ABC Legale: Cybersecurity
Perché è fondamentale creare in azienda un sistema di gestione della cybersecurity?
Per rispondere, è necessario fare una premessa.
Sappiamo che i dati aziendali, il know-how, le informazioni sensibili sono il patrimonio primario delle imprese. Questo patrimonio oggi è custodito nei sistemi informativi aziendali, quasi sempre dematerializzati/informatizzati.
Diventa, quindi, di fondamentale importanza capire come proteggerlo perché questo significa tutelare l’impresa. In un contesto dove la componente tecnologica e informatica è capillare in azienda, bisogna definire i contorni della sicurezza informatica per garantire la riservatezza, l’integrità e la disponibilità dei sistemi che detengono i dati: ciò per evitare loro utilizzi o divulgazioni illecite (pensiamo al i dark web) o la loro compromissione.
È a questo punto che diventa fondamentale capire qual è il significato di cybersecurity. Diciamo innanzitutto che la cybersecurity non è un prodotto (non è l’antivirus o il firewall) ma un processo che ha la finalità di creare un sistema di gestione della sicurezza dei dati aziendali, in grado di controllare la sicurezza dei sistemi informativi, individuando quali sono i rischi e quali sono le soluzioni per mitigarli.
I rischi, infatti, possono avere origine da fattori tecnici ma anche umani (pensiamo all’apertura di un allegato mail non sicuro o all’utilizzo dei device aziendali per finalità diverse da quelle di lavoro); di conseguenza le soluzioni devono essere complementari ed avere, cioè, natura sia legale che tecnica.
La creazione di un sistema di gestione della cybersecurity passa, in primo luogo, dall’adozione di framework/modelli di analisi e monitoraggio riconosciuti (pensiamo al modello del Nist statunitense o a quello del CIS Sapienza, il centro di ricerca in cybersecurity e information security; quest’ultimo, in alcune realtà, riesce a controllare la corretta applicazione della ISO 27001), per fotografare da una parte il livello di sicurezza complessivo di un’azienda e dall’altra per organizzare i processi che impattano sulla sicurezza dei sistemi informativi finalizzati a mitigare le vulnerabilità.
Nell’ambito di questa attività di creazione del sistema di gestione, occorre, in sintesi:
- definire le responsabilità di chi accede ai dati (in modo da puntare il puntare il dito in caso di incidente) o di chi si occupa della sicurezza dei sistemi informativi, attraverso la contrattualizzazione dei soggetti implicati (pensiamo alla definizione dei ruoli e dei compiti di chi si deve occupare degli aggiornamenti – patch – di sicurezza o della business continuity),
- indicare le procedure e le prassi che tutti devono seguire in azienda, specie per quanto riguarda la gestione degli incidenti o l’utilizzo di tutti gli assets aziendali o la gestione delle password o il controllo degli accessi,
- formare il personale (e cioè creare il c.d. firewall umano) perché, così come il primo elemento di rischio dei sistemi informativi è rappresentato proprio dal fattore umano, la loro miglior difesa è pur sempre rappresentata dall’uomo: la cybersecurity awareness, la formazione quale strumento per creare nel personale la consapevolezza sull’importanza della sicurezza informatica ed il suo valore.
Queste attività che, in sintesi, ho rappresentato nell’attuale contesto economico e tecnologico contribuiscono a portare una nuova cultura d’impresa ed a garantire la consapevolezza di quella che sarà l’evoluzione delle relazioni commerciali
Francesco Giunti