Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

IL QUADRO COMPLETO

Cyber security, sicurezza delle informazioni, protezione dati: ecco come adottare misure di sicurezza integrate

Per soddisfare le normative in tema di sicurezza delle informazioni, cyber security e protezione dei dati, le organizzazioni devono investire soldi per adeguarsi ai relativi standard costantemente aggiornati con l’evolversi degli aspetti tecnologici e delle vulnerabilità informatiche. Ecco come ottimizzare le risorse pensando a misure di sicurezza integrate che possano coprire più ambiti

23 Gen 2019
G

Giovanna Garritano

LA 27001, LA 22301, ITIL Foundation - Senior cyber security e privacy advisor

P

Andrea Praitano

Cyber security e privacy advisor, Security e Data Protection Officer, Socio fondatore di UNIDPO


L’adozione del Regolamento Generale sulla Protezione dei Dati (Regolamento 679/2016 – GDPR) da parte delle organizzazioni richiede un approccio integrato alla sicurezza e alla privacy. Ma che vuol dire integrato?

Certo, devono essere implementate misure di sicurezza tecniche ed organizzative che hanno l’obiettivo di proteggere i dati personali. Questa non è, però, l’unica richiesta di questo tipo che le organizzazioni si sentono fare.

La Direttiva (UE) 2016/1148 (così detta Direttiva NIS), recepita a livello nazione dal D.lgs.65/2018, chiede degli adempimenti di sicurezza per i così detti Operatori di Servizi Essenziali (OSE) e ai Fornitori di Servizi Digitali (FSD). A questi due macro ambiti si aggiungono gli standard e le certificazioni di settore (ad esempio la PCI-DSS) che chiedono, anch’essi, degli adempimenti obbligatori di sicurezza agli operatori (nel caso della PCI-DSS per gli operatori che gestiscono dati di carta di credito). Esiste poi un altro ambito, ovvero quello degli standard volontari (ad esempio ISO/IEC 27001:2013) che richiedono, anche questi, adempimenti sull’adozione di misure di sicurezza tecniche ed organizzative.

Oltre a queste esiste il “buon senso” che dovrebbero avere le organizzazioni di andare a proteggere le loro informazioni che sono, sempre più spesso, un bene estremamente importante per esse stesse.

Un’organizzazione si trova, quindi, a dover adempiere alle normative nazionali e altri ambiti che richiedono l’adozione di misure di sicurezza. Lo scopo di questo articolo è quello di capire se e come gli standard, le Direttive ed i Regolamenti sopra citati possano essere integrati tra di loro, in modo da suggerire una linea di approccio comune adottando misure di sicurezza non “differenziate” fra i diversi ambiti ma integrate fra di loro in modo da ottimizzare le, spesso scarse, risorse dedicate alla sicurezza all’interno delle organizzazioni.

Cyber security, sicurezza delle informazioni, protezione dati, privacy: le differenze

Il primo ambito su cui si vuole ragionare è quello della protezione dei dati personali, che è di tipo generale in quanto deve essere obbligatoriamente seguita da tutte le organizzazioni che operano all’interno dell’Unione Europea o che, anche se non residenti all’interno dell’Unione, gestiscono dati personali di cittadini europei.

Nel linguaggio comune spesso protezione dei dati personali e privacy sono intesi come sinonimi, infatti il Garante della Protezione dei Dati Personali è anche chiamato Garante della Privacy. Protezione dei dati personali e privacy non sono in realtà realmente dei sinonimi, infatti se si va ad effettuare una ricerca del termine “privacy” all’interno del GDPR si noterà con sorpresa che il termine privacy non è mai utilizzato.

Per capire come andare ad approcciare in modo integrato i diversi ambiti è dunque necessario individuarne le differenze. Il modo più semplice è quello di partire dalle definizioni.

Protezione dei dati personali

L’articolo 4 del GDPR non fornisce una definizione, come fa invece per altri aspetti, di cosa intende la normativa per protezione dei dati personali. Una possibile definizione, estratta da diverse parti del GDPR, potrebbe essere la seguente:

Protezione dei dati: è quella disciplina dedita alla protezione dei dati personali (incluse le particolari categorie di dati personali – precedentemente noti anche come dati sensibili e dati giudiziari) in termini di disponibilità, autenticità, integrità, riservatezza e resilienza dei dati personali stessi conservati o trasmessi e la sicurezza dei relativi servizi offerti.

Dalla definizione sopra estrapolata dalla normativa si può evincere che il GDPR con la protezione dei dati personali mira a garantire la disponibilità, l’autenticità, l’integrità, la riservatezza e la resilienza dei dati personali degli interessati.

Privacy

Questa definizione riveste un’importanza particolare perché è un termine comunemente utilizzato. Per capire cosa si intende per privacy possiamo andare a considerare la definizione presente su Wikipedia:

Privacy: termine inglese equivalente a riservatezza o privatezza, è appunto il diritto alla riservatezza della propria vita privata.

È evidente che il termine privacy non può essere considerato un sinonimo, come spesso accade nell’uso comune, della protezione dei dati personali richiesta dalla normativa europea. Infatti, stante alla definizione di cui sopra, si può evincere che la privacy copre solo uno degli aspetti che la normativa vuole andare a proteggere, ovvero la riservatezza dell’informazione.

La definizione di protezione dei dati personali risulta essere più ampia della sola protezione della privacy in quanto riconduce ai concetti di riservatezza, integrità e disponibilità che rappresentano i concetti chiave della Sicurezza delle Informazioni.

Sicurezza delle informazioni

La sicurezza delle informazioni ha, come riferimento, la famiglia di norme ISO/IEC 27000 e, nello specifico, la ISO/IEC 27000:2018 che ne riporta le definizioni. Questo standard al punto 2.33 riporta la definizione di sicurezza delle informazioni, ovvero:

Sicurezza delle informazioni: 2.33 sicurezza delle informazioni: preservazione di riservatezza, integrità e disponibilità dell’informazione.

Una nota all’interno dello standard specifica che: in aggiunta possono essere incluse anche altre proprietà come autenticità (2.8), accountability, non-repudiation (2.54), e resilienza (2.62).

Cyber security

Sempre alla stessa famiglia di standard ISO/IEC è possibile andare a ricondurre il concetto di cyber security. La definizione obiettiva più appropriata è quella riportata nella ISO/IEC 27032:2012:

Cyber security: preservazione di riservatezza, integrità e disponibilità dell’informazione nel cyber space.

Sempre la ISO/IEC 27032:2012 riporta la definizione di “cyber space” che è “l’ambiente complesso risultante dall’interazione di persone, software e servizi su Internet svolto per il tramite di dispositivi tecnologici e reti ad esso collegati, che non esiste in alcuna forma fisica”.

La Direttiva (UE) 2016/1148 non riporta una definizione di cyber security (o cibersicurezza in italiano) ma riporta un’altra definizione di sicurezza della rete e dei sistemi informativi che risulta essere interessante.

Sicurezza della rete e dei sistemi informativi: la capacità di una rete e dei sistemi informativi di resistere, a un determinato livello di riservatezza, a ogni azione che comprometta la disponibilità, l’autenticità, l’integrità o la riservatezza dei dati conservati o trasmessi o trattati e dei relativi servizi offerti o accessibili tramite tale rete o sistemi informativi.

In entrambe le definizioni, di fatto, si chiede di andare a proteggere determinati aspetti che sono riservatezza, disponibilità, autenticità e integrità.

Considerazioni sulle affinità e differenze fra gli ambiti

Mettendo a fattor comune le definizioni di protezione dei dati personali, sicurezza delle informazioni e cybersecurity, si nota che tutte e tre hanno un nucleo in comune che riguarda la protezione della riservatezza, dell’integrità e della disponibilità (a cui si possono aggiungere anche autenticità, non-ripudio ed altri aspetti). La differenza fra i diversi ambiti non risiede quindi sul come andare a proteggere ma sul “cosa” deve essere protetto, ovvero sull’ambito in cui le norme e standard si vanno ad applicare.

La protezione dei dati personali è relativa alla protezione, per l’appunto, dei dati personali mentre la sicurezza delle informazioni e la cyber security sono relative alla protezione delle informazioni. La prima riguarda le informazioni in generale mentre la seconda le informazioni nel cyber space.

Quello che si può dire, quindi, è che la differenza principale fra questi temi sta nell’ambito di applicazione e non tanto nel che cosa sono e nel come si applicano. Si può affermare che queste rappresentano tematiche molto vicine fra di loro e sono sicuramente facce diverse di una stessa medaglia. Nello specifico l’opinione degli scriventi è che questi siano degli ambiti che potrebbero essere rappresentati come degli insiemi in parte sovrapposti fra di loro.

Relazioni fra protezione dei dati personali, sicurezza delle informazioni e cyber security.

Il fatto che esistono degli aspetti comuni (il cosiddetto RID) implica anche che le misure di sicurezza tecniche ed organizzative che l’organizzazione deve attuare possono essere le stesse. Su questo punto si tornerà più avanti.

Occorre precisare un aspetto importante nella protezione dei dati personali. La normativa vuole andare a proteggere l’anello debole, cioè il cittadino che è il proprietario dei dati personali che lo riguardano gestiti dalle organizzazioni a cui sono dati volontariamente per determinate finalità. L’Articolo 1 del GDPR, che ne rappresenta l’oggetto e le finalità, esplicita “2. Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali.”. Questo significa che la protezione dei dati personali ha due punti di vista differenti che portano all’implementazione di misure di sicurezza da parte dell’organizzazione. La prima è proteggere le libertà fondamentali dei cittadini, quindi il punto di vista è il cittadino, mentre il secondo è l’azienda, cioè l’organizzazione può, e dovrebbe, mettere in piedi misure di sicurezza a protezione dei dati personali tenendo in considerazione il suo punto di vista.

Consideriamo il seguente caso accaduto qualche anno fa:

Attacco hacker contro sito di incontri, pubblicati i dati di 32 milioni di adulteri: Ashley Madison, portale per appuntamenti dedicato a persone sposate attivo anche in Italia, è stato violato da un gruppo chiamato Impact Team. Oltre ai nomi degli iscritti sono stati resi noti anche gli indirizzi mail e le loro fantasie sessuali. Per la mole di dati “rubati” si tratta di uno degli attacchi più imponenti mai realizzati.

Questo è chiaramente un data breach (essendo accaduto nel 2015 non è risultato essere sotto il GDPR) ed ha avuto un impatto sui cittadini che si sono visti resi pubblici dei loro dati personali. Questo data breach ha avuto inequivocabilmente un impatto sui cittadini, ma allo stesso tempo ha avuto un impatto sull’organizzazione in quanto ne ha leso l’immagine e la serietà nella protezione della riservatezza dei propri iscritti. Se fosse accaduto dopo il 25 maggio 2018 l’organizzazione avrebbe avuto, probabilmente, “paura” delle possibili sanzioni del GDPR.

Il GDPR impone che siano adottate misure di sicurezza per proteggere il punto di vista del cittadino (la divulgazione dei suoi dati ad esempio) mentre non impone l’obbligo di adottare misure di sicurezza relativamente al punto di vista dell’organizzazione (ad esempio misure di sicurezza atte a ridurre o evitare la perdita di immagine). Questo secondo aspetto è libera scelta dell’organizzazione che, avendo buonsenso, dovrebbe considerarlo.

L’obiettivo del confronto fra le diverse definizioni degli ambiti è quello di spiegare che la protezione dei dati personali, la sicurezza delle informazioni e la cyber security sono viste differenti di mondi simili e vicini; quindi le tecniche, gli strumenti e anche i budget possono essere integrati fra di loro. Alcune tematiche che risultano “nuove” per la protezione dei dati personali, essendo il GDPR molto recente, possono non esserlo per la sicurezza delle informazioni. Pertanto si può attingere a questo patrimonio di conoscenze per poter affrontare il tema della protezione dei dati personali.

Il tema della protezione dei dati personali è un tema complesso che vede aspetti sicuramente di tipo legale e “burocratico” ma anche temi di sicurezza informatica, di sicurezza fisica e di processo in quanto i dati personali devono essere protetti indipendentemente dalla forma con cui questi sono memorizzati e trattati. Altro errore che a volte viene fatto è vedere la sicurezza delle informazioni come sinonimo di sicurezza informatica, ma quest’ultima è solo uno degli aspetti della sicurezza delle informazioni. Quello che si può affermare è che la cyber security è soltanto informatica. Anche questo però sta un po’ cambiando in quanto un attacco cyber può partire da informazioni ottenute dal mondo fisico o può essere evitato andando ad adottare contromisure nel mondo fisico oltre che informatico.

Per approfondire le tematiche di cui sopra, i paragrafi seguenti sono dedicati ai tre aspetti principali comuni a questi ambiti, ovvero la riservatezza, l’integrità e la disponibilità.

Cosa si intende per riservatezza

Come accennato in precedenza, la privacy in senso letterale è un sinonimo di riservatezza. In questo paragrafo si vuole comprendere meglio il significato di riservatezza al fine di proteggerla come richiesto dalla normativa. Per riservatezza si intende:

la riservatezza è il grado in cui l’accesso alle informazioni è limitato a un gruppo preventivamente definito ed autorizzato ad avere questo accesso. Questo include anche misure per proteggere la privacy.

Aspetto importante della riservatezza è quindi che le informazioni che si vogliono proteggere non devono essere inaccessibili, ma devono essere accessibili solo dal personale autorizzato. Non si deve intendere questo aspetto con il fatto che soltanto le persone alte in grado all’interno dell’organizzazione vedano le informazioni. Nella normale operatività delle organizzazioni succede che alcune informazioni possano essere viste dalle persone “in basso” nella gerarchia dell’organizzazione e non possano essere viste da persone “più in alto”, sempre in senso gerarchico.

Si consideri il seguente esempio:

un’azienda ha dei dipendenti e presumibilmente ha una struttura di gestione delle risorse umane. Questa struttura ha degli addetti e un responsabile. Parallelamente alla struttura di gestione delle risorse umane ci saranno altre strutture dedicate al business dell’organizzazione. Si ipotizzi che l’azienda che produce abbigliamento, lo immagazzina e lo vende attraverso dei punti vendita. Quindi avrà almeno un ufficio acquisti (con un responsabile e degli addetti), un reparto produzione (con un responsabile, dei capi turno, degli operai specializzati e operai generici), un magazzino che si occupa anche della distribuzione (con un responsabile, degli addetti al magazzino e dei vettori per il trasporto) ed infine i punti vendita (ognuno con uno/a store manager e del personale). Oltre a queste si aggiungono altre strutture trasversali come gestione dei sistemi informativi, amministrazione e controllo di gestione, marketing ecc. Un dato che deve essere presente nelle aziende sono gli IBAN dei dipendenti (informazione indispensabile per poter effettuare i pagamenti degli stipendi). Il codice IBAN è un dato personale secondo il GDPR. Che cosa succede normalmente a questo dato nell’organizzazione? Questo dato dovrà essere visibile a gestione delle risorse umane nella scheda del dipendente e dovrà altresì essere visibile all’amministrazione che avrà il compito di procedere con i pagamenti. Per le altre strutture, compresi i responsabili gerarchici delle persone, non è necessaria l’accesso alla visualizzazione dell’IBAN del dipendente. Per tali motivi gestione delle risorse umane e amministrazione devono avere le autorizzazioni per vedere l’informazione “IBAN” contrariamente alle altre strutture. Questo è un esempio semplificato, ma la realtà può essere molto più complessa. Il senso dell’esempio è che garantire la riservatezza non è rendere inaccessibili le informazioni ma renderle accessibili solo alle persone autorizzate a vederle.

Cosa si intende per integrità

Un altro aspetto importante per la protezione dei dati e delle informazioni è che il dato si mantenga integro:

l’integrità è il grado con cui le informazioni sono aggiornate e sono prive di errori (sia intenzionali che accidentali). L’Integrità è caratterizzata da due aspetti che sono: correttezza delle informazioni; completezza delle informazioni.

L’integrità delle informazioni equivale a dire che queste siano aggiornate, cioè che sia resa disponibile l’ultima versione dell’informazione e che questa sia corretta e completa. Per spiegare l’importanza dell’integrità del dato si consideri nuovamente l’esempio dell’IBAN utilizzato per la riservatezza nel paragrafo precedente. Per mantenere fede al concetto di riservatezza solo alcune persone all’interno dell’organizzazione hanno visibilità dell’IBAN dei dipendenti perché sono chiamate a svolgere delle attività per le quali devono avere accesso a quest’informazione. Questa informazione, oltre che essere riservata, deve essere anche integra, quindi corretta e completa. Si supponga che l’IBAN del dipendente presenti un errore, intenzionale o accidentale poco importa. Il bonifico dello stipendio non andrà a buon fine e quindi il dipendente non riceverà lo stipendio. Si supponga ora che l’IBAN non sia aggiornato, cioè che il dipendente abbia cambiato banca, e quindi IBAN, che cosa succederà allo stipendio? Stesso risultato di prima, il dipendente non lo riceverà. Si consideri come ultimo caso quello in cui il codice IBAN non è completo. Anche in questo caso il dipendente non riceverà lo stipendio. Si ha quindi che anche l’integrità del dato riveste una rilevanza estremamente importante in quanto, qualora questa non sia garantita, il dipendente non riceverà lo stipendio così come non lo avrebbe ricevuto se l’Amministrazione non avesse avuto accesso all’informazione.

Cosa si intende per disponibilità

Un aspetto fondamentale per il dato o informazione che deve essere protetto è la disponibilità del dato stesso:

la disponibilità è il grado in cui le informazioni sono disponibili all’utente e/o al sistema informativo nel momento in cui queste vengono richieste. La Disponibilità è caratterizzata da tre aspetti e sono: temporale – i sistemi informativi sono disponibili quando necessario; continuità – il personale può continuare a lavorare in caso di guasto; robustezza – vi è una capacità sufficiente per consentire a tutto il personale nel sistema di lavorare.

La disponibilità delle informazioni è quindi che queste siano disponibili quando sono necessarie e a chi le deve ricevere. Per spiegare l’importanza della disponibilità del dato si riconsideri l’esempio dell’IBAN utilizzato per la riservatezza e poi per l’integrità nei paragrafi precedenti. Come per la riservatezza e l’integrità, il parametro disponibilità non porta dietro di sé un concetto di “assolutezza” cioè le informazioni non devono essere disponibili sempre e ovunque. Se nel momento in cui devono essere effettuati i bonifici per il pagamento degli stipendi questa informazione non fosse disponibile, il risultato sarebbe che gli stipendi non verrebbero pagati. Si ipotizzi che l’azienda sia abbastanza grande e che il numero dei dipendenti sia elevato. In questo caso è probabile che siano più persone ad effettuare i pagamenti: che succederebbe se il sistema non avesse la capacità di far lavorare tutte le persone ma soltanto una? Il risultato sarebbe che parte degli stipendi non verrebbero pagati.

Modalità di approccio congiunto fra i diversi ambiti

Come affermato inizialmente, spesso le organizzazioni si trovano a dover rispettare diverse normative obbligatorie o volontarie che richiedono di mettere in atto misure di sicurezza. Queste misure di sicurezza, indipendentemente dall’ambito da cui provengono, richiedono di andare a proteggere la riservatezza, l’integrità e la disponibilità di un dato o di un’informazione. Per proteggere questi aspetti l’organizzazione dovrebbe mettere in atto misure di sicurezza che possono essere sia di tipo tecnologico che di tipo organizzativo a protezione di uno o più dei parametri del RID. Queste misure di sicurezza possono essere, come da letteratura classica sul tema, l’adozione di strategie e/o contromisure atte a:

  • trasferire i rischi a terze parti;
  • evitare il rischio;
  • ridurre l’effetto negativo del rischio;
  • accettare tutte o parte delle conseguenze di un rischio.

L’identificazione delle contromisure atte a ridurre uno o più parametri del RID avviene tramite l’esecuzione di un’analisi dei rischi (nel caso della protezione dei dati personali, svolta tenendo in considerazione il punto di vista del cittadino, si parla di Data Protection Impact Assessment – DPIA) svolta sotto una metodologia strutturata di analisi del rischio. Queste analisi del rischio non necessariamente devono essere diverse, anzi sarebbe opportuno andare a svolgerne una unica tenendo in considerazione i diversi punti di vista e aspetti normativi di riferimento. Ogni aspetto normativo porterà ad identificare delle misure di sicurezza che possono anche essere differenti fra di loro.

Che cosa dovrebbe fare un’organizzazione per effettuare un’adozione integrata ed efficace? Si può andare a ragionare per passi:

  • passo 1: bisogna effettuare un censimento delle informazioni e dove queste vengono utilizzate. Bisogna considerare l’informazione o il dato come se fosse un vero e proprio “asset” aziendale e, come tutti gli asset, registrarlo e registrare le relazioni fra i diversi asset. In tal modo si otterrebbe l’asset informazione, che permette di sapere su quale asset (hardware e software) è registrato e dà che asset (ad es. applicazione o persona) è utilizzato e per cosa;
  • passo 2: bisogna classificare le informazioni in base agli ambiti di appartenenza (privacy, carte di credito, cyber security nazionale ecc.) e, quindi, alle normative che impattano l’ambito in esame;
  • passo 3: effettuare un’analisi (o più analisi) dei rischi che impattano sugli asset in funzione dei diversi punti di vista normativi o di standard;
  • passo 4: identificare le possibili misure di sicurezza (o più correttamente mix di misure di sicurezza) che dovrebbero essere adottate per i diversi ambiti;
  • passo 5: identificare la misura di sicurezza più stringente per quell’aspetto;
  • passo 6: verificare che l’adozione delle misure di sicurezza identificate attenua adeguatamente il rischio nel caso di scenari congiunti (ad esempio, rischi da più fonti potrebbero sommarsi fra di loro);
  • passo 7: scegliere, ove possibile, da un catalogo di misure di sicurezza quella più idonea;
  • passo 8: verificare che l’adozione di una misura di sicurezza più stringente già adottata in altri ambiti non sia più economica rispetto all’adozione di una misura meno stringente ma specifica.

Per spiegare il concetto si consideri l’esempio di un sito che ha iscrizioni di persone, fornisce servizi a pagamento tramite carta di credito e fornisce un particolare servizio che, per tipologia, gli iscritti vogliono tipicamente che non sia diffuso. I punti da considerare sono i seguenti:

  1. mappatura dell’asset di tipo dati: dati relativi agli iscritti e alle azioni che essi svolgono all’interno del portale, profilazione degli utenti in funzione delle loro azioni, dati di carta di credito, dati degli acquisti effettuati, dati dei prezzi dei servizi ecc.;
  2. ambiti di appartenenza e normative applicabili: GDPR in quanto trattati dati di persone fisiche europee, normative relative alle carte di credito, la sicurezza delle informazioni. La cybersecurity nazionale non è adottabile;
  3. il GDPR porta all’adozione di misure di sicurezza di questo tipo: riservatezza – ALTA; integrità – MEDIA; disponibilità – BASSA;
  4. la PCI-DSS porta a: riservatezza – MEDIA; integrità – MEDIA; disponibilità – ALTA;
  5. la Direttiva NIS non porta a misure di sicurezza specifiche in quanto non è un servizio critico nazionale;
  6. la sicurezza delle informazioni porta a: riservatezza – BASSA; integrità – MEDIA; disponibilità – ALTA;
  7. si dovrebbero, quindi, adottare misure di sicurezza del tipo: riservatezza – ALTA; integrità – MEDIA; disponibilità – ALTA;
  8. occorre verificare se l’adozione di queste misure attenua il rischio anche su scenari di rischio multipli e sovrapposti;
  9. infine, occorre verificare se l’adozione di misure di sicurezza più stringenti (nell’esempio integrità -ALTA) sia già presente e se la sua adozione risulti essere più economica dell’adozione di una misura di sicurezza MEDIA.

L’adozione delle diverse procedure e misure è, ovviamente, molto più complessa di quella riportata sopra e vede coinvolte decine se non centinaia di misure di sicurezza differenti e differenziate sui diversi asset e sistemi.

Difficilmente si riesce a svolgere un’analisi dei rischi tenendo in considerazione punti di vista multipli nello svolgimento contemporaneo della stessa tenendone traccia delle diverse relazioni, ma si può ovviare a questa svolgendo più analisi dei rischi in parallelo (è opportuno che queste siano svolte con una metodologia unica per i diversi ambiti e con uno stesso criterio, ove possibile, di identificazione delle minacce e delle contromisure).

Inoltre, vanno anche tenuti in considerazione l’impossibilità di valutare la probabilità di periodici eventi rari utilizzando metodi scientifici (a causa della loro natura di eventi a bassissima probabilità) o di eventi considerati unici e quindi, per definizione, non prevedibili.

Lo scoglio più importante spesso da superare è quello delle responsabilità interne, per esempio potrebbero essere presenti: un responsabile della sicurezza fisica, un responsabile della sicurezza informatica, un responsabile privacy; ruoli differenti con differenti conoscenze e profili che dovrebbero lavorare in modo sinergico fra di loro in modo tale portare i differenti punti di vista ma con l’obiettivo di identificare in modo congiunto ed univoco le misure di sicurezza da adottare.

Conclusioni

Considerando che diversi ambiti richiedono l’adozione di misure di sicurezza, ma su ambiti differenti, unito al fatto che le misure di sicurezza a protezione dei diversi ambiti possono essere condivise, si ha che si può adottare un approccio multidisciplinare e a “mattoncini”.

Bisogna andare a identificare il mattoncino più stringente in funzione dei diversi ambiti e adottare questo per la protezione. Per fare questo si dovrebbe adottare un’analisi dei rischi a punti di vista multipli e a scenari multipli. Bisogna coinvolgere una molteplicità di ruoli e discipline differenti adottando un approccio multidisciplinare alla materia di identificazione delle misure di sicurezza.

L’approcciare in modo congiunto ed integrato complica, delle volte non poco, la fase iniziale però permette di andare a semplificare e permette di ottenere delle razionalizzazioni delle misure di sicurezza in campo così come una riduzione dei costi probabilmente non in fase di avvio essendo più complessa la macchina da far partire ma sicuramente a regime.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5