Seleziona una pagina

Information Security Assurance & Compliance per il controllo del rischio tecnico e normativo

Servizi di Information Security Assurance & Compliance per l’analisi e il miglioramento della postura di sicurezza delle aziende e il supporto al raggiungimento degli opportuni livelli di compliance rispetto a standard e norme cogenti

di Pietro De Angelis

pubblicato il 28/10/2021

#Cyber Security #Digitalizzazione della P.A. #Industria 4.0 #Digital solutions #Enti Centrali #netgroup

Tempo di lettura: 5 minuti

Analisi dei processi e dei controlli IT

assicurare l’adeguatezza dei sistemi IT e la conformità alle normative vigenti

Start

Rispondere all’esigenza di un sistema organizzato di processi di gestione e un insieme definito e convalidato di misure di sicurezza

Data breach e attacchi ransomware sono divenuti ormai un evento costante nelle cronache. La ampia eco che ne viene data anche su media generalistici aggiunge al danno economico un evidente danno di immagine. Non è infrequente, poi, specie nei settori soggetti a regolamentazione specifica e comunque in tutti i casi dove si trattino dati personali, incorrere in sanzioni amministrative particolarmente ingenti. Si potrebbe pensare che le tipiche vittime di simili incidenti siano esclusivamente le piccole e medie imprese, nelle quali usualmente manca una cultura della sicurezza e il budget da destinare a servizi e soluzioni di IT security è spesso esiguo o assente.

 Invero, l’ultima ricerca del Ponemon Institute dipinge una realtà alquanto differente dove, fra le vittime di violazioni informatiche, le PMI rappresentano una percentuale minoritaria (poco più del 40%) rispetto ad enti pubblici e grandi imprese, alle quali non difettano le risorse economiche da investire nella sicurezza delle informazioni. Come spiegare, dunque, questa apparente contraddizione? La motivazione è da ricercare nell’assenza di un approccio ragionato e strutturato all’adozione delle misure di sicurezza necessarie, approccio spesso sostituito dal mero acquisto di prodotti e funzionalità che di per sé non indirizzano necessariamente i rischi a più alta priorità, ammesso che a monte vi sia effettivamente un processo di analisi e gestione dei rischi. 

Manca, insomma, un sistema organizzato di processi di gestione e manca un insieme definito e convalidato di misure di sicurezza, dette in gergo ‘controlli’. In quelle grandi aziende dove le pratiche di IT-GRC (IT Governance, Risk and Compliance) e di ISM (Information Security Management) rasentano punte di eccellenza, usualmente il sistema di gestione della sicurezza delle informazioni e il relativo set di controlli è definito “su misura” rispetto alla natura delle attività aziendali e ai rischi specifici che l’organizzazione si trova ad affrontare, dando luogo a un control framework proprietario in grado di operare con particolare efficienza ed efficacia. 

Tutte quelle aziende che, invece, non possono contare su pratiche interne ben consolidate e su funzioni organizzative appositamente strutturate possono comunque fare affidamento su standard e buone pratiche di pubblico dominio, adottando control framework più o meno prescrittivi, a seconda della reale capacità organizzativa e della disponibilità di risorse necessarie a sviluppare un set ad-hoc di controlli sulla scorta degli obiettivi di controllo preventivamente identificati.

Questions

Attività di assurance 

Netgroup supporta i suoi clienti nell’adozione e nella verifica periodica degli standard, dei framework e delle buone pratiche più diffuse, sia nazionali sia internazionali, tramite un servizio di Information Security Assurance & Compliance. È importante sottolineare come questo servizio non si limiti all’esecuzione degli audit sui controlli tecnici e amministrativi col solo fine di verificarne l’operatività o la conformità, secondo un limitante approccio di tipo ‘bottom-up’: il servizio offerto da Netgroup si sostanzia primariamente in un’attività di assurance rispetto ai processi e ai controlli già attuati o in fase di disegno. 

Seguendo un approccio olistico di tipo ‘top-down’ che tiene conto di fattori peculiari quali la mission d’impresa, i suoi principi e i suoi valori, gli obiettivi strategici a medio e lungo termine, il particolare contesto normativo e di mercato, la sua struttura organizzativa o il livello di maturità dei processi di gestione, il servizio erogato da Netgroup mira a individuare tutti i rischi intrinseci, sistemici e contingenti che insistono sull’organizzazione, così da poter valutare non soltanto la corretta implementazione del singolo controllo ma la sua reale adeguatezza rispetto ai rischi effettivi e specifici della realtà in esame. Tale analisi viene effettuata sia sui controlli prescritti da norme cogenti, al fine di valutarne la corretta implementazione e la 

reale efficacia, sia sui controlli ad-hoc definiti sulla scorta di più ampi obiettivi di controllo, per esaminarne il disegno e valutare ogni possibile margine di miglioramento. Il servizio prevede alfine un rapporto, in forma sintetica e di dettaglio, contenente indicazioni sull’attuale livello di conformità rispetto al quadro di riferimento (policy interne, leggi e regolamenti applicabili, standard e control-framework adottati, ecc.), nonché raccomandazioni volte a migliorare l’efficacia e l’efficienza dei processi e dei controlli in esame, la loro effettiva rispondenza all’appetito per il rischio dell’organizzazione e, soprattutto, la loro adeguatezza nell’indirizzare i rischi preventivamente identificati.

Answers

Team multidisciplinare di professionisti specializzati

Ricorrendo a personale dotato di esperienza decennale e munito di certificazioni professionali strettamente in ambito, Netgroup è in grado di guidare i propri clienti nell’adozione e nella verifica dei principali standard, control framework e regolamenti, includendo ma non limitandosi ai seguenti:

Control framework AgID ABSC

Nel 2016 l’Agenzia per l’Italia Digitale (AGiD) ha rilasciato il control framework denominato ABSC – AgID Basic Security Controls, orientato alla prevenzione degli incidenti di sicurezza informatica e basato sull’insieme di controlli noto come CIS – Critical Security Controls for Effective Cyber Defense. Il control framework ABSC si articola su tre livelli di sicurezza (Minimo, Standard, Alto), corrispondenti a tre differenti subset di controlli ove il livello superiore include sempre il livello inferiore, così da favorire l’adozione graduale dell’intero set di controlli, laddove ciò sia richiesto. Benché il control framework AgiD ABSC, denominato anche “Misure minime di sicurezza ICT per le pubbliche amministrazioni”, sia formalmente indirizzato alle P.A. e a tutte le società a controllo statale, la sua adozione è raccomandabile anche alle imprese private che forniscono servizi in outsourcing alla P.A. e a tutti quei soggetti, come PMI ed Enti No-profit, alla ricerca di un control framework caratterizzato da flessibilità e immediatezza d’adozione.

Control framework CSA CCM

La CSA Cloud Controls Matrix (CCM) rappresenta un control framework sviluppato appositamente per garantire la sicurezza in ambito cloud computing. Composta da 197 obiettivi di controllo e strutturata in 17 domini a copertura di tutti gli aspetti chiave della tecnologia cloud, la CCM può essere impiegata come strumento per la valutazione misurata e ripetibile del livello di sicurezza di una soluzione cloud; essa fornisce inoltre una guida su quali controlli di sicurezza dovrebbero essere implementati da ciascun attore all’interno della catena di fornitura dei servizi di cloud computing. Il framework CSA CCM è indicato per tutti soggetti, pubblici o privati, che intendano migrare i propri sistemi informativi in cloud o che già usufruiscano di servizi cloud di terze parti per applicazioni mission-critical e/o soggette a requisiti normativi specifici in termini di sicurezza e continuità operativa. La Cloud Controls Matrix CSA è inoltre impiegata nel processo di qualificazione per l’ingresso nel catalogo servizi IaaS, PaaS e SaaS sul Cloud Marketplace AgID.

Control framework CINI-DIS FNCSDP

Il Framework Nazionale per la Cybersecurity e la Data Protection si ispira fortemente al Framework for Improving Critical Infrastructure Cybersecurity del NIST. Nell’ambito del FNCSDP, il Framework Core rappresenta l’intelaiatura principale su cui si sviluppa l’intero processo di Information Security Assurance, a sua volta condotto in accordo alle linee guida contenute nel framework generale. Il Framework Core è strutturato gerarchicamente in Function, Category e Subcategory: per ciascuna di esse, il framework definisce le rispettive attività abilitanti (Enabler), quali processi e tecnologie, da implementare compiutamente per poter gestire correttamente la singola Function. Le diverse Subcategory hanno l’obiettivo di indirizzare in modo esaustivo tutte le possibili esigenze di sicurezza di una particolare organizzazione, in accordo alle proprie specificità. Sebbene il FNCSDP nasca principalmente per supportare i gestori delle infrastrutture critiche, platea poi ampliata alle entità interessate dalla Direttiva UE 2016/1148 (Direttiva NIS) e successivamente ai soggetti rientranti nel Perimetro di Sicurezza Nazionale Cibernetica, la sua adozione è consigliabile per tutte quelle imprese caratterizzate da un livello di complessità medio/alto o per le quali la sicurezza delle informazioni riveste, di fatto o ex-lege, un ruolo centrale.

Standard serie ISO/IEC 27000

La serie di standard ISO/IEC 27000 raggruppa un insieme di norme internazionali aventi lo scopo di guidare le organizzazioni nella protezione del proprio patrimonio informativo rispetto a una varietà di rischi, inclusi attacchi informatici, errori umani e calamità naturali. Al cuore di questa serie di standard vi è la norma ISO/IEC 27001 – Information security management systems – Requirements, volta a definire i requisiti per lo sviluppo e l’implementazione di un sistema per la gestione della sicurezza delle informazioni (ISMS/SGSI). Se i processi di gestione sono definiti dalla norma ISO/IEC 27001, è nella successiva norma ISO/IEC 27002 – Code of practice for information security controls che si trovano le linee guida per l’applicazione del set di controlli raccomandato (114 controlli), ripartito in 35 obiettivi di controllo e 14 aree di controllo. I controlli generali illustrati nello standard ISO/IEC 27002 possono essere integrati con i controlli “tematici” definiti nella norma ISO/IEC 27017 – Code of practice for information security controls based on ISO/IEC 27002 for cloud services, così da ottenere un set esteso di controlli a protezione delle informazioni mantenute o elaborate in ambienti di cloud computing. Benché non si tratti di norme cogenti, gli standard della famiglia ISO/IEC 27000 – e la norma ISO/27001 in particolare –  sono divenuti ormai un requisito abilitante per le forniture dirette alle pubbliche amministrazioni e alle grandi imprese. Il servizio di Security Assurance & Compliance offerto da Netgroup interviene sia nella valutazione del funzionamento del sistema di gestione e dei relativi processi a supporto, sia nella verifica della corretta implementazione del previsto set di controlli.

Regolamento UE 2016/679 (GDPR)

Il Regolamento UE 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, detto anche Regolamento Generale sulla Protezione dei Dati (GDPR/RGPD) è entrato in vigore il 4 maggio 2016 ed è divenuto pienamente applicabile a partire dal 25 maggio 2018. Oggetto del GDPR è il trattamento dei dati personali dei cittadini dell’Unione europea e di qualsiasi altra persona fisica residente nell’UE; il suo ambito di applicazione si estende a tutti i soggetti fisici e giuridici stabiliti nei paesi dell’area economica europea (EEA) e a tutti i soggetti extra-UE che, a qualsiasi titolo, trattino dati personali di cittadini UE o residenti nell’UE. La conformità al Regolamento UE 2016/679 pone nuove sfide dettate dall’introduzione o dal rafforzamento di alcuni principi cardine, fra cui il principio dell’Accountability, il principio della Data protection by design and by default, l’esercizio della Data protection impact assessment (DPIA), l’adozione di misure di sicurezza tecniche e organizzative basate sul rischio (Security of processing), o la comunicazione tempestiva delle violazioni (Data breach notification). Di particolare rilievo risulta il quadro edittale, con sanzioni amministrative ingenti (sino a 20.000.000 di € o sino al 4% del fatturato globale, se superiore) e violazioni inquadrabili come fattispecie di reato. Il servizio di Security Assurance & Compliance offerto da Netgroup interviene sia nella valutazione generale delle attività di trattamento dati, sia nell’esame dei metodi e dei processi volti a indirizzare i summenzionati principi cardine, sia nell’analisi dei controlli tecnici e organizzativi attuati a garanzia della sicurezza dei dati trattati.

ATTIVITÀ DI ASSURANCE

Analisi approfondita dell’efficacia, dell’efficienza e della idoneità dei controlli tecnici e amministrativi implementati o in fase di disegno, senza limitarsi alla tipica verifica di conformità formale basata su check-list.

APPROCCIO TOP-DOWN

Attività di assurance condotta considerando in primis la natura dell’organizzazione e il contesto in cui opera, per fornire raccomandazioni basate sugli obiettivi di business e non sulle mere funzionalità tecnologiche. 

VALUTAZIONE RISK-BASED

Le valutazioni e le raccomandazioni prodotte sono basate sull’analisi dei rischi effettivi e specifici dell’organizzazione in esame, con un focus sui rischi che condizionano il raggiungimento degli obiettivi d’impresa.

COMPETENZE CERTIFICATE

La conduzione delle attività di assurance sono affidate a figure senior in possesso di certificazioni professionali in ambito, rilasciate dai primari enti certificatori (ISACA, IAPP, CSA, PECB, EXIN/APM Group, ecc.)

Outcomes

Più sicurezza ed efficienza nella gestione delle informazioni della tua realtà

I driver per l’adozione di un servizio di Information Security Assurance & Compliance sono identificabili in:

Supporto alla conformità normativa

sia per quanto concerne le norme cogenti (ABSC, GDPR), sia per quanto riguarda gli standard volontari.

Miglioramento
della postura di sicurezza

finalizzato a tutelare l’impresa da danni economici e d’immagine, nonché a garantire la continuità operativa.

Razionalizzazione dei processi e dei controlli

afferenti la gestione della sicurezza delle informazioni e della continuità operativa in ambito IT.

Conseguimento o mantenimento dei requisiti

di sicurezza e conformità normativa richiesti per poter operare in determinati settori economici.