Analisi dei processi e dei controlli IT

La CSA Cloud Controls Matrix (CCM) rappresenta un control framework sviluppato appositamente per garantire la sicurezza in ambito cloud computing. Composta da 197 obiettivi di controllo e strutturata in 17 domini a copertura di tutti gli aspetti chiave della tecnologia cloud, la CCM può essere impiegata come strumento per la valutazione misurata e ripetibile del livello di sicurezza di una soluzione cloud; essa fornisce inoltre una guida su quali controlli di sicurezza dovrebbero essere implementati da ciascun attore all’interno della catena di fornitura dei servizi di cloud computing. Il framework CSA CCM è indicato per tutti soggetti, pubblici o privati, che intendano migrare i propri sistemi informativi in cloud o che già usufruiscano di servizi cloud di terze parti per applicazioni mission-critical e/o soggette a requisiti normativi specifici in termini di sicurezza e continuità operativa. La Cloud Controls Matrix CSA è inoltre impiegata nel processo di qualificazione per l’ingresso nel catalogo servizi IaaS, PaaS e SaaS sul Cloud Marketplace AgID.

Il Framework Nazionale per la Cybersecurity e la Data Protection si ispira fortemente al Framework for Improving Critical Infrastructure Cybersecurity del NIST. Nell’ambito del FNCSDP, il Framework Core rappresenta l’intelaiatura principale su cui si sviluppa l’intero processo di Information Security Assurance, a sua volta condotto in accordo alle linee guida contenute nel framework generale. Il Framework Core è strutturato gerarchicamente in Function, Category e Subcategory: per ciascuna di esse, il framework definisce le rispettive attività abilitanti (Enabler), quali processi e tecnologie, da implementare compiutamente per poter gestire correttamente la singola Function. Le diverse Subcategory hanno l’obiettivo di indirizzare in modo esaustivo tutte le possibili esigenze di sicurezza di una particolare organizzazione, in accordo alle proprie specificità. Sebbene il FNCSDP nasca principalmente per supportare i gestori delle infrastrutture critiche, platea poi ampliata alle entità interessate dalla Direttiva UE 2016/1148 (Direttiva NIS) e successivamente ai soggetti rientranti nel Perimetro di Sicurezza Nazionale Cibernetica, la sua adozione è consigliabile per tutte quelle imprese caratterizzate da un livello di complessità medio/alto o per le quali la sicurezza delle informazioni riveste, di fatto o ex-lege, un ruolo centrale.

Il Regolamento UE 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, detto anche Regolamento Generale sulla Protezione dei Dati (GDPR/RGPD) è entrato in vigore il 4 maggio 2016 ed è divenuto pienamente applicabile a partire dal 25 maggio 2018. Oggetto del GDPR è il trattamento dei dati personali dei cittadini dell’Unione europea e di qualsiasi altra persona fisica residente nell’UE; il suo ambito di applicazione si estende a tutti i soggetti fisici e giuridici stabiliti nei paesi dell’area economica europea (EEA) e a tutti i soggetti extra-UE che, a qualsiasi titolo, trattino dati personali di cittadini UE o residenti nell’UE. La conformità al Regolamento UE 2016/679 pone nuove sfide dettate dall’introduzione o dal rafforzamento di alcuni principi cardine, fra cui il principio dell’Accountability, il principio della Data protection by design and by default, l’esercizio della Data protection impact assessment (DPIA), l’adozione di misure di sicurezza tecniche e organizzative basate sul rischio (Security of processing), o la comunicazione tempestiva delle violazioni (Data breach notification). Di particolare rilievo risulta il quadro edittale, con sanzioni amministrative ingenti (sino a 20.000.000 di € o sino al 4% del fatturato globale, se superiore) e violazioni inquadrabili come fattispecie di reato. Il servizio di Security Assurance & Compliance offerto da Netgroup interviene sia nella valutazione generale delle attività di trattamento dati, sia nell’esame dei metodi e dei processi volti a indirizzare i summenzionati principi cardine, sia nell’analisi dei controlli tecnici e organizzativi attuati a garanzia della sicurezza dei dati trattati.

Attività di assurance condotta considerando in primis la natura dell’organizzazione e il contesto in cui opera, per fornire raccomandazioni basate sugli obiettivi di business e non sulle mere funzionalità tecnologiche. 

La conduzione delle attività di assurance sono affidate a figure senior in possesso di certificazioni professionali in ambito, rilasciate dai primari enti certificatori (ISACA, IAPP, CSA, PECB, EXIN/APM Group, ecc.)