Digital Operational Resilience Act – DORA

Mai come prima d’ora, il mondo sta vivendo un momento di piena transizione digitale, guidata anche dai governi che hanno inserito la tematica nei primi posti delle loro agende e nei piani di ripresa dalla pandemia di COVID-19. Proprio l’emergenza sanitaria ha dimostrato ulteriormente la necessità di un’evoluzione dei modelli di business in questa direzione. In conseguenza di ciò, le aziende che si troveranno ad essere impegnate in tale sfida dovranno di certo affrontare gli innumerevoli rischi legati alla trasformazione digitale.

In tale contesto, l’Unione Europea ha colto l’opportunità per definire delle regole che assicurino standard di sicurezza delle infrastrutture ed il monitoraggio dei fornitori ICT operanti nel settore finanziario, attraverso la proposta di regolamento in materia di “resilienza operativa digitale per il settore finanziario” pubblicata il 24 settembre 2020 da parte della Commissione Europea (Digital Operational Resilience Act – DORA) e facente parte di un pacchetto di misure finalizzate ad accrescere e supportare il potenziale della finanza digitale in termini di innovazione e concorrenza, con un approccio orientato alla gestione dei rischi ICT.

I principali obiettivi che il Regolamento DORA si propone di conseguire sono i seguenti:

  • migliorare, snellire e armonizzare la gestione del rischio ICT;
  • aumentare la consapevolezza delle autorità di vigilanza sui rischi informatici e sulla gestione degli incidenti;
  • garantire alle autorità di vigilanza il potere di sorvegliare i rischi derivanti dalla dipendenza delle entità finanziarie da fornitori di servizi ICT.

Per quanto riguarda i requisiti previsti dal Regolamento, gli stessi possono essere raggruppati secondo le seguenti tematiche:

  • Governance

    favorire un migliore allineamento delle strategie commerciali delle entità finanziarie e della gestione dei rischi relativi alle tecnologie ICT attraverso la definizione di ruoli e responsabilità definiti. L’organo di gestione sarà tenuto a mantenere un ruolo attivo e cruciale nel dirigere il quadro di gestione dei rischi ICT e dovrà garantire il rispetto di una scrupolosa igiene informatica.

  • Gestione dei rischi ICT

    per tenere il passo con il rapido sviluppo del contesto delle minacce informatiche, le entità finanziarie devono:

    • istituire e mantenere strumenti e sistemi ICT resilienti, tali da ridurre al minimo l’impatto dei rischi ICT;
    • identificare costantemente tutte le fonti di rischio ICT;
    • introdurre misure di protezione e prevenzione;
    • individuare tempestivamente le attività anomale;
    • mettere in atto strategie di continuità operativa e piani di ripristino in caso di disastro come parte integrante della strategia di continuità operativa.
  • Gestione degli incidenti ICT

    requisiti per l’armonizzazione e la razionalizzazione delle segnalazioni di incidenti ICT.

  • Test di resilienza operativa digitale:

    le capabilities e le funzioni incluse nella gestione dei rischi ICT devono essere sottoposte a test periodici per accertarne il livello di  “Readiness”, identificarne punti di miglioramento o carenze e verificare la capacità di attuare tempestivamente misure correttive.

  • Gestione dei rischi ICT di terze parti

    garantire un solido monitoraggio dei rischi ICT derivanti da terzi.

  • Condivisione delle informazioni

    sensibilizzare in merito ai rischi ICT, ridurne al minimo la propagazione, sostenere le capacità di difesa e le tecniche di identificazione delle minacce delle entità finanziarie.

Per quanto riguarda le tempistiche, la pubblicazione del Regolamento in versione definitiva non è prevista prima del 2022. Nell’attesa, sorgono già i primi interrogativi: poiché l’attuale comparto normativo dei singoli paesi europei risulta già piuttosto evoluto in merito alla vigilanza ed al controllo dei processi e presidi ICT posti in essere dai soggetti coinvolti dal Regolamento DORA, quali sovrapposizioni normative potremo riscontrare in Italia e in Europa sulle tematiche nel perimetro di analisi? Le autorità di vigilanza dei singoli paesi (ad esempio Banca d’Italia e ISVAP per il nostro paese) hanno già sensibilizzato a sufficienza i soggetti vigilati attraverso le circolari sinora emanate e le attività di ispezione eseguite negli anni? Di che entità risulterà l’attuale “Gap” procedurale e di controllo interno ICT dei soggetti nel perimetro DORA rispetto ai requisiti richiesti e, di conseguenza, quanto sarà gravoso per tali soggetti il “costo della Compliance” di tale novità normativa?

Alle società italiane coinvolte non resta quindi che attendere i prossimi sviluppi e preparare nel contempo la strategia per poter rispondere in modo proattivo alle evoluzioni che ne deriveranno.

di Nicola De Dominicis Senior Consultant – IT & Security Governance, Risk Management e Compliance @ Dedalo GRC Advisory

Cybersecurity Pills – Smishing

Come abbiamo riportato nel nostro recente articolo, la pandemia globale ha portato a nuovi ed inaspettati trend nella cybersecurity. Mentre governi ed istituzioni internazionali combattevano un’emergenza sanitaria senza precedenti, i cittadini hanno scoperto sulla propria pelle le conseguenze di un’altra minaccia globale: il cybercrimine. Le statistiche parlano chiaro, il numero di attacchi cyber rivolti a cittadini ed aziende è cresciuto in modo esponenziale, ma esistono delle semplici misure che ciascuno di noi può adottare per invertire il trend e rispondere in modo deciso alle nuove minacce. La formazione e la consapevolezza sono le armi più efficaci a questo scopo, e per questo in Dedalo abbiamo lanciato una nuova iniziativa di Awareness: Cybersecurity Pills. L’obiettivo è quello di approfondire tematiche spesso complesse in modo chiaro ed accessibile a tutti, fornendo spunti pratici e semplici istruzioni da seguire per la sicurezza informatica.

Il primo tema che abbiamo scelto di approfondire è quello dello smishing.

Che cos’è lo smishing?

In questa modalità di attacco, i cybercriminali utilizzano SMS o altre piattaforme di messagistica per raggiungere le proprie vittime. I criminali inviano dunque SMS apparentemente innocui, con messaggi sintetici o poco chiari, spesso contenti link a siti web non noti. Secondo alcune recenti analisi, in gran parte degli attacchi di smishing i messaggi sembrano provenire da banche o istituti di credito, ma non è sempre facile identificare un attacco. In questi ultimi giorni, ad esempio, molti utenti in Italia hanno ricevuto SMS sospetti prevenienti da società di spedizione o servizi di posta, proprio come quello che riportiamo nell’immagine. Una volta cliccato il link, la vittima scarica inconsapevolmente un software malevolo sul proprio dispositivo o viene reindirizzata a siti “civetta”, che richiedono l’inserimento delle proprie credenziali o informazioni. Il colpo è andato a buon fine.

Gli attacchi di smishing hanno più probabilità di successo per ragioni sia tecniche che psicologiche. Innanzitutto, come già noto nel mondo del marketing, gli SMS sono più efficaci per catturare l’attenzione degli utenti. Come riporta Gartner, infatti, il 98% degli SMS vengono letti (in confronto al 20% delle e-mail), e molti di questi riescono a innescare una risposta del destinatario (45%, in confronto al 6% delle e-mail). Gli utenti, inoltre, non sono sufficientemente sensibilizzati su questa “nuova” modalità di attacco, che non viene spesso considerata nelle campagne di sensibilizzazione in ambito security. Dal punto di vista tecnico, infine, i dispositivi mobili personali o aziendali sono solitamente sprovvisti di adeguati presidi di sicurezza (es. software antivirus, restrizioni al download, etc.), e non viene garantita una protezione adeguata nel caso in cui il “fattore umano” fallisca.

Come combattere lo smishing?

Come già noto, la sicurezza informatica è una catena, e richiede l’implementazione di più azioni coordinate per poter rispondere in modo efficace. In questo caso, tuttavia, proponiamo due semplici regole, economiche e di facile implementazione, da seguire per combattere lo smishing. Ciascuna organizzazione potrà poi affiancare le misure tecniche ed organizzative che ritiene più idonee a rispondere alle proprie esigenze di sicurezza. Ecco i nostri suggerimenti:

  1. Adottare adeguati presidi di sicurezza sui dispositivi mobili (smartphone e tablet). Valutare, ad esempio, l’installazione di un software antivirus sul dispositivo personale. Per le aziende, invece, raccomandiamo l’implementazione di un sistema di Mobile Device Management, che possa rispondere in modo adeguato alle esigenze operative degli utenti, salvaguardando però dati e reti aziendali;
  2. Sensibilizzare il personale a questa nuova modalità di attacco cyber, integrando i piani di formazione aziendali con le nuove minacce cyber. Suggeriamo di adottare strumenti di comunicazioni variegati (es. intranet aziendale, e-mail, classi online) per assicurare di trasmettere il messaggio a tutti gli utenti, specialmente a quelli che operano in smart working. Recentemente, inoltre, abbiamo sperimentato l’efficacia dello svolgimento di simulazioni di attacchi e campagne di smishing mirate, che riteniamo servizi supplementari essenziali per garantire una valida sensibilizzazione.

Speriamo che abbiate trovato utile questa Cybersecurity Pills, e vi invitiamo a seguirci per i prossimi approfondimenti.

di Licia Nicoletti Senior Consultant – IT & Security Governance, Risk Management e Compliance @ Dedalo GRC Advisory

Cybercrime ai tempi del COVID

Abbiamo recentemente partecipato al webinar “Cybercrime under pandemic” organizzato da PrivacyRules. L’evento è stato particolarmente interessante grazie alla varietà di background degli speaker: rappresentanti governativi, ricercatori universitari, esperti legali e forze dell’ordine.

In questo articolo riportiamo i principali temi di discussione, e offriamo il nostro contributo su come affrontare le nuove sfide cyber.

Come già riportato dall’Interpol nel corso dell’estate, il numero di attacchi cyber sono aumentati vertiginosamente nel corso dell’emergenza sanitaria globale. In questo scenario, inoltre, Ben Waites di Europol, sottolinea come le autorità abbiano anche notato specifici trend connessi a questo genere di crimini. I cyber criminali stanno sfruttando le paure e le ansie dei cittadini con campagne spesso mirate, e che si insinuano nelle nuove abitudini digitali degli utenti.

Per affrontare questa crisi di sicurezza, i governi di tutto il mondo stanno promuovendo nuove iniziative. Queste includono il consolidamento del diritto internazionale in materia (es. Direttiva NIS 2), e la creazione di nuovi meccanismi di cooperazione. Gli esperti, infatti, pongono l’accento sull’opportunità di rafforzare i meccanismi di collaborazione per combattere le nuove minacce in maniera coesa e attraverso azioni coordinate. I risultati ottenuti tramite tali collaborazioni sono davvero incoraggianti: nel mese di gennaio, ad esempio, le azioni coordinate delle autorità di otto paesi facenti parte del framework di cooperazione EMPACT, hanno scardinato uno dei più longevi e pericolosi trojan in circolazione, EMOTET.

Dal mondo accademico, invece, si pone l’accento sulla necessità di promuovere una “cultura” di sicurezza in azienda e nel pubblico, anche attraverso incentivi innovativi.  Els De Busser dell’Università di Leiden, ad esempio, propone di ideare uno standard di certificazione per promuovere i prodotti e i servizi sviluppati con sufficienti garanzie di sicurezza informatica (“security by design”). Questo meccanismo di “etichettatura”, che prende spunto dal settore alimentare (es. etichette “bio” e “fair trade”), permetterebbe ai consumatori di poter approntare scelte informate su quale dispositivo acquistare o a quale App concedere l’accesso ai propri dati.

Anche nell’ambito dei servizi da noi erogati, abbiamo riscontrato un significativo aumento degli incidenti informatici, coinvolgendo industries di settore e dimensione differenti. In particolare, le piccole e medie imprese sono state colte impreparate dai cambiamenti organizzativi e tecnologici imposti dall’emergenza sanitaria, e hanno dovuto affrontare le nuove sfide spesso ricorrendo ad eccezioni delle policy di sicurezza, o a nuove procedure non ancora consolidate.

Negli ultimi mesi, tuttavia, abbiamo sostenuto i nostri clienti in varie iniziative che riteniamo essenziali per proteggere le aziende dai nuovi trend del cyber crime. In particolare, riteniamo prioritario definire ed implementare un framework per i controlli interni che si concentri sui rischi cyber, utilizzare software e piattaforme di collaborazione adeguate al contesto e continuare a sensibilizzare gli utenti sulle buone prassi di sicurezza. Approfondiremo queste tematiche nei prossimi articoli, che pubblicheremo nelle rubriche specializzate sul nostro portale.

di Licia Nicoletti Senior Consultant – IT & Security Governance, Risk Management e Compliance @ Dedalo GRC Advisory

CAPISALDI E INNOVAZIONI DELLA NUOVA DIRETTIVA “NIS 2”

Un insufficiente livello di Cyber resilienza delle aziende che operano nell’Unione Europea, una discontinua applicazione della Direttiva tra Industry e Stati membri, una carente capacità di agire congiuntamente in condizioni di crisi e negli ambiti di condivisione delle conoscenze sono tra i principali punti di debolezza della Direttiva 2016/1148 (cd. “NIS 1”), che ne ha comportato un livello di impatto ed efficacia inferiori alle aspettative.

In tale scenario, il 16 dicembre 2020 la Commissione europea ha presentato una proposta di Direttiva “NIS 2” che racchiude una serie di sostanziali revisioni e aggiornamenti della precedente Direttiva. La proposta di revisione della Direttiva dovrà essere recepita dagli Stati membri entro 18 mesi dalla sua entrata in vigore, previo esame del Parlamento europeo e del Consiglio dell’Unione Europea.

La nuova Direttiva “NIS 2”, che abrogherà e sostituirà la Direttiva NIS 1, si pone di superare i limiti della precedente norma attraverso alcuni capisaldi fondamentali:

  • una più chiara ed estesa descrizione del perimetro di applicazione;
  • l’introduzione delle “entità importanti” (come gestione dei rifiuti, industria chimica, servizi postali, industria alimentare, fornitori di servizi digitali), che avranno restrizioni più leggere ed applicate “ex-post” rispetto alle “entità essenziali” (denominati “operatori di servizi essenziali” nella precedente Direttiva);
  • l’esclusione dal perimetro delle piccole e medie imprese resta confermata ma con alcune eccezioni;
  • le misure tecniche minime da imporre ad entità essenziali ed entità importanti sono più razionalizzate e specifiche rispetto alla precedente norma, inclusi gli obblighi di notifica degli incidenti;
  • l’obbligo, da parte di un’entità interessata da un incidente ritenuto “significativo”, di darne notifica all’autorità competente entro 24 ore e di produrre una reportistica ad-hoc entro un mese, nonché di informare tempestivamente i destinatari dei servizi impattati dall’incidente;
  • le misure tecniche adottate dovranno essere commisurate al “rischio” (anche in termini di “impatti” e di relativa “probabilità di accadimento) ed all’evoluzione delle tecnologie;
  • una maggiore definizione delle attività di supervisione da parte delle autorità competenti in merito alla conforme applicazione della normativa, prevedendo che gli operatori essenziali ed importanti siano sottoposti alla giurisdizione degli Stati Membri dove prestano i propri servizi;
  • una maggiore attenzione alla gestione del rischio e delle vulnerabilità delle “Supply Chain”, a causa della crescente dipendenza degli operatori da fornitori terzi di sistemi informativi e di infrastrutture tecnologiche;
  • un maggiore allineamento con le prescrizioni imposte dal Regolamento (UE) 2016/679 (GDPR), che spinge i “titolari del trattamento” a condurre adeguati Assessment delle misure e dei presidi di sicurezza informatica adottate dai fornitori ICT;
  • il rafforzamento della cooperazione tra Stati membri e della spinta alla condivisione delle informazioni tra i soggetti coinvolti, soprattutto attraversol’istituzione delEuropean Cyber Crisis Liaison Organisation Network (EU – CyCLONe)” con il ruolo di coordinare gestire gli incidenti su larga scala, garantendo un regolare scambio di informazioni tra gli Stati membri e le istituzioni europee;
  • l’inasprimento del regime sanzionatorio, che prevedono una sanzione massima fino a 10.000.000 di euro o il 2% del fatturato globale annuale.

In conclusione, nell’era del COVID-19 e dello Smart-Working globale, della crescente dipendenza dalle tecnologie e dalle vulnerabilità agli attacchi Cyber che esse comportano, della maggiore interconnessione tra i settori economici, la Direttiva NIS 2 si innesta certamente all’interno di un quadro normativo Europeo che intende rafforzare la resilienza degli operatori, limitare l’impatto degli attacchi Cyber sul funzionamento dei mercati e uniformare l’approccio tra gli Stati Membri…nella speranza che il tutto si traduca in un vero e proprio pilastro a presidio degli operatori, mantenendo però sufficiente flessibilità e un peso sostenibile per la loro operatività.

di Daniele Binda Manager – IT & Security Governance, Risk Management, Compliance and Finance @ Dedalo GRC Advisory

L’innovazione come metodo – lo Standard ISO 56002

La trasformazione digitale troppo spesso viene erroneamente intesa soltanto come un cambiamento dell’ecosistema applicativo in termini tecnologici. È invece una grande opportunità per apportare innovazione in ambito culturale, organizzativo, sociale e più in generale nell’evoluzione delle capacità manageriali all’interno delle imprese ed organizzazioni.

È pertanto fondamentale ridisegnare le basi stesse della struttura organizzativa, adattandola ai canoni dell’era digitale e concependo un’organizzazione totalmente nuova a partire dall’organigramma, dalla cultura aziendale, dal modello di business nonché dalla leadership; questo consentirebbe alle imprese di cogliere realmente le opportunità che il mercato presente e soprattutto futuro sta mettendo e metterà a disposizione.

Innovare è il nuovo verbo, il mantra del momento. Innovare quindi e a tutti i costi, ma come?

Per innovare le aziende servono senz’altro creatività e capacità inventiva, ma da sole non sono sufficienti.

L’elemento fondamentale per una buona riuscita del processo di innovazione è l’execution. Si tratta di un percorso continuativo, fatto di miglioramenti progressivi e duraturi nel tempo, che richiede una chiara visione olistica e strategica per raggiungere risultati di successo. Creatività e metodo dunque, che sembrano due concetti apparentemente in contrasto, possono costituire i reali fattori critici di successo.

A conferma di questa affermazione, ci viene a supporto l’ISO (International Organization for Standardization) che nel 2019 ha pubblicato la nuovissima ISO 56000 con l’obiettivo di normare il SISTEMA DI GESTIONE DELL’INNOVAZIONE, rafforzando quindi il concetto che non può esserci vera innovazione senza una gestione organizzata e costante nel tempo tipica di un sistema, quest’ultimo inteso come l’Insieme di elementi correlati e interagenti di una organizzazione necessari per stabilire politiche, obiettivi e processi per raggiungere tali obiettivi.

La definizione di INNOVAZIONE così come viene indicata dall’OCSE (l’Organizzazione per la Cooperazione e lo Sviluppo Economico) e dalla Commissione Europea nel MANUALE DI OSLO 2018 (le linee guida per la raccolta e l’interpretazione dei dati sull’innovazione) è: Un’innovazione è l’implementazione di un prodotto (sia esso un bene o servizio) o di un processo, nuovo o considerevolmente migliorato, di un nuovo metodo di marketing, o di un nuovo metodo organizzativo con riferimento alle pratiche commerciali, al luogo di lavoro o alle relazioni esterne.

La definizione della recente ISO 56000 è invece molto più semplice e generalizzata: Entità nuova o modificata che realizza o redistribuisce valore, dove per valore si intende genericamente guadagni derivati dalla soddisfazione di bisogni e aspettative, in relazione alle risorse utilizzate.

Dalla lettura della norma quindi, possiamo rafforzare la convinzione già espressa che l’innovazione non può limitarsi soltanto ad avere idee brillanti ma essa dovrebbe contribuire nelle organizzazioni a creare:

  • valore e aiutarle ad adattarsi ed evolversi continuamente;
  • successo in modo progressivo, aumentandone la capacità di adattamento in un mondo che cambia;
  • migliori modalità di lavoro, nonché nuove soluzioni per generare guadagni e migliorare la sostenibilità.

L’innovazione inoltre è strettamente legata alla resilienza di un’organizzazione, in quanto aiuta a comprendere e rispondere a contesti sfidanti, a cogliere le opportunità che potrebbero apportare e sfruttare la creatività sia dei propri lavoratori che dei partner.

In definitiva, grandi idee e nuove invenzioni sono spesso il risultato di una lunga serie di piccoli pensieri e cambiamenti, tutti catturati e indirizzati nel modo più efficace.

Uno dei modi più efficienti per farlo è appunto attraverso l’implementazione di un sistema di gestione dell’innovazione.

Così come avviene per molte altre norme della famiglia ISO, anche per la 56000 il sistema di gestione dell’innovazione fornisce un approccio sistemico per integrare l’innovazione in tutti gli strati delle organizzazioni al fine di cogliere e creare opportunità per lo sviluppo di nuove soluzioni, sistemi, prodotti e servizi.

Secondo Alice de Casanove, Presidente del comitato tecnico che ha sviluppato lo standard, la ISO 56002 aiuterà le organizzazioni di qualsiasi dimensione e settore produttivo ad aumentare le opportunità di business e le loro prestazioni in diversi modi: Ogni organizzazione che vuole dominare il proprio futuro deve incorporare alcuni aspetti della gestione dell’innovazione. Cioè, [le organizzazioni] devono evolversi e adattarsi per stare al passo con le tendenze del mercato e della società. La sfida è identificare ciò che darà loro il vantaggio competitivo e creare valore per il futuro, e quindi quali azioni strategiche intraprendere.

Fornendo una guida su come cogliere al meglio le proprie idee, testarle in modo efficace e gestire i rischi e le opportunità associate, la ISO 56002 può aiutare le organizzazioni a creare nuove proposte di valore e massimizzare il loro potenziale in modo strutturato.

La norma può anche aiutare a instillare una cultura dell’innovazione in una organizzazione, sfruttando così la creatività e la motivazione di ogni membro della stessa e, in definitiva, migliorando la collaborazione, la comunicazione e le prestazioni dell’azienda.

La capacità di innovare di un’organizzazione è quindi riconosciuta come un fattore chiave per la crescita duratura, la redditività economica, l’aumento del benessere e lo sviluppo della società. Essa include inoltre, la capacità di comprendere e rispondere alle mutevoli condizioni del suo contesto, di perseguire nuove opportunità e di sfruttare la conoscenza e la creatività delle persone all’interno dell’organizzazione e in collaborazione con le parti interessate esterne. Un’organizzazione può innovare in modo più efficace ed efficiente se tutte le attività necessarie e gli altri elementi interconnessi o interagenti, sono gestiti come un sistema di gestione dell’innovazione, in grado di fornire una struttura e un vocabolario comuni per sviluppare e implementare capacità di innovazione, valutare le prestazioni e ottenere i risultati previsti.

Per raggiungere l’effettiva implementazione del sistema di gestione dell’innovazione è fondamentale il commitment del top management ed il forte impegno dei leader nel promuovere una cultura a sostegno delle attività di innovazione.

Infine, una corretta implementazione di un sistema di gestione dell’innovazione in conformità con la ISO 56002 può portare molti benefici, tra cui annoveriamo:

  • maggiore capacità di gestire l’incertezza;
  • aumento della crescita, ricavi, redditività e competitività;
  • riduzione dei costi e degli sprechi e aumento della produttività e dell’efficienza delle risorse;
  • miglioramento della sostenibilità e della resilienza;
  • aumento della soddisfazione di utenti, clienti, cittadini e altri stakeholder;
  • rinnovo sostenuto del portafoglio di offerte;
  • persone impegnate e autorizzate nell’organizzazione;
  • maggiore capacità di attrarre partner, collaboratori e finanziamenti;
  • maggiore reputazione e valutazione dell’organizzazione;
  • facilitazione del rispetto delle normative e di altri requisiti pertinenti.

di Giovanni Lamberti Research & Innovation @ Dedalo GRC advisory

Covid-19 e Privacy

Negli ultimi mesi, tutti i governi del mondo hanno dovuto affrontare un’emergenza sanitaria globale, che ha richiesto sacrifici e mobilitazioni senza precedenti in tempo di pace. Come in altri Paesi, ai cittadini in Italia è stato richiesto di rinunciare ad alcuni diritti e libertà da sempre dati per certi, ma che hanno assunto un nuovo significato in questi tempi di crisi.

Un ambito in particolare ha attirato l’attenzione di cittadini e aziende: la protezione dei personali durante una pandemia. Secondo molti, questo sarà il vero banco di prova della nuova normativa privacy Europea, il General Data Protection Regulation o GDPR, e in molti attendono di capire come l’emergenza ne determinerà gli sviluppi futuri.

In Italia, il Garante per la Protezione dei Dati Personali ha assunto un ruolo centrale nella gestione dell’emergenza. Questa Autorità ha infatti partecipato attivamente alla revisione delle disposizioni di emergenza emanate dal Governo ed ha fornito chiarimenti essenziali utili all’implementazione di alcune misure adottate in emergenza, come la didattica a distanza o la ricetta medica elettronica. Il Garante ha inoltre fornito linee guida necessarie a tutti i cittadini circa la protezione dei dati personali nel corso dell’emergenza sanitaria, creando una sezione dedicata di “Frequently Asked Questions” (FAQ) sul proprio sito web.

Il dibattito nazionale nel corso dell’emergenza ha mostrato come il GDPR abbia sensibilizzato l’opinione pubblica circa la protezione dei dati personali. Sui giornali e i social media, ad esempio, si è ampiamente discusso sulle potenziali minacce legate alla diffusione delle App per il tracciamento dei contatti.

Immuni, lanciata dal Governo stesso, ha naturalmente catturato gran parte dell’attenzione, ma una semplice ricerca su Google mostra quanto queste App siano numerose e variegate. Lo scetticismo emerso intorno a questi nuovi strumenti è stato in qualche modo alimentato anche dalla carenza di evidenze concrete circa i benefici ottenuti dal loro utilizzo nel corso dell’emergenza. Secondo un’analisi della rivista Bloomberg infatti, il tracciamento dei contatti tramite App non ha finora portato benefici tangibili nella prevenzione e gestione dell’emergenza sanitaria in nessun paese, con l’unica eccezione della Cina, dove però sono state introdotte misure che sarebbero considerate inaccettabili altrove.

Oltre agli aspetti etici, ci sono infine aspetti tecnologici che pongono seri dubbi circa l’affidabilità dei dati raccolti tramite smartphone e tecnologia Bluetooth, probabilmente questo il punto debole del sistema di tracciamento, vista la poca accuratezza nel calcolo delle distanze tra dispositivi.

Paradossalmente, invece, per le aziende operanti in Italia, le grandi sfide privacy sono arrivate proprio in questi giorni, con la progressiva riapertura e la ripresa delle attività economiche. Molti dei nostri clienti si sono infatti dovuti confrontare con esigenze contrastanti: assicurare la sicurezza fisica sul luogo di lavoro, seppur garantendo misure adeguate alla protezione dei dati personali dei propri dipendenti, clienti o partner. Nella nostra esperienza, è stato ad esempio difficile fornire un parere sul ventaglio di nuovi prodotti e soluzioni software sulla sicurezza: dagli strumenti per il controllo degli accessi in ufficio tramite riconoscimento facciale e misurazione della temperatura (“contactless”), alle App che permettono al datore di lavoro di tracciare i movimenti all’interno degli spazi lavorativi e che talvolta prevedono test di autovalutazione giornalieri sulle condizioni di salute dei dipendenti.

Come scriveva Albert Einstein, senza crisi non ci sono sfide. Questa emergenza sanitaria rappresenta senza dubbio una sfida importante per le autorità di controllo e i governi in tutta Europa, che nei prossimi mesi avranno l’arduo compito di gestire una crisi senza precedenti e allo stesso tempo garantire i diritti e le libertà dei propri cittadini. Nel nostro piccolo, siamo in prima fila per offrire ai nostri clienti aggiornamenti costanti e competenze specifiche per districarci in questa nuova realtà.

di Licia Nicoletti Senior Consultant – IT & Security Governance, Risk Management e Compliance @ Dedalo GRC Advisory

Pandemia da Covid-19: la nuova frontiera dello Smart Working

Il Decreto del Presidente del Consiglio dei Ministri emanato il 1° marzo 2020 ha introdotto una serie di misure per il contenimento della diffusione della malattia respiratoria “Covid-19” causata dal nuovo  Coronavirus, imponendo forti restrizioni alla circolazione dei cittadini e alle attività lavorative. Il Decreto ha altresì esteso le modalità di lavoro agile a tutto il territorio nazionale, anche in assenza di accordi individuali precedentemente concordati.

Come confermato anche nel successivo Decreto dell’11 marzo 2020, le modalità di lavoro agile sono state estese ad interi settori della nostra economia, compresa la pubblica amministrazione.

Il lavoro agile (o “smart working”), già disciplinato nel diritto italiano nel 2017 (Legge 22 maggio 2017, n. 81), e il “telelavoro” sono dunque diventati realtà per milioni di Italiani.

Secondo uno studio del Politecnico di Milano, in Italia, le grandi e medie aziende che nel 2019 avevano già introdotto forme di lavoro agile erano circa il 60%, ma questo numero appariva significativamente ridotto nelle piccole e medie realtà. Il Coronavirus, insomma, ha colto la gran parte delle aziende italiane impreparate. Se da molti punti di vista, tale cambiamento repentino ha portato risvolti positivi per la nostra economia, permettendo ad esempio a moltissime persone di continuare a lavorare nonostante l’emergenza, secondo gli esperti, i veri benefici ci attendono nel medio e lungo periodo sottoforma di incrementi di produttività, risparmio dei costi e riduzione delle emissioni di CO2 nelle grandi città.

Altri studi inoltre, fanno luce su cambiamenti anche più profondi che tale modalità di lavoro porterà nel nostro Paese, come ad esempio il passaggio ad una gestione del lavoro basata su obiettivi, la promozioni di maggiore autonomia da parte del dipendente e l’instaurazione di relazioni lavorative basate sulla fiducia.

Su un aspetto tutti gli esperti concordano: nonostante l’enorme “esperimento” nazionale di smart working e telelavoro non sia iniziato con i migliori presupposti, questo ha modificato permanentemente la nostra cultura del lavoro e tali novità rimarranno nella nostra quotidianità anche nel post-emergenza.

Dal punto di vista della sicurezza informatica, l’introduzione repentina e massiccia di varie forme di lavoro a distanza ha portato ad una vera e propria “rivoluzione”. In poche settimane le aziende e le pubbliche amministrazioni del nostro Paese hanno dovuto affrontare cambiamenti tecnologici ed organizzativi, che nella normalità avrebbero richiesto anni di progettazione e sviluppo.

In questo articolo abbiamo provato a raccogliere le principali sfide affrontate dai nostri clienti e partner per assicurare la continuità dei propri servizi nonché dei relativi processi critici. L’obiettivo è quello di far luce sulle sfide di oggi, per aiutare aziende e privati a navigare in questo nuovo mare.

I principali ostacoli rilevati dalla nostra ricognizione sono relativi alla connettività dei sistemi, che ora più che mai è sottoposta a carichi di una portata senza precedenti. Centinaia di migliaia di dipendenti e collaboratori si collegano infatti a reti private aziendali (Virtual Private Network), accedendo da dispositivi anche personali e spesso non dotati di adeguate misure di protezione. Pertanto ci si è focalizzati sul fenomeno “BYOD”, dall’inglese Bring Your Own Device, che elimina in modo irrimediabile la distinzione tra “sistemi aziendali” e quelli privati. Questi servizi, ampiamente esaminati negli anni passati, permettono di affrontare nuove sfide importanti non solo nell’ambito della sicurezza delle informazioni, ma anche nell’erogazione dei servizi IT stessi. Alcuni clienti sprovvisti di strumenti per l’assistenza ed il supporto da remoto, ad esempio, hanno coinvolto Dedalo nella selezione delle soluzioni ritenute più affidabili, attività che spesso richiede un minuzioso bilanciamento tra sicurezza, facilità nell’utilizzo e costi di implementazione.

È naturale come in un momento di emergenza, nella definizione delle pratiche di smart working e telelavoro, molte aziende abbiano dovuto trovare un compromesso tra sicurezza delle informazioni e necessità operative di business. Con la riapertura della cosiddetta “Fase 2”, tuttavia, riteniamo essenziale riportare la sicurezza IT in primo piano. Secondo molti esperti del settore, la priorità per le aziende dovrà essere quella di rafforzare le misure di sicurezza utilizzate per mitigare i rischi connessi alla connettività, irrobustendo il processo di patch management e disegnando misure di sicurezza più restrittive per le VPN aziendali. Altre fonti autorevoli, come ad esempio il National Institute of Standards and Technology statunitense, sottolinea invece l’importanza del processo di gestione degli accessi logici, per il quale si ritiene necessario implementare modalità di autenticazione più robuste e garantire un adeguata gestione dei privilegi di accesso secondo i profili di rischio associati.

La nostra esperienza in queste settimane ha inoltre confermato ancora una volta come la formazione degli utenti sia essenziale per la sicurezza delle informazioni. È noto, ad esempio, come i tentativi di phishing siano nettamente aumentati nel corso dell’emergenza sanitaria, che ha permesso ai cyber criminali di utilizzare il tema del COVID-19 per convincere milioni di utenti a fornire informazioni e/o credenziali (Google ha recentemente dichiarato di bloccare circa 18 milioni di email di questo genere al giorno). Ogni utente del sistema informativo aziendale ha un ruolo fondamentale nel processo di tutela delle informazioni, un suo comportamento inappropriato può invalidare la solidità di qualsiasi barriera IT al Cyber Crime, per questo sensibilizzare la consapevolezza dei dipendenti è un fattore strategico per salvaguardare il business e il patrimonio informativo aziendale. Per questo scopo, e in linea con le indicazioni del governo sul distanziamento sociale, abbiamo guidano i nostri clienti nella selezione e valutazione delle soluzioni di e-learning più adeguate, sviluppando con loro il piano e i contenuti della necessaria formazione.

Così come per l’emergenza sanitaria attualmente in corso, anche la gestione sicura dei nuovi strumenti, infrastrutture e processi per lo smart working e il telelavoro richiederà un approccio coeso e coordinato tra tutti gli attori coinvolti. La sicurezza, si sa, è una catena.

di Licia Nicoletti Senior Consultant – IT & Security Governance, Risk Management e Compliance @ Dedalo GRC Advisory

ENISA pubblica un Tool per la mappatura delle (inter) dipendenze tra “OSE” e “FSD” rispetto agli Standard internazionali di Cybersecurity

Obiettivo e contesto

La direttiva del NIS (Network and Information Security), entrata in vigore nel 2016, rappresenta la prima normativa europea in materia di sicurezza informatica. La direttiva è stata creata con l’obiettivo di rafforzare il livello generale di sicurezza informatica nell’Unione europea attraverso il miglioramento delle competenze di Cybersecurity negli Stati membri, il rafforzamento della cooperazione in materia di Cybersecurity tra gli Stati membri e richiedendo agli operatori dei servizi essenziali (OSE) ed ai fornitori di servizi digitali (FSD) di gestire i loro rischi. In relazione a questi ultimi, un elemento importante del processo di valutazione del rischio è quello relativo alle dipendenze e interdipendenze dei servizi offerti dagli OSE e dai FSD. Queste dipendenze potrebbero essere di natura nazionale o transnazionale.
Tale contesto rivela una serie di (inter)dipendenze emergenti tra OSE e FSD, sia a livello di sistemi che di servizi. Vi è un numero crescente di incidenti di Cybersecurity che, a causa di queste interdipendenze, si sono propagati tra le organizzazioni, spesso oltre i confini, o hanno avuto un effetto a cascata a livello dei servizi essenziali. Su tale ambito, L’Agenzia Europea per la Cybersecurity (ENISA) ha emanato un Report denominato “Good practices on interdependencies between OSE and DSPs to international information security standards”, all’interno del quale vengono analizzate le dipendenze e le interdipendenze tra OSE e FSD, identificando i principali indicatori per valutarle. Tali indicatori sono ricondotti ai più noti Framework internazionali di sicurezza informatica quali ISO IEC 27002, COBIT5, NIS Cooperation Group Security Measures e NIST Cybersecurity Framework.


Il report evidenzia inoltre come, a causa della digitalizzazione dei servizi, tutti i settori di maggiore rilievo abbiano aumentato il proprio livello di Cyber (inter)dipendenza da infrastrutture digitali e da fornitori di servizi digitali, suggerendo di integrare la valutazione di tali (inter)dipendenze all’interno di un più ampio processo di Risk Management, includendo le dipendenze e le interdipendenze Cross-settoriali e Cross-Border.


Sulla scia delle risultanze dell’analisi sopra citata, ENISA ha pubblicato un Tool per mappare gli Standard internazionali di sicurezza informatica a specifici indicatori di interdipendenza tra gli OSE (operatori di servizi essenziali) ed i FSD (fornitori di servizi digitali), che presenta al suo interno la mappatura degli indicatori mostrati all’interno del Report “Good practices on interdependencies between OES and DSPs to international information security standards”.


Il seguente modello è stato utilizzato per identificare e analizzare le interdipendenze con la finalità di definire degli indicatori utili:

Le principali raccomandazioni indicate da ENISA per affrontare efficacemente le interdipendenze nelle loro valutazioni del rischio, tra cui:

  • OSE e FSD dovrebbero condurre indagini empiriche per raccogliere i dati necessari a svolgere la valutazione;
  • OSE, FSD e le autorità competenti dovrebbero sviluppare e integrare metodologie e strumenti ad-hoc;
  • Gli OSE e i FSD dovrebbero sviluppare le competenze attraverso la consapevolezza e la formazione;
  • Le autorità competenti dovrebbero adoperarsi per sviluppare una tassonomia comune della valutazione dell’impatto degli incidenti;
  • OSE e FSD dovrebbero indirizzare le interdipendenze ed i relativi rischi attraverso processi ed approcci operativi;
  • Le autorità competenti dovrebbero facilitare la condivisione delle informazioni.

Il Tool
Il Tool, accessibile online dal sito ufficiale dell’ENISA (https://www.enisa.europa.eu/topics/nis-directive/Interdependencies_OES_and_DSPs), intende contribuire al raggiungimento di un comune e convergente livello di sicurezza nelle reti e nei sistemi informatici a livello europeo, così come previsto dall’Art. 3 della Direttiva NIS, e non sostituisce gli standard esistenti, né i Framework internazionali o le Best Practice utilizzate dagli Operatori di Servizi Essenziali.
Durante lo sviluppo del Tool, i ricercatori hanno identificato 17 indicatori di interdipendenza (es. distribuzione geografica, numero di utenti impattati, etc.) e li hanno mappati rispetto ai controlli dei principali standard del settore:

  • Requisiti del Gruppo di Cooperazione della Direttiva NIS;
  • Standard ISO/IEC 27002 (Tecnologie Informatiche – Tecniche di sicurezza – Codice di pratica per la gestione della sicurezza delle informazioni stabilisce che la sicurezza dell’informazione è caratterizzata da integrità, riservatezza e disponibilità);
  • Framework di cybersecurity del National Institute of Standards and Technology (NIST);
  • Framework COBIT® 5 per la governance e il management dei sistemi informativi.

La risultante matrice, adattabile in base alle esigenze aziendali, risulta essere uno strumento di supporto utile e versatile per la valutazione dei potenziali impatti delle interdipendenze in termini di rischio. L’utilizzo degli standard internazionali e di Framework universalmente riconosciuti nel settore, permette di utilizzare una terminologia comune e omnicomprensiva.

di Daniele Binda Manager – IT & Security Governance, Risk Management, Compliance and Finance @ Dedalo GRC Advisory

SWIFT – Customer Security Controls Framework v2020

Ci siamo, la scadenza è alle porte!

Il programma di sicurezza per i partecipanti alla rete SWIFT (Customer Security Programme, CSP), lanciato da SWIFT nel 2016, stabilisce un insieme comune di controlli di sicurezza progettati per aiutare gli utenti a proteggersi contro i crimini informatici, rilevarli e reagire dopo essere stati colpiti.

A seguito di una serie di attacchi cibernetici e violazioni informatiche nel corso del 2016 SWIFT ha pubblicato, a marzo 2017, il Customer Security Controls Framework (CSCF V1) nell’ambito del CSP. Si tratta di un insieme di controlli che permettono di definire una baseline comune di sicurezza per tutti gli utenti SWIFT. L’implementazione dei controlli opzionali è fortemente consigliata per rafforzare ulteriormente la robustezza dell’infrastruttura locale degli utenti.

Il Customer Security Controls Framework, nella versione 2020, si rinnova; promuove 2 controlli da advisory a mandatory e ne introduce 2 nuovi come consigliati, per un totale di 31 controlli.
La versione 2019 del framework ne includeva 19 obbligatori e 10 consigliati.

La vera novità?
Dal luglio di questo anno, il self-assessment effettuato dai clienti entro il 31 dicembre di ogni anno rispetto ai suddetti controlli, non sarà più sufficiente.

Sarà infatti necessario un assessment indipendente, interno o esterno, a sostegno dell’autocertificazione annuale, che dimostri l’effettiva implementazione del controllo richiesto con evidenze a supporto.

Come Dedalo può essere di supporto?
Assessment and Gap Analysis
Mappatura e valutazione dei processi e dei controlli di sicurezza implementati dall’organizzazione rispetto alle linee guida del Customer Security Programme.
Security Testing
Vunerability Assessment e Penetration Test delle principali componenti dell’infrastruttura SWIFT in perimetro al Customer Security Controls Framework.
Remediation Plan
Supporto nel disegno e nell’implementazione dei presidi tecnico/organizzativi necessari a colmare i gap individuati in termini di tecnologie e/o di processo.
Attestation and Assurance
Attestazione della conformità ai controlli CSP anche tramite standard di assurance riconosciuti a livello internazionale come L’ISAE 3000.

Cyber Security: approvato il disegno di legge

Il disegno di legge prevede, tra l’altro:
•la definizione delle finalità del perimetro e delle modalità di individuazione dei soggetti pubblici e privati che ne fanno parte, nonché delle rispettive reti, dei sistemi informativi e dei servizi informatici rilevanti per le finalità di sicurezza nazionale cibernetica per i quali si applicano le misure di sicurezza e le procedure introdotte;
•l’istituzione di un meccanismo teso ad assicurare un procurement più sicuro per i soggetti inclusi nel perimetro che intendano procedere all’affidamento di forniture di beni e servizi ICT destinati a essere impiegati sulle reti, sui sistemi e per i servizi rilevanti;
•l’individuazione delle competenze del Ministero dello sviluppo economico – per i soggetti privati inclusi nel perimetro – e dell’Agenzia per l’Italia Digitale (AgID) – per le amministrazioni pubbliche;
•l’istituzione di un sistema di vigilanza e controllo sul rispetto degli obblighi introdotti;
•lo svolgimento delle attività di ispezione e verifica da parte delle strutture specializzate in tema di protezione di reti e sistemi nonché, per quanto riguarda la prevenzione e il contrasto del crimine informatico, delle Amministrazioni da cui dipendono le Forze di polizia e le Forze armate, che ne comunicano gli esiti.