grandi sfide privacy sono arrivate proprio in questi giorni, con la progressiva riapertura e la ripresa delle attività economiche. Molti dei nostri clienti si sono infatti dovuti confrontare con esigenze contrastanti: assicurare la sicurezza fisica sul luogo di lavoro, seppur garantendo misure adeguate alla protezione dei dati personali dei propri dipendenti, clienti o partner. Nella nostra esperienza, è stato ad esempio difficile fornire un parere sul ventaglio di nuovi prodotti e soluzioni software sulla sicurezza: dagli strumenti per il controllo degli accessi in ufficio tramite riconoscimento facciale e misurazione della temperatura (“contactless”), alle App che permettono al datore di lavoro di tracciare i movimenti all’interno degli spazi lavorativi e che talvolta prevedono test di autovalutazione giornalieri sulle condizioni di salute dei dipendenti.

Come scriveva Albert Einstein, senza crisi non ci sono sfide. Questa emergenza sanitaria rappresenta senza dubbio una sfida importante per le autorità di controllo e i governi in tutta Europa, che nei prossimi mesi avranno l’arduo compito di gestire una crisi senza precedenti e allo stesso tempo garantire i diritti e le libertà dei propri cittadini. Nel nostro piccolo, siamo in prima fila per offrire ai nostri clienti aggiornamenti costanti e competenze specifiche per districarci in questa nuova realtà.

di Licia Nicoletti Senior Consultant – IT & Security Governance, Risk Management e Compliance @ Dedalo GRC Advisory

Pandemia da Covid-19: la nuova frontiera dello Smart Working

Il Decreto del Presidente del Consiglio dei Ministri emanato il 1° marzo 2020 ha introdotto una serie di misure per il contenimento della diffusione della malattia respiratoria “Covid-19” causata dal nuovo  Coronavirus, imponendo forti restrizioni alla circolazione dei cittadini e alle attività lavorative. Il Decreto ha altresì esteso le modalità di lavoro agile a tutto il territorio nazionale, anche in assenza di accordi individuali precedentemente concordati.

Come confermato anche nel successivo Decreto dell’11 marzo 2020, le modalità di lavoro agile sono state estese ad interi settori della nostra economia, compresa la pubblica amministrazione.

Il lavoro agile (o “smart working”), già disciplinato nel diritto italiano nel 2017 (Legge 22 maggio 2017, n. 81), e il “telelavoro” sono dunque diventati realtà per milioni di Italiani.

Secondo uno studio del Politecnico di Milano, in Italia, le grandi e medie aziende che nel 2019 avevano già introdotto forme di lavoro agile erano circa il 60%, ma questo numero appariva significativamente ridotto nelle piccole e medie realtà. Il Coronavirus, insomma, ha colto la gran parte delle aziende italiane impreparate. Se da molti punti di vista, tale cambiamento repentino ha portato risvolti positivi per la nostra economia, permettendo ad esempio a moltissime persone di continuare a lavorare nonostante l’emergenza, secondo gli esperti, i veri benefici ci attendono nel medio e lungo periodo sottoforma di incrementi di produttività, risparmio dei costi e riduzione delle emissioni di CO2 nelle grandi città.

Altri studi inoltre, fanno luce su cambiamenti anche più profondi che tale modalità di lavoro porterà nel nostro Paese, come ad esempio il passaggio ad una gestione del lavoro basata su obiettivi, la promozioni di maggiore autonomia da parte del dipendente e l’instaurazione di relazioni lavorative basate sulla fiducia.

Su un aspetto tutti gli esperti concordano: nonostante l’enorme “esperimento” nazionale di smart working e telelavoro non sia iniziato con i migliori presupposti, questo ha modificato permanentemente la nostra cultura del lavoro e tali novità rimarranno nella nostra quotidianità anche nel post-emergenza.

Dal punto di vista della sicurezza informatica, l’introduzione repentina e massiccia di varie forme di lavoro a distanza ha portato ad una vera e propria “rivoluzione”. In poche settimane le aziende e le pubbliche amministrazioni del nostro Paese hanno dovuto affrontare cambiamenti tecnologici ed organizzativi, che nella normalità avrebbero richiesto anni di progettazione e sviluppo.

In questo articolo abbiamo provato a raccogliere le principali sfide affrontate dai nostri clienti e partner per assicurare la continuità dei propri servizi nonché dei relativi processi critici. L’obiettivo è quello di far luce sulle sfide di oggi, per aiutare aziende e privati a navigare in questo nuovo mare.

I principali ostacoli rilevati dalla nostra ricognizione sono relativi alla connettività dei sistemi, che ora più che mai è sottoposta a carichi di una portata senza precedenti. Centinaia di migliaia di dipendenti e collaboratori si collegano infatti a reti private aziendali (Virtual Private Network), accedendo da dispositivi anche personali e spesso non dotati di adeguate misure di protezione. Pertanto ci si è focalizzati sul fenomeno “BYOD”, dall’inglese Bring Your Own Device, che elimina in modo irrimediabile la distinzione tra “sistemi aziendali” e quelli privati. Questi servizi, ampiamente esaminati negli anni passati, permettono di affrontare nuove sfide importanti non solo nell’ambito della sicurezza delle informazioni, ma anche nell’erogazione dei servizi IT stessi. Alcuni clienti sprovvisti di strumenti per l’assistenza ed il supporto da remoto, ad esempio, hanno coinvolto Dedalo nella selezione delle soluzioni ritenute più affidabili, attività che spesso richiede un minuzioso bilanciamento tra sicurezza, facilità nell’utilizzo e costi di implementazione.

È naturale come in un momento di emergenza, nella definizione delle pratiche di smart working e telelavoro, molte aziende abbiano dovuto trovare un compromesso tra sicurezza delle informazioni e necessità operative di business. Con la riapertura della cosiddetta “Fase 2”, tuttavia, riteniamo essenziale riportare la sicurezza IT in primo piano. Secondo molti esperti del settore, la priorità per le aziende dovrà essere quella di rafforzare le misure di sicurezza utilizzate per mitigare i rischi connessi alla connettività, irrobustendo il processo di patch management e disegnando misure di sicurezza più restrittive per le VPN aziendali. Altre fonti autorevoli, come ad esempio il National Institute of Standards and Technology statunitense, sottolinea invece l’importanza del processo di gestione degli accessi logici, per il quale si ritiene necessario implementare modalità di autenticazione più robuste e garantire un adeguata gestione dei privilegi di accesso secondo i profili di rischio associati.

La nostra esperienza in queste settimane ha inoltre confermato ancora una volta come la formazione degli utenti sia essenziale per la sicurezza delle informazioni. È noto, ad esempio, come i tentativi di phishing siano nettamente aumentati nel corso dell’emergenza sanitaria, che ha permesso ai cyber criminali di utilizzare il tema del COVID-19 per convincere milioni di utenti a fornire informazioni e/o credenziali (Google ha recentemente dichiarato di bloccare circa 18 milioni di email di questo genere al giorno). Ogni utente del sistema informativo aziendale ha un ruolo fondamentale nel processo di tutela delle informazioni, un suo comportamento inappropriato può invalidare la solidità di qualsiasi barriera IT al Cyber Crime, per questo sensibilizzare la consapevolezza dei dipendenti è un fattore strategico per salvaguardare il business e il patrimonio informativo aziendale. Per questo scopo, e in linea con le indicazioni del governo sul distanziamento sociale, abbiamo guidano i nostri clienti nella selezione e valutazione delle soluzioni di e-learning più adeguate, sviluppando con loro il piano e i contenuti della necessaria formazione.

Così come per l’emergenza sanitaria attualmente in corso, anche la gestione sicura dei nuovi strumenti, infrastrutture e processi per lo smart working e il telelavoro richiederà un approccio coeso e coordinato tra tutti gli attori coinvolti. La sicurezza, si sa, è una catena.

di Licia Nicoletti Senior Consultant – IT & Security Governance, Risk Management e Compliance @ Dedalo GRC Advisory

ENISA pubblica un Tool per la mappatura delle (inter) dipendenze tra “OSE” e “FSD” rispetto agli Standard internazionali di Cybersecurity

Obiettivo e contesto

La direttiva del NIS (Network and Information Security), entrata in vigore nel 2016, rappresenta la prima normativa europea in materia di sicurezza informatica. La direttiva è stata creata con l’obiettivo di rafforzare il livello generale di sicurezza informatica nell’Unione europea attraverso il miglioramento delle competenze di Cybersecurity negli Stati membri, il rafforzamento della cooperazione in materia di Cybersecurity tra gli Stati membri e richiedendo agli operatori dei servizi essenziali (OSE) ed ai fornitori di servizi digitali (FSD) di gestire i loro rischi. In relazione a questi ultimi, un elemento importante del processo di valutazione del rischio è quello relativo alle dipendenze e interdipendenze dei servizi offerti dagli OSE e dai FSD. Queste dipendenze potrebbero essere di natura nazionale o transnazionale.
Tale contesto rivela una serie di (inter)dipendenze emergenti tra OSE e FSD, sia a livello di sistemi che di servizi. Vi è un numero crescente di incidenti di Cybersecurity che, a causa di queste interdipendenze, si sono propagati tra le organizzazioni, spesso oltre i confini, o hanno avuto un effetto a cascata a livello dei servizi essenziali. Su tale ambito, L’Agenzia Europea per la Cybersecurity (ENISA) ha emanato un Report denominato “Good practices on interdependencies between OSE and DSPs to international information security standards”, all’interno del quale vengono analizzate le dipendenze e le interdipendenze tra OSE e FSD, identificando i principali indicatori per valutarle. Tali indicatori sono ricondotti ai più noti Framework internazionali di sicurezza informatica quali ISO IEC 27002, COBIT5, NIS Cooperation Group Security Measures e NIST Cybersecurity Framework.


Il report evidenzia inoltre come, a causa della digitalizzazione dei servizi, tutti i settori di maggiore rilievo abbiano aumentato il proprio livello di Cyber (inter)dipendenza da infrastrutture digitali e da fornitori di servizi digitali, suggerendo di integrare la valutazione di tali (inter)dipendenze all’interno di un più ampio processo di Risk Management, includendo le dipendenze e le interdipendenze Cross-settoriali e Cross-Border.


Sulla scia delle risultanze dell’analisi sopra citata, ENISA ha pubblicato un Tool per mappare gli Standard internazionali di sicurezza informatica a specifici indicatori di interdipendenza tra gli OSE (operatori di servizi essenziali) ed i FSD (fornitori di servizi digitali), che presenta al suo interno la mappatura degli indicatori mostrati all’interno del Report “Good practices on interdependencies between OES and DSPs to international information security standards”.


Il seguente modello è stato utilizzato per identificare e analizzare le interdipendenze con la finalità di definire degli indicatori utili:

Le principali raccomandazioni indicate da ENISA per affrontare efficacemente le interdipendenze nelle loro valutazioni del rischio, tra cui:

  • OSE e FSD dovrebbero condurre indagini empiriche per raccogliere i dati necessari a svolgere la valutazione;
  • OSE, FSD e le autorità competenti dovrebbero sviluppare e integrare metodologie e strumenti ad-hoc;
  • Gli OSE e i FSD dovrebbero sviluppare le competenze attraverso la consapevolezza e la formazione;
  • Le autorità competenti dovrebbero adoperarsi per sviluppare una tassonomia comune della valutazione dell’impatto degli incidenti;
  • OSE e FSD dovrebbero indirizzare le interdipendenze ed i relativi rischi attraverso processi ed approcci operativi;
  • Le autorità competenti dovrebbero facilitare la condivisione delle informazioni.

Il Tool
Il Tool, accessibile online dal sito ufficiale dell’ENISA (https://www.enisa.europa.eu/topics/nis-directive/Interdependencies_OES_and_DSPs), intende contribuire al raggiungimento di un comune e convergente livello di sicurezza nelle reti e nei sistemi informatici a livello europeo, così come previsto dall’Art. 3 della Direttiva NIS, e non sostituisce gli standard esistenti, né i Framework internazionali o le Best Practice utilizzate dagli Operatori di Servizi Essenziali.
Durante lo sviluppo del Tool, i ricercatori hanno identificato 17 indicatori di interdipendenza (es. distribuzione geografica, numero di utenti impattati, etc.) e li hanno mappati rispetto ai controlli dei principali standard del settore:

  • Requisiti del Gruppo di Cooperazione della Direttiva NIS;
  • Standard ISO/IEC 27002 (Tecnologie Informatiche – Tecniche di sicurezza – Codice di pratica per la gestione della sicurezza delle informazioni stabilisce che la sicurezza dell’informazione è caratterizzata da integrità, riservatezza e disponibilità);
  • Framework di cybersecurity del National Institute of Standards and Technology (NIST);
  • Framework COBIT® 5 per la governance e il management dei sistemi informativi.

La risultante matrice, adattabile in base alle esigenze aziendali, risulta essere uno strumento di supporto utile e versatile per la valutazione dei potenziali impatti delle interdipendenze in termini di rischio. L’utilizzo degli standard internazionali e di Framework universalmente riconosciuti nel settore, permette di utilizzare una terminologia comune e omnicomprensiva.

di Daniele Binda Senior Manager – IT & Security Governance, Risk Management, Compliance and Finance @ Dedalo GRC Advisor