IL QUADRO COMPLETO

Cyber security, sicurezza delle informazioni, protezione dati: ecco come adottare misure di sicurezza integrate

Per soddisfare le normative in tema di sicurezza delle informazioni, cyber security e protezione dei dati, le organizzazioni devono investire soldi per adeguarsi ai relativi standard costantemente aggiornati con l’evolversi degli aspetti tecnologici e delle vulnerabilità informatiche. Ecco come ottimizzare le risorse pensando a misure di sicurezza integrate che possano coprire più ambiti

23 Gen 2019
G
Giovanna Garritano

LA 27001, LA 22301, ITIL Foundation - Senior cyber security e privacy advisor

P
Andrea Praitano

Cyber security e privacy advisor, Security e Data Protection Officer, Socio fondatore di UNIDPO

L’adozione del Regolamento Generale sulla Protezione dei Dati (Regolamento 679/2016 – GDPR) da parte delle organizzazioni richiede un approccio integrato alla sicurezza e alla privacy. Ma che vuol dire integrato?

Certo, devono essere implementate misure di sicurezza tecniche ed organizzative che hanno l’obiettivo di proteggere i dati personali. Questa non è, però, l’unica richiesta di questo tipo che le organizzazioni si sentono fare.

La Direttiva (UE) 2016/1148 (così detta Direttiva NIS), recepita a livello nazione dal D.lgs.65/2018, chiede degli adempimenti di sicurezza per i così detti Operatori di Servizi Essenziali (OSE) e ai Fornitori di Servizi Digitali (FSD). A questi due macro ambiti si aggiungono gli standard e le certificazioni di settore (ad esempio la PCI-DSS) che chiedono, anch’essi, degli adempimenti obbligatori di sicurezza agli operatori (nel caso della PCI-DSS per gli operatori che gestiscono dati di carta di credito). Esiste poi un altro ambito, ovvero quello degli standard volontari (ad esempio ISO/IEC 27001:2013) che richiedono, anche questi, adempimenti sull’adozione di misure di sicurezza tecniche ed organizzative.

Oltre a queste esiste il “buon senso” che dovrebbero avere le organizzazioni di andare a proteggere le loro informazioni che sono, sempre più spesso, un bene estremamente importante per esse stesse.

Un’organizzazione si trova, quindi, a dover adempiere alle normative nazionali e altri ambiti che richiedono l’adozione di misure di sicurezza. Lo scopo di questo articolo è quello di capire se e come gli standard, le Direttive ed i Regolamenti sopra citati possano essere integrati tra di loro, in modo da suggerire una linea di approccio comune adottando misure di sicurezza non “differenziate” fra i diversi ambiti ma integrate fra di loro in modo da ottimizzare le, spesso scarse, risorse dedicate alla sicurezza all’interno delle organizzazioni.

Cyber security, sicurezza delle informazioni, protezione dati, privacy: le differenze

Il primo ambito su cui si vuole ragionare è quello della protezione dei dati personali, che è di tipo generale in quanto deve essere obbligatoriamente seguita da tutte le organizzazioni che operano all’interno dell’Unione Europea o che, anche se non residenti all’interno dell’Unione, gestiscono dati personali di cittadini europei.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy

Nel linguaggio comune spesso protezione dei dati personali e privacy sono intesi come sinonimi, infatti il Garante della Protezione dei Dati Personali è anche chiamato Garante della Privacy. Protezione dei dati personali e privacy non sono in realtà realmente dei sinonimi, infatti se si va ad effettuare una ricerca del termine “privacy” all’interno del GDPR si noterà con sorpresa che il termine privacy non è mai utilizzato.

Per capire come andare ad approcciare in modo integrato i diversi ambiti è dunque necessario individuarne le differenze. Il modo più semplice è quello di partire dalle definizioni.

Protezione dei dati personali

L’articolo 4 del GDPR non fornisce una definizione, come fa invece per altri aspetti, di cosa intende la normativa per protezione dei dati personali. Una possibile definizione, estratta da diverse parti del GDPR, potrebbe essere la seguente:

Protezione dei dati: è quella disciplina dedita alla protezione dei dati personali (incluse le particolari categorie di dati personali – precedentemente noti anche come dati sensibili e dati giudiziari) in termini di disponibilità, autenticità, integrità, riservatezza e resilienza dei dati personali stessi conservati o trasmessi e la sicurezza dei relativi servizi offerti.

Dalla definizione sopra estrapolata dalla normativa si può evincere che il GDPR con la protezione dei dati personali mira a garantire la disponibilità, l’autenticità, l’integrità, la riservatezza e la resilienza dei dati personali degli interessati.

Privacy

Questa definizione riveste un’importanza particolare perché è un termine comunemente utilizzato. Per capire cosa si intende per privacy possiamo andare a considerare la definizione presente su Wikipedia:

Privacy: termine inglese equivalente a riservatezza o privatezza, è appunto il diritto alla riservatezza della propria vita privata.

È evidente che il termine privacy non può essere considerato un sinonimo, come spesso accade nell’uso comune, della protezione dei dati personali richiesta dalla normativa europea. Infatti, stante alla definizione di cui sopra, si può evincere che la privacy copre solo uno degli aspetti che la normativa vuole andare a proteggere, ovvero la riservatezza dell’informazione.

La definizione di protezione dei dati personali risulta essere più ampia della sola protezione della privacy in quanto riconduce ai concetti di riservatezza, integrità e disponibilità che rappresentano i concetti chiave della Sicurezza delle Informazioni.

Sicurezza delle informazioni

La sicurezza delle informazioni ha, come riferimento, la famiglia di norme ISO/IEC 27000 e, nello specifico, la ISO/IEC 27000:2018 che ne riporta le definizioni. Questo standard al punto 2.33 riporta la definizione di sicurezza delle informazioni, ovvero:

Sicurezza delle informazioni: 2.33 sicurezza delle informazioni: preservazione di riservatezza, integrità e disponibilità dell’informazione.

Una nota all’interno dello standard specifica che: in aggiunta possono essere incluse anche altre proprietà come autenticità (2.8), accountability, non-repudiation (2.54), e resilienza (2.62).

Cyber security

Sempre alla stessa famiglia di standard ISO/IEC è possibile andare a ricondurre il concetto di cyber security. La definizione obiettiva più appropriata è quella riportata nella ISO/IEC 27032:2012:

Cyber security: preservazione di riservatezza, integrità e disponibilità dell’informazione nel cyber space.

Sempre la ISO/IEC 27032:2012 riporta la definizione di “cyber space” che è “l’ambiente complesso risultante dall’interazione di persone, software e servizi su Internet svolto per il tramite di dispositivi tecnologici e reti ad esso collegati, che non esiste in alcuna forma fisica”.

La Direttiva (UE) 2016/1148 non riporta una definizione di cyber security (o cibersicurezza in italiano) ma riporta un’altra definizione di sicurezza della rete e dei sistemi informativi che risulta essere interessante.

Sicurezza della rete e dei sistemi informativi: la capacità di una rete e dei sistemi informativi di resistere, a un determinato livello di riservatezza, a ogni azione che comprometta la disponibilità, l’autenticità, l’integrità o la riservatezza dei dati conservati o trasmessi o trattati e dei relativi servizi offerti o accessibili tramite tale rete o sistemi informativi.

In entrambe le definizioni, di fatto, si chiede di andare a proteggere determinati aspetti che sono riservatezza, disponibilità, autenticità e integrità.

Clicca qui e scarica il White Paper: "Zero Trust Security" 

Considerazioni sulle affinità e differenze fra gli ambiti

Mettendo a fattor comune le definizioni di protezione dei dati personali, sicurezza delle informazioni e cybersecurity, si nota che tutte e tre hanno un nucleo in comune che riguarda la protezione della riservatezza, dell’integrità e della disponibilità (a cui si possono aggiungere anche autenticità, non-ripudio ed altri aspetti). La differenza fra i diversi ambiti non risiede quindi sul come andare a proteggere ma sul “cosa” deve essere protetto, ovvero sull’ambito in cui le norme e standard si vanno ad applicare.

La protezione dei dati personali è relativa alla protezione, per l’appunto, dei dati personali mentre la sicurezza delle informazioni e la cyber security sono relative alla protezione delle informazioni. La prima riguarda le informazioni in generale mentre la seconda le informazioni nel cyber space.

Quello che si può dire, quindi, è che la differenza principale fra questi temi sta nell’ambito di applicazione e non tanto nel che cosa sono e nel come si applicano. Si può affermare che queste rappresentano tematiche molto vicine fra di loro e sono sicuramente facce diverse di una stessa medaglia. Nello specifico l’opinione degli scriventi è che questi siano degli ambiti che potrebbero essere rappresentati come degli insiemi in parte sovrapposti fra di loro.

Relazioni fra protezione dei dati personali, sicurezza delle informazioni e cyber security.

Il fatto che esistono degli aspetti comuni (il cosiddetto RID) implica anche che le misure di sicurezza tecniche ed organizzative che l’organizzazione deve attuare possono essere le stesse. Su questo punto si tornerà più avanti.

Occorre precisare un aspetto importante nella protezione dei dati personali. La normativa vuole andare a proteggere l’anello debole, cioè il cittadino che è il proprietario dei dati personali che lo riguardano gestiti dalle organizzazioni a cui sono dati volontariamente per determinate finalità. L’Articolo 1 del GDPR, che ne rappresenta l’oggetto e le finalità, esplicita “2. Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali.”. Questo significa che la protezione dei dati personali ha due punti di vista differenti che portano all’implementazione di misure di sicurezza da parte dell’organizzazione. La prima è proteggere le libertà fondamentali dei cittadini, quindi il punto di vista è il cittadino, mentre il secondo è l’azienda, cioè l’organizzazione può, e dovrebbe, mettere in piedi misure di sicurezza a protezione dei dati personali tenendo in considerazione il suo punto di vista.

Consideriamo il seguente caso accaduto qualche anno fa:

Attacco hacker contro sito di incontri, pubblicati i dati di 32 milioni di adulteri: Ashley Madison, portale per appuntamenti dedicato a persone sposate attivo anche in Italia, è stato violato da un gruppo chiamato Impact Team. Oltre ai nomi degli iscritti sono stati resi noti anche gli indirizzi mail e le loro fantasie sessuali. Per la mole di dati “rubati” si tratta di uno degli attacchi più imponenti mai realizzati.

Questo è chiaramente un data breach (essendo accaduto nel 2015 non è risultato essere sotto il GDPR) ed ha avuto un impatto sui cittadini che si sono visti resi pubblici dei loro dati personali. Questo data breach ha avuto inequivocabilmente un impatto sui cittadini, ma allo stesso tempo ha avuto un impatto sull’organizzazione in quanto ne ha leso l’immagine e la serietà nella protezione della riservatezza dei propri iscritti. Se fosse accaduto dopo il 25 maggio 2018 l’organizzazione avrebbe avuto, probabilmente, “paura” delle possibili sanzioni del GDPR.

Il GDPR impone che siano adottate misure di sicurezza per proteggere il punto di vista del cittadino (la divulgazione dei suoi dati ad esempio) mentre non impone l’obbligo di adottare misure di sicurezza relativamente al punto di vista dell’organizzazione (ad esempio misure di sicurezza atte a ridurre o evitare la perdita di immagine). Questo secondo aspetto è libera scelta dell’organizzazione che, avendo buonsenso, dovrebbe considerarlo.

L’obiettivo del confronto fra le diverse definizioni degli ambiti è quello di spiegare che la protezione dei dati personali, la sicurezza delle informazioni e la cyber security sono viste differenti di mondi simili e vicini; quindi le tecniche, gli strumenti e anche i budget possono essere integrati fra di loro. Alcune tematiche che risultano “nuove” per la protezione dei dati personali, essendo il GDPR molto recente, possono non esserlo per la sicurezza delle informazioni. Pertanto si può attingere a questo patrimonio di conoscenze per poter affrontare il tema della protezione dei dati personali.

Il tema della protezione dei dati personali è un tema complesso che vede aspetti sicuramente di tipo legale e “burocratico” ma anche temi di sicurezza informatica, di sicurezza fisica e di processo in quanto i dati personali devono essere protetti indipendentemente dalla forma con cui questi sono memorizzati e trattati. Altro errore che a volte viene fatto è vedere la sicurezza delle informazioni come sinonimo di sicurezza informatica, ma quest’ultima è solo uno degli aspetti della sicurezza delle informazioni. Quello che si può affermare è che la cyber security è soltanto informatica. Anche questo però sta un po’ cambiando in quanto un attacco cyber può partire da informazioni ottenute dal mondo fisico o può essere evitato andando ad adottare contromisure nel mondo fisico oltre che informatico.

Per approfondire le tematiche di cui sopra, i paragrafi seguenti sono dedicati ai tre aspetti principali comuni a questi ambiti, ovvero la riservatezza, l’integrità e la disponibilità.

Cosa si intende per riservatezza

Come accennato in precedenza, la privacy in senso letterale è un sinonimo di riservatezza. In questo paragrafo si vuole comprendere meglio il significato di riservatezza al fine di proteggerla come richiesto dalla normativa. Per riservatezza si intende:

la riservatezza è il grado in cui l’accesso alle informazioni è limitato a un gruppo preventivamente definito ed autorizzato ad avere questo accesso. Questo include anche misure per proteggere la privacy.

Aspetto importante della riservatezza è quindi che le informazioni che si vogliono proteggere non devono essere inaccessibili, ma devono essere accessibili solo dal personale autorizzato. Non si deve intendere questo aspetto con il fatto che soltanto le persone alte in grado all’interno dell’organizzazione vedano le informazioni. Nella normale operatività delle organizzazioni succede che alcune informazioni possano essere viste dalle persone “in basso” nella gerarchia dell’organizzazione e non possano essere viste da persone “più in alto”, sempre in senso gerarchico.

Si consideri il seguente esempio:

un’azienda ha dei dipendenti e presumibilmente ha una struttura di gestione delle risorse umane. Questa struttura ha degli addetti e un responsabile. Parallelamente alla struttura di gestione delle risorse umane ci saranno altre strutture dedicate al business dell’organizzazione. Si ipotizzi che l’azienda che produce abbigliamento, lo immagazzina e lo vende attraverso dei punti vendita. Quindi avrà almeno un ufficio acquisti (con un responsabile e degli addetti), un reparto produzione (con un responsabile, dei capi turno, degli operai specializzati e operai generici), un magazzino che si occupa anche della distribuzione (con un responsabile, degli addetti al magazzino e dei vettori per il trasporto) ed infine i punti vendita (ognuno con uno/a store manager e del personale). Oltre a queste si aggiungono altre strutture trasversali come gestione dei sistemi informativi, amministrazione e controllo di gestione, marketing ecc. Un dato che deve essere presente nelle aziende sono gli IBAN dei dipendenti (informazione indispensabile per poter effettuare i pagamenti degli stipendi). Il codice IBAN è un dato personale secondo il GDPR. Che cosa succede normalmente a questo dato nell’organizzazione? Questo dato dovrà essere visibile a gestione delle risorse umane nella scheda del dipendente e dovrà altresì essere visibile all’amministrazione che avrà il compito di procedere con i pagamenti. Per le altre strutture, compresi i responsabili gerarchici delle persone, non è necessaria l’accesso alla visualizzazione dell’IBAN del dipendente. Per tali motivi gestione delle risorse umane e amministrazione devono avere le autorizzazioni per vedere l’informazione “IBAN” contrariamente alle altre strutture. Questo è un esempio semplificato, ma la realtà può essere molto più complessa. Il senso dell’esempio è che garantire la riservatezza non è rendere inaccessibili le informazioni ma renderle accessibili solo alle persone autorizzate a vederle.

New call-to-action

Cosa si intende per integrità

Un altro aspetto importante per la protezione dei dati e delle informazioni è che il dato si mantenga integro:

l’integrità è il grado con cui le informazioni sono aggiornate e sono prive di errori (sia intenzionali che accidentali). L’Integrità è caratterizzata da due aspetti che sono: correttezza delle informazioni; completezza delle informazioni.

L’integrità delle informazioni equivale a dire che queste siano aggiornate, cioè che sia resa disponibile l’ultima versione dell’informazione e che questa sia corretta e completa. Per spiegare l’importanza dell’integrità del dato si consideri nuovamente l’esempio dell’IBAN utilizzato per la riservatezza nel paragrafo precedente. Per mantenere fede al concetto di riservatezza solo alcune persone all’interno dell’organizzazione hanno visibilità dell’IBAN dei dipendenti perché sono chiamate a svolgere delle attività per le quali devono avere accesso a quest’informazione. Questa informazione, oltre che essere riservata, deve essere anche integra, quindi corretta e completa. Si supponga che l’IBAN del dipendente presenti un errore, intenzionale o accidentale poco importa. Il bonifico dello stipendio non andrà a buon fine e quindi il dipendente non riceverà lo stipendio. Si supponga ora che l’IBAN non sia aggiornato, cioè che il dipendente abbia cambiato banca, e quindi IBAN, che cosa succederà allo stipendio? Stesso risultato di prima, il dipendente non lo riceverà. Si consideri come ultimo caso quello in cui il codice IBAN non è completo. Anche in questo caso il dipendente non riceverà lo stipendio. Si ha quindi che anche l’integrità del dato riveste una rilevanza estremamente importante in quanto, qualora questa non sia garantita, il dipendente non riceverà lo stipendio così come non lo avrebbe ricevuto se l’Amministrazione non avesse avuto accesso all’informazione.

Cosa si intende per disponibilità

Un aspetto fondamentale per il dato o informazione che deve essere protetto è la disponibilità del dato stesso:

la disponibilità è il grado in cui le informazioni sono disponibili all’utente e/o al sistema informativo nel momento in cui queste vengono richieste. La Disponibilità è caratterizzata da tre aspetti e sono: temporale – i sistemi informativi sono disponibili quando necessario; continuità – il personale può continuare a lavorare in caso di guasto; robustezza – vi è una capacità sufficiente per consentire a tutto il personale nel sistema di lavorare.

La disponibilità delle informazioni è quindi che queste siano disponibili quando sono necessarie e a chi le deve ricevere. Per spiegare l’importanza della disponibilità del dato si riconsideri l’esempio dell’IBAN utilizzato per la riservatezza e poi per l’integrità nei paragrafi precedenti. Come per la riservatezza e l’integrità, il parametro disponibilità non porta dietro di sé un concetto di “assolutezza” cioè le informazioni non devono essere disponibili sempre e ovunque. Se nel momento in cui devono essere effettuati i bonifici per il pagamento degli stipendi questa informazione non fosse disponibile, il risultato sarebbe che gli stipendi non verrebbero pagati. Si ipotizzi che l’azienda sia abbastanza grande e che il numero dei dipendenti sia elevato. In questo caso è probabile che siano più persone ad effettuare i pagamenti: che succederebbe se il sistema non avesse la capacità di far lavorare tutte le persone ma soltanto una? Il risultato sarebbe che parte degli stipendi non verrebbero pagati.

Modalità di approccio congiunto fra i diversi ambiti

Come affermato inizialmente, spesso le organizzazioni si trovano a dover rispettare diverse normative obbligatorie o volontarie che richiedono di mettere in atto misure di sicurezza. Queste misure di sicurezza, indipendentemente dall’ambito da cui provengono, richiedono di andare a proteggere la riservatezza, l’integrità e la disponibilità di un dato o di un’informazione. Per proteggere questi aspetti l’organizzazione dovrebbe mettere in atto misure di sicurezza che possono essere sia di tipo tecnologico che di tipo organizzativo a protezione di uno o più dei parametri del RID. Queste misure di sicurezza possono essere, come da letteratura classica sul tema, l’adozione di strategie e/o contromisure atte a:

  • trasferire i rischi a terze parti;
  • evitare il rischio;
  • ridurre l’effetto negativo del rischio;
  • accettare tutte o parte delle conseguenze di un rischio.

L’identificazione delle contromisure atte a ridurre uno o più parametri del RID avviene tramite l’esecuzione di un’analisi dei rischi (nel caso della protezione dei dati personali, svolta tenendo in considerazione il punto di vista del cittadino, si parla di Data Protection Impact Assessment – DPIA) svolta sotto una metodologia strutturata di analisi del rischio. Queste analisi del rischio non necessariamente devono essere diverse, anzi sarebbe opportuno andare a svolgerne una unica tenendo in considerazione i diversi punti di vista e aspetti normativi di riferimento. Ogni aspetto normativo porterà ad identificare delle misure di sicurezza che possono anche essere differenti fra di loro.

Che cosa dovrebbe fare un’organizzazione per effettuare un’adozione integrata ed efficace? Si può andare a ragionare per passi:

  • passo 1: bisogna effettuare un censimento delle informazioni e dove queste vengono utilizzate. Bisogna considerare l’informazione o il dato come se fosse un vero e proprio “asset” aziendale e, come tutti gli asset, registrarlo e registrare le relazioni fra i diversi asset. In tal modo si otterrebbe l’asset informazione, che permette di sapere su quale asset (hardware e software) è registrato e dà che asset (ad es. applicazione o persona) è utilizzato e per cosa;
  • passo 2: bisogna classificare le informazioni in base agli ambiti di appartenenza (privacy, carte di credito, cyber security nazionale ecc.) e, quindi, alle normative che impattano l’ambito in esame;
  • passo 3: effettuare un’analisi (o più analisi) dei rischi che impattano sugli asset in funzione dei diversi punti di vista normativi o di standard;
  • passo 4: identificare le possibili misure di sicurezza (o più correttamente mix di misure di sicurezza) che dovrebbero essere adottate per i diversi ambiti;
  • passo 5: identificare la misura di sicurezza più stringente per quell’aspetto;
  • passo 6: verificare che l’adozione delle misure di sicurezza identificate attenua adeguatamente il rischio nel caso di scenari congiunti (ad esempio, rischi da più fonti potrebbero sommarsi fra di loro);
  • passo 7: scegliere, ove possibile, da un catalogo di misure di sicurezza quella più idonea;
  • passo 8: verificare che l’adozione di una misura di sicurezza più stringente già adottata in altri ambiti non sia più economica rispetto all’adozione di una misura meno stringente ma specifica.

Per spiegare il concetto si consideri l’esempio di un sito che ha iscrizioni di persone, fornisce servizi a pagamento tramite carta di credito e fornisce un particolare servizio che, per tipologia, gli iscritti vogliono tipicamente che non sia diffuso. I punti da considerare sono i seguenti:

  1. mappatura dell’asset di tipo dati: dati relativi agli iscritti e alle azioni che essi svolgono all’interno del portale, profilazione degli utenti in funzione delle loro azioni, dati di carta di credito, dati degli acquisti effettuati, dati dei prezzi dei servizi ecc.;
  2. ambiti di appartenenza e normative applicabili: GDPR in quanto trattati dati di persone fisiche europee, normative relative alle carte di credito, la sicurezza delle informazioni. La cybersecurity nazionale non è adottabile;
  3. il GDPR porta all’adozione di misure di sicurezza di questo tipo: riservatezza – ALTA; integrità – MEDIA; disponibilità – BASSA;
  4. la PCI-DSS porta a: riservatezza – MEDIA; integrità – MEDIA; disponibilità – ALTA;
  5. la Direttiva NIS non porta a misure di sicurezza specifiche in quanto non è un servizio critico nazionale;
  6. la sicurezza delle informazioni porta a: riservatezza – BASSA; integrità – MEDIA; disponibilità – ALTA;
  7. si dovrebbero, quindi, adottare misure di sicurezza del tipo: riservatezza – ALTA; integrità – MEDIA; disponibilità – ALTA;
  8. occorre verificare se l’adozione di queste misure attenua il rischio anche su scenari di rischio multipli e sovrapposti;
  9. infine, occorre verificare se l’adozione di misure di sicurezza più stringenti (nell’esempio integrità -ALTA) sia già presente e se la sua adozione risulti essere più economica dell’adozione di una misura di sicurezza MEDIA.

L’adozione delle diverse procedure e misure è, ovviamente, molto più complessa di quella riportata sopra e vede coinvolte decine se non centinaia di misure di sicurezza differenti e differenziate sui diversi asset e sistemi.

Difficilmente si riesce a svolgere un’analisi dei rischi tenendo in considerazione punti di vista multipli nello svolgimento contemporaneo della stessa tenendone traccia delle diverse relazioni, ma si può ovviare a questa svolgendo più analisi dei rischi in parallelo (è opportuno che queste siano svolte con una metodologia unica per i diversi ambiti e con uno stesso criterio, ove possibile, di identificazione delle minacce e delle contromisure).

Inoltre, vanno anche tenuti in considerazione l’impossibilità di valutare la probabilità di periodici eventi rari utilizzando metodi scientifici (a causa della loro natura di eventi a bassissima probabilità) o di eventi considerati unici e quindi, per definizione, non prevedibili.

Lo scoglio più importante spesso da superare è quello delle responsabilità interne, per esempio potrebbero essere presenti: un responsabile della sicurezza fisica, un responsabile della sicurezza informatica, un responsabile privacy; ruoli differenti con differenti conoscenze e profili che dovrebbero lavorare in modo sinergico fra di loro in modo tale portare i differenti punti di vista ma con l’obiettivo di identificare in modo congiunto ed univoco le misure di sicurezza da adottare.

Conclusioni

Considerando che diversi ambiti richiedono l’adozione di misure di sicurezza, ma su ambiti differenti, unito al fatto che le misure di sicurezza a protezione dei diversi ambiti possono essere condivise, si ha che si può adottare un approccio multidisciplinare e a “mattoncini”.

Bisogna andare a identificare il mattoncino più stringente in funzione dei diversi ambiti e adottare questo per la protezione. Per fare questo si dovrebbe adottare un’analisi dei rischi a punti di vista multipli e a scenari multipli. Bisogna coinvolgere una molteplicità di ruoli e discipline differenti adottando un approccio multidisciplinare alla materia di identificazione delle misure di sicurezza.

L’approcciare in modo congiunto ed integrato complica, delle volte non poco, la fase iniziale però permette di andare a semplificare e permette di ottenere delle razionalizzazioni delle misure di sicurezza in campo così come una riduzione dei costi probabilmente non in fase di avvio essendo più complessa la macchina da far partire ma sicuramente a regime.

New call-to-action

WHITEPAPER
CYBERSECURITY: le migliori strategie per la tutela e la continuità dei servizi IT
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr