20170623-Instant - Edicola - Dinfla00

1708_INFORMATION
SECURITY & PRIVACY.pdf 1 14/06/2017

16:28:04
CM
MY
CY
CMY
IL SOLE 24 ORE | Giugno 2017 | Numero 3

3
Sommario
PREFAZIONE
4. Il fattore umano,
e Ilaria Guindani
importanza e gestione
» PAG 53
Giorgia Dragoni
La difesa del dato,
9. I modelli di sicurezza
asset fondamentale
caso 3 BAYER
per il Cloud Computing
delle organizzazioni
caso 4 CARREFOUR ITALIA
Luca Dozio
Mariano Corso
caso 5 EDISON
e Marina Natalucci
» PAG 5
» PAG 26
caso 8 INFRACOM
5. Il ruolo
caso 9 LENDING SOLUTION
INTRODUZIONE
del "fattore umano",
» PAG 58
un rischio percepito
La guida per un corretto
ma spesso sottovalutato
10. La Mobile Security,
approccio all'information
Raoul Brenna
rilevanza e modelli
security
e Roberto Puricelli
comportamentali
Gabriele Faggioli
» PAG 35
Luca Dozio
» PAG 7
» PAG 67
6. Le competenze e i ruoli
della gestione dell'information
11. La Security e l'Internet
PARTE I LO STATO ATTUALE
security & privacy
of Things (IoT),
E LE LEVE DI PROGETTAZIONE
Alessandro Piva
competenze e processi
Luca Dozio,
1. I trend per il 2017, le sfide
caso 6 IKEA ITALIA RETAIL
Angela Tumino,
della sicurezza informatica
caso 7 SNAM
Giulio Salvadori
Alessandro Piva
» PAG 42
Giorgia De Bernardi
» PAG 9
7. L'information security
caso 10 BTICINO
2. La rilevanza
nelle piccole e medie imprese
» PAG 70
di gestire l'information security
Luca Dozio
Alessandro Piva
» PAG 49
12. Le opportunità
» PAG 14
e i rischi
3. Lo stato attuale
della fabbrica connessa
dell'information security
Parte II L'INNOVAZIONE
Stefano Zanero
Andrea Antonielli
DIGITALE E LE IMPLICAZIONI
» PAG 76
e Giorgia Dragoni
SULLA SECURITY
13. L'assicurazione
caso 1 DUCATI MOTOR HOLDING
del rischio cyber,
8. I Big Data e la Cyber
caso 2 GRUPPO ITAS
scenari e mercato
Intelligence: raccolta e utilizzo
ASSICURAZIONI
Alessandro Piva
Giorgia Dragoni
» PAG 18
» PAG 78
INFORMATION SECURITY & PRIVACY |
PARTE III IL QUADRO
15. General Data Protection
16. Protezione dei dati
NORMATIVO DI RIFERIMENTO
Regulation (GDPR), la roadmap
personali e PMI verso gli anni ‘20
E I PERCORSI DI CERTIFICAZIONE
di adeguamento
Sergio Fumagalli
Gabriele Faggioli
» PAG 94
14. Le novità introdotte
» PAG 86
dal General Data Protection
17. Le certificazioni
Regulation (GDPR)
caso 11 EUROPCAR
per la sicurezza
Gabriele Faggioli
caso 12 GRUPPO BOSCH ITALIA
e la protezione dei dati
e Guglielmo Troiano
Fabio Guasconi
» PAG 81
e Luciano Quartarone
» PAG 99
ELXX
GLI AUTORI
Mariano Corso è Professore Ordinario di “Leadership and Innovation” al Politecnico di Mila
fondatore degli “Osservatori Digital Innovation” del Politecnico di Milano e responsabile di n
in Sanità”, “Agenda Digitale”, “Smart Working”, “HR Innovation Practice” e “Information Se
fondatore e direttore scientifico di P4I -
Partners for Innovation società di Advisory del gruppo Digital 360. È autore o coautore di num
Gabriele Faggioli, legale, è Presidente del Clusit (Associazione Italiana per la Sicurezza Infor
Politecnico di Milano. È
stato membro del Gruppo di Esperti sui contratti di cloud computing della Commissione Euro
cloud computing” (Franco Angeli), “I contratti per l’acquisto di servizi informatici
Company di cui è socio e amministratore).
Alessandro Piva si occupa da oltre dieci anni di ricerca sui temi dell’innovazione digitale. Do
Milano, quali l’Osservatorio Information Security & Privacy, l’Osservatorio Cloud & ICT as a
Analytics & Business Intelligence, l’Osservatorio Enterprise Application Governance e l’Osse
INFORMATION SECURITY & PRIVACY
PREFAZIONE
La difesa del dato,
Mariano Corso
Cofondatore Osservatori Digital
asset fondamentale
Innovation e Responsabile Scientifico
Osservatorio Information
delle organizzazioni
Security & Privacy, Politecnico di Milano
ABSTRACT
Oggi vi è una nuova
Il digitale sta cambiando la nostra vita, i nostri stili di
comunicazione e consumo, trasformando, spesso in modo radicale,
sempre più settori della nostra economia. Nuove opportunità e
consapevolezza, che nasce dal
nuove sfide di cui, finalmente anche in Italia, sta crescendo la
dibattito mediatico che si è creato
consapevolezza da parte di imprese, Pubbliche Amministrazioni, Policy
in seguito ai continui episodi di
Makers e degli stessi cittadini. Sin dalla loro fondazione nel 1999, gli
attacchi informatici e dalla
Osservatori Digital Innovation della School of Management del
possibilità dell’influenza di
Politecnico di Milano cercano di rispondere alla necessità di creare e
operazioni di cyberspionaggio
diffondere cultura, strumenti decisionali e modelli di riferimento, per
sulla nostra vita quotidiana, sulle
accompagnare il Paese a una piena comprensione e valorizzazione delle
prestazioni delle aziende e
opportunità della rivoluzione digitale.
persino sulle elezioni politiche e

In questo contesto si colloca l’attività dell’Osservatorio Information
gli equilibri internazionali.
Security & Privacy, promosso dalla School of Management del
Politecnico di Milano, in collaborazione con CEFRIEL, il Dipartimento
di Elettronica Informazione e Bioingegneria (DEIB) e con il patrocinio
di CLUSIT (Associazione Italiana per la Sicurezza Informatica).
L’Osservatorio si pone l’obiettivo di interpretare quali sono le
tecnologie, i modelli organizzativi, le competenze e le regole per
garantire insieme l’innovazione e la protezione degli asset informativi
aziendali. La trasformazione digitale, guidata dai trend emergenti come
i Big Data, il Cloud, l’Internet of Things, il Mobile e la diffusione dei
Social, permette oggi infatti di poter ridisegnare i processi aziendali ed
innovare servizi e prodotti con un ritmo impensabile solo qualche anno
fa, ma al tempo stesso amplia notevolmente la “superficie di attacco” a
cui è esposta l’organizzazione. Il concetto di difesa del perimetro
aziendale è oggi sorpassato, l’attenzione si sposta verso la difesa del
dato, asset fondamentale delle organizzazioni.
Come sempre, l’adozione matura di nuove tecnologie digitali richiede
la consapevolezza organizzativa e la sensibilità del Management. Per
molti anni, tuttavia, il tema dell’information security è rimasto un
ambito ad appannaggio di una ristretta community di addetti ai lavori,

impegnata nel difficile compito di comunicare al vertice aziendale e ai
colleghi l’importanza e le implicazioni di una corretta gestione della
sicurezza.
Oggi vi è una nuova consapevolezza, che nasce dal dibattito
mediatico che si è creato in seguito ai continui episodi di attacchi
informatici e dalla possibilità dell’influenza di operazioni di
cyberspionaggio sulla nostra vita quotidiana, sulle prestazioni delle
aziende e persino sulle elezioni politiche e gli equilibri internazionali.
Vi è poi una grossa spinta dal punto di vista normativo, con
l’introduzione del nuovo Regolamento europeo sulla protezione dei dati
(GDPR, General Data Protection Regulation), che diventerà applicabile il
prossimo anno e che sta scuotendo il mercato, con ingenti investimenti
in tecnologia e riprogettazione dei processi.
Senza una visione strategica e proattiva del fenomeno la sicurezza
informatica rischia di essere un enorme limite allo sviluppo, il vero
“tallone di Achille” del nostro modello economico e sociale. Viceversa,
proprio grazie a questa crescente attenzione e consapevolezza, vi è la
possibilità di avviare un nuovo corso per l’information security, con
l’opportunità di un ridisegno del ruolo stesso della gestione della

sicurezza, della creazione di nuove professionalità e dello sviluppo di
nuove competenze.
Con un’attenzione specifica al nostro Paese, ma sempre mantenendo
stretta integrazione con lo sviluppo di fenomeni ormai globali,
l’Osservatorio intende fornire una fotografia continuamente aggiornata
dello stato attuale e delineare le principali sfide e priorità di azione, con
riferimento specifico alle implicazioni per le realtà che operano in Italia.
La Ricerca si basa su un’analisi sul campo estensiva che, solo
nell’ultimo anno, ha coinvolto oltre 950 Chief Information Officer (CIO),
Chief Information Security Officer (CISO) ed executive IT e di Line di
organizzazioni di tutte le dimensioni. Accanto alla Ricerca empirica,
l’Osservatorio ha inoltre attivato un tavolo di confronto permanente,
dedicato alle grandi aziende operanti in Italia (prime 1000
organizzazioni per fatturato) con l’obiettivo di confrontarsi su approcci
e sfide emergenti e di indirizzare, monitorare e validare i risultati della
Ricerca.
Proprietario ed editore
diretti o indiretti causati da/connessi alle
Il Sole 24 ORE S.p.A.
informazioni contenute nella Guida e/o
all'eventuale utilizzo delle stesse per qualsiasi

Presidente
Sede legale e direzione
finalità.
GIORGIO FOSSA
Via Monte Rosa 91 20149 Milano
Tutti i diritti sono riservati. Nessuna parte di questa
Servizio clienti
Vice Presidente
pubblicazione può essere riprodotta con mezzi
CARLO ROBIGLIO
Tel. 02.30300600
grafici e meccanici quali la fotoriproduzione e la
registrazione. L'Editore e gli Autori non potranno in
servizioclienti.periodici@ilsole24ore.com
Amministratore Delegato
alcun caso essere ritenuti responsabili, a qualsiasi
Questa pubblicazione è stata chiusa in redazione in
FRANCO MOSCETTI
titolo, nei confronti di qualsiasi terzo, per danni
data 7 giugno 2017

7
INTRODUZIONE
La guida
Gabriele Faggioli
Responsabile Scientifico Osservatorio
per un corretto approccio
Information Security & Privacy,
Politecnico di Milano
all'information security
e Presidente CLUSIT
ABSTRACT
Il tema dell’information security e
Isistemi connessi in rete e la crescita senza sosta del digitale, che permea
ormai ogni momento della nostra vita, rendono il tema della protezione dei
dati personali e della gestione della sicurezza sempre più attuale.
della gestione della privacy è
L’Osservatorio Information Security & Privacy, che si occupa da anni delle
sempre più attuale e non potrà
tematiche relative a questo tema, porta il suo contributo in questa
che esserlo ulteriormente nel
pubblicazione, da un punto di vista privilegiato di osservazione del mercato.

futuro.
Il tema della gestione della sicurezza informatica e della privacy è
Quello che speriamo di aver
intrinsecamente complesso e richiede competenze multidisciplinari per essere
traguardato con questa
affrontato in modo esaustivo. La struttura della pubblicazione prova a
pubblicazione è una collezione di
rispondere ad entrambe le istanze, cercando di introdurre alcuni concetti di
contributi e stimoli che portino ad
base nei primi capitoli, per poi entrare in modo più approfondito e verticale su
una riflessione più approfondita e
specifici aspetti progettuali e normativi. Il contributo si avvale della presenza di
matura sul tema.
svariati esperti del settore, che collaborano con l’Osservatorio per portare la
propria esperienza.
La pubblicazione è suddivisa in tre parti, che toccano rispettivamente i
seguenti argomenti: lo stato attuale e le leve di progettazione, le implicazioni
dell’innovazione digitale sulla security, il quadro normativo e le linee guida di
riferimento. I capitoli sono corredati da numerosi studi di caso relativi ad
aziende utente che hanno voluto condividere le progettualità messe in campo,
permettendo di completare le nozioni con esperienze concrete.

La prima parte, sullo stato attuale e le leve di progettazione, vuole essere
un’introduzione alla tematica della gestione della sicurezza. Vengono dapprima
delineati nel capitolo uno i principali trend che influenzeranno l’evoluzione del
panorama della sicurezza nei prossimi mesi, in accordo con quanto emerso
dalla Ricerca e identificato dai principali player del mercato dell’offerta. Nel
secondo capitolo si introducono i principi di gestione della sicurezza
informatica, interpretando lo stato di maturità delle organizzazioni italiane
nell’approccio strategico al tema. Nel terzo capitolo si fornisce una fotografia
dello stato attuale del mercato italiano, con una panoramica sulle scelte delle
organizzazioni in termini di adozione di soluzioni tecnologiche e definizione di
policy aziendali. Il quarto capitolo è dedicato ad un tema centrale nella gestione
della sicurezza, quello del fattore umano, dal punto di vista delle azioni da
intraprendere per garantire una corretta cultura delle persone nell’utilizzo dei
servizi digitali. Il quinto capitolo approfondisce ulteriormente la tematica
portando, a sostegno di quanto presentato nel capitolo precedente, evidenze sul
tema delle campagne di phishing simulato. Il sesto capitolo tocca il ruolo del
Chief Information Security Officer, le competenze necessarie ed i nuovi profili
professionali per la gestione della sicurezza. Il settimo parla infine dello stato di
attenzione delle piccole-medie imprese italiane, evidenziando elementi di
ritardo e punti di miglioramento.

8
La seconda parte si occupa di indagare le implicazioni dell’innovazione
digitale sulla gestione della sicurezza. L’ottavo capitolo analizza le opportunità
derivanti dalla disponibilità di enormi moli di dati, i cosiddetti Big Data, ed il
cambio di approccio nelle modalità di difesa delle aziende. Il nono capitolo
indaga i modelli di sicurezza necessari a gestire il cambiamento di paradigma
introdotto dal Cloud Computing, che negli ultimi anni ha progressivamente
portato all’esternalizzazione di parte dei sistemi informativi aziendali. Il decimo
capitolo si occupa delle vulnerabilità introdotte dall’utilizzo di device mobili e
del cambiamento nei nuovi modelli di lavoro dello smart working.
L’undicesimo capitolo racconta le nuove sfide introdotte dal mondo dei
dispositivi connessi dell’Internet of Things, che stanno cambiando intere filiere
di mercato. Il dodicesimo porta un contributo alla discussione sul tema
dell’Industry 4.0, la fabbrica sempre più connessa e dotata di robot intelligenti,
che richiede una sensibilità crescente nella progettazione di sistemi di sicurezza.
Il tredicesimo indaga il mercato emergente legato all’assicurazione del rischio
cyber, che risponde all’esigenza delle organizzazioni di dotarsi di strumenti di
mitigazione e trasferimento del rischio in un mondo in cui l’innovazione
digitale rende complesso identificare i punti di vulnerabilità aziendale.
La terza parte è dedicata al quadro normativo di riferimento con particolare
attenzione rivolta alla nuova regolamentazione europea in materia di

protezione dei dati (GDPR - General Data Protection Regulation). In particolare,
l’analisi è rivolta alle grandi imprese e alle PMI e alle principali certificazioni che
sarà possibile ottenere. Il capitolo quattordici indaga le principali novità
introdotte dal GDPR e il cambiamento di filosofia orientato alla creazione di un
sistema di governance dei dati personali, rispetto all’approccio normativo di
tipo formalistico del passato. Il quindicesimo capitolo traccia una roadmap di
adeguamento al Regolamento europeo, identificando le singole fasi ed entrando
nel merito dei punti di attenzione e delle implicazioni organizzative e di
processo. Il sedicesimo capitolo rilegge le novità normative dalla prospettiva del
mondo delle piccole e medie imprese, analizzando i meccanismi che possono
garantire la sostenibilità e l’efficacia dello sforzo necessario per l’adeguamento e
la sua applicazione nell’operatività quotidiana. Il capitolo diciassette, infine,
offre una panoramica delle certificazioni per le aziende, delle norme
internazionali di riferimento per la sicurezza dei prodotti informatici, degli
impatti economici di uno schema di certificazione e dei nuovi sviluppi a livello
internazionale.
Il tema dell’information security e della gestione della privacy è sempre più
attuale e non potrà che esserlo ulteriormente nel futuro. Quello che speriamo di
aver traguardato con questa pubblicazione è una collezione di contributi e
stimoli che portino ad una riflessione più approfondita e matura sul tema, che
porti le organizzazioni a poter governare in modo proattivo le sfide che si

presenteranno nei prossimi anni e, in definitiva, a aumentare l’attenzione, la
cultura e la sensibilità sul tema.
È doveroso ringraziare i soggetti che a vario titolo permettono la
realizzazione delle attività dell’Osservatorio: la community di aziende utente,
che ci segue continuativamente nelle attività; i sostenitori della Ricerca, che ci
permettono di poter esplorare ed analizzare questo mercato con una
prospettiva vicina al mondo dell’offerta; i numerosi esperti che mettono a
disposizione le proprie competenze per arricchire la discussione.
Infine ringraziamo il Gruppo Sole 24 Ore che ha pensato a noi per questa
pubblicazione.
PARTE I LO STATO ATTUALE E LE LEVE DI PROGETTAZIONE
1. I trend per il 2017, le sfide
Alessandro Piva*
L'innovazione digitale offre grandi opportunità alle
organizzazioni, ma sono richiesti modelli differenti
di gestione della sicurezza per fronteggiare le nuove
minacce. I trend per il 2017 mostrano uno scenario
allarmante, ma che può essere uno stimolo importante

per la crescita di questo settore
L’anno degli attacchi
minaccia che richiede il
rilevante è stato compiuto in
Il 2016 verrà con buona
pagamento di una somma per
Finlandia, dove i sistemi di
probabilità ricordato come l’anno
rientrare in possesso dei propri
automazione di due edifici sono
dell’Hack. In primis le rivelazioni
dati – che si sono diffusi in
stati messi fuori uso, impendendo
di Yahoo, che ha prima reso
differenti varianti, in grado di
di controllare da remoto sistemi
pubblico di aver scoperto solo nel
colpire anche dispositivi mobile.
quali il riscaldamento e la
corso dell’anno una violazione
Gli stessi device smart connessi

ventilazione.
risalente al 2014 che ha
all’Internet of Things sono
Per fornire un ulteriore esempio
interessato 500 milioni di
diventati veicolo di possibili
di violazione è opportuno citare
account, poi ammesso di aver
minacce; è il caso dell’attacco
anche l’attacco condotto ai danni
subito un attacco ancora più grave
DDoS (Distributed Denial of
di Tesco Bank, che ha comportato
nell’agosto 2013, che ha coinvolto
Service) di ottobre che ha colpito
la perdita di alcune centinaia di
oltre un miliardo di utenti.
Dyn 1 , uno dei principali DNS
sterline dal proprio conto per
Gli ultimi mesi hanno visto
(Domain Name System) provider,

9000 clienti. Questo incidente è
aumentare drasticamente
causando l’impossibilità di
particolarmente rilevante in
l’attenzione al cybercrime in
accedere a servizi quali, ad
quanto sono concretamente
seguito a quanto emerso durante
esempio, Netflix e Twitter. In
evidenti i danni al consumatore,
le elezioni presidenziali
questo caso, infatti, l’attacco è
che solitamente viene tenuto
americane, dove si ritiene che vi
stato causato dalla breccia in
all’oscuro del fatto che i propri
possano essere state azioni di
decine di migliaia di device di
dati siano stati trafugati.
cyberspionaggio in grado di
videosorveglianza che, infettati da

Anche il 2017 si è
influenzare l’esito delle
un malware, sono diventati agenti
preannunciato come un anno
consultazioni.
in grado di mettere fuori uso i
nero per la sicurezza informatica.
Vi è stata inoltre una continua e
server del vendor.
Tra i diversi incidenti che si sono
progressiva crescita dei
Solo un mese dopo, in
susseguiti durante i primi mesi
ransomware – una particolare
novembre, un altro attacco DDoS
dell’anno va sicuramente
* Direttore Osservatorio Information Security & Privacy, Politecnico di Milano.
1 . http://www.pcworld.com/article/3133847/internet/ddosattackondynknocks-
spotifytwittergithubetsyandmoreoffline.html.
10
menzionato il caso “WannaCry”,
lavoro dei millennials, sta
dell’Information Technology è
avvenuto a maggio. L’attacco, di
comportando anche nell’ambiente
sempre più caratterizzato da
portata mondiale, ha colpito i
business un cambiamento
fenomeni di consolidamento, di
sistemi di organizzazioni, aziende
radicale nell’approccio delle
fusione e acquisizione, elementi
e istituzioni pubbliche in oltre 150
persone all’uso delle informazioni
necessari per rispondere a un
Paesi, infettandoli tramite un
personali. Rispetto al passato c’è
mercato che si muove a velocità
ransomware, che ha reso
uno shift culturale importante
vorticose. Questi cambiamenti

inaccessibili i dati richiedendo il
verso l’uso degli strumenti digitali
significano però anche tecnologie
pagamento di un riscatto da
e l’impiego sempre più pervasivo
non più supportate o sviluppate
effettuare in Bitcoin.
di strumenti social che richiede
che, nell’ambito della sicurezza,
policy di utilizzo differenti, più
comportano sistemi non protetti e
I fattori macroeconomici
permissive e coerenti con quello
più esposti all’attacco di terze
Vi sono diversi fattori
che è il normale modo di
parti.
macroeconomici che influenzano
relazionarsi e di vivere delle
il cambiamento di approccio al
persone.
Le implicazioni del digitale
tema della sicurezza informatica
In un mondo caratterizzato dal
sulla gestione della sicurezza
all’interno del mondo delle
dato come nuova valuta, che apre
nelle imprese
imprese. Diversi analisti parlano
ad utilizzi talvolta impropri delle
Negli ultimi anni le
oggi di una nuova guerra fredda,
informazioni a disposizione,
organizzazioni stanno vivendo un
che vede protagonisti Stati
crescono i casi di abuso da parte
processo di trasformazione
nazionali e hacker.
di dipendenti che fanno leva su
digitale (digital transformation)
Organizzazioni statali possono
dati riservati legati all’azienda o a

importante, che spesso prescinde
oggi utilizzare gli strumenti
clienti per massimizzare
da logiche di evoluzione
informatici per condurre azioni di
performance o obiettivi personali,
incrementale per abbracciare
spionaggio nei confronti di
in modo noncurante degli effettivi
logiche di cambiamento
cittadini o altri Stati, così come
diritti di sfruttamento in loro
disruptive. I trend
finanziare operazioni illegali
possesso.
dell’innovazione digitale che
grazie ad attacchi hacker a scopo
Un ulteriore trend rilevante
guidano questa transizione sono
di estorsione. Scenari futuristici
vede l’emergere di
principalmente il Cloud
immaginano inoltre l’utilizzo di
regolamentazioni più dure ed
Computing, l’Internet of Things, il
droni hackerati per operazioni di
esigenti in termini di raccolta ed
Mobile, i Big Data Analytics, i Social
spionaggio. L’attribuzione stessa
utilizzo dei dati personali. La
(figura 1.1) .
degli attacchi a matrice statale
nuova regolamentazione UE in
La diffusione di servizi di Cloud
diventa complessa, offrendo il
materia di trattamento dei dati
Computing, ormai nell’uso
fianco a possibili manipolazioni
personali, nota come GDPR
quotidiano di persone ed
da parte di hacker o, peggio
(General Data Protection

organizzazioni, ha permesso alle
ancora, da parte di organizzazioni
Regulation), pone l’accento su una
imprese di disporre di sistemi
terroristiche.
maggiore strutturazione dei
informativi flessibili e
Le informazioni trafugate a
processi di gestione dei dati, sulla
riconfigurabili, in grado di
cittadini ed organizzazioni
creazione di nuovi ruoli
rispondere in modo rapido alle
possono diventare inoltre oggetto
organizzativi e sulla messa in atto
nuove esigenze del business.
di azioni di cyber propaganda,
di pratiche e strumenti più
L’adozione di modelli ibridi, in cui
ovvero essere utilizzate per
complessi rispetto al passato.

i dati spesso risiedono al di fuori
fornire informazioni riservate su
La stratificazione di tecnologie,
dei confini aziendali, richiede
uno specifico tema per
applicazioni e servizi che negli
nuovi processi e nuove regole di
influenzare l’opinione pubblica. Si
ultimi venti anni ha caratterizzato
gestione della sicurezza del dato e
pensi a titolo esemplificativo a
l’evoluzione dell’informatica fino
nuove modalità di relazione con i
quanto avvenuto con il caso
a come la conosciamo oggi ha
provider di servizi. I fornitori, in
Wikileaks.
portato, come in altri mercati,
grado di gestire una grande
Il cambiamento generazionale,
all’entrata ed uscita di player,

numerosità di clienti con esigenze
con l’ingresso nel mondo del
anche rilevanti. Il mercato
differenti, sono generalmente

11
portato svariati manufacturer ad
inserire nella propria offerta
progressivamente prodotti
intelligenti per cogliere, ed

anticipare, le nuove richieste dei
consumatori. Spesso però
mancano le competenze
necessarie al disegno delle
corrette misure di sicurezza, che
richiedono, dopo il lancio dei
prodotti, il richiamo o la creazione
di update, con un grande esborso
economico da parte dei
produttori. Diviene quindi
necessario, durante la
progettazione, simulare attacchi
per esplorare e comprendere
potenziali vulnerabilità insite nei
prodotti stessi, tramite
Vulnerability Assessment e
Penetration Test. La raccolta di
dati massiva, permessa dai
dispositivi dell’Internet of Things,
nelle condizioni di offrire
negli ultimi anni un’esplosione

oltre ad ampliare la possibilità di
standard di sicurezza allo stato
inarrestabile. Analisti
riduzione della privacy degli
dell’arte, superiori nella maggior
internazionali stimano che
utenti, apre le porte a nuovi
parte dei casi a quelli messi in
attualmente siano presenti nel
potenziali punti di attacco, legati
campo dalla singola
mondo interconnesso oltre 8
ai sistemi di raccolta dei dati e alle
organizzazione, a maggior
miliardi di sensori 2 , che rendono
piattaforme di controllo dei
ragione se parliamo di realtà di
intelligenti le nostre case, le auto,
device.
medie o piccole dimensioni. Per
gli impianti di videosorveglianza,

Le applicazioni di Internet of
contro, la centralizzazione di dati
gli smartphone ed i wearable.
Things interessano sempre più
nelle infrastrutture di grandi
Quando parliamo di sicurezza di
anche l’ambito industriale, dove si
fornitori, rende questi ultimi
dispositivi connessi, il tema della
assiste ad una progressiva
preda appetibile per gli hacker,
security by design assume un ruolo
convergenza dell’Information
che vedono la possibilità di
fondamentale. Sicurezza by
Technology e dell’Operational
raggiungere, con un singolo
design significa progettazione dei
Technology. In particolare
attacco, una platea di soggetti
prodotti orientata a limitare, fin

l’utilizzo più ampio di sistema
molto ampia. L’attenzione dei
dalla prima fase di creazione, le
SCADA (Supervisory Control And
criminali informatici può essere
possibili vulnerabilità del sistema.
Data Acquisition), ovvero sistemi
orientata sia al furto di dati degli
Sono principi che valgono in
informatici distribuiti per il
utenti, sia alla realizzazione di
qualsiasi contesto, ma che hanno
monitoraggio elettronico di
eclatanti attacchi di tipo Denial of
implicazioni maggiori nell’ambito
sistemi fisici, espone a
Service (DoS), finalizzati a rendere
dei dispositivi connessi, che sono
vulnerabilità maggiori dato
irraggiungibili per un periodo di
naturalmente esposti alle minacce

l’utilizzo più diffuso di sensori.
tempo servizi Cloud di grandi
provenienti dalla rete. L’Internet
I device mobili accompagnano le
player.
of Things, per la sua pervasività in
persone nella vita quotidiana, a
L’Internet of Things ha avuto
differenti settori di impresa, ha
supporto delle nuove modalità di
2 . http://www.gartner.com/newsroom/id/3598917.
12
smart working. I device mobili
informazioni potenzialmente per
complessi algoritmi, suggerendo
sono sempre più diventati
un periodo lungo di tempo. I Big
comportamenti o azioni che
strumenti di lavoro e naturale
Data Analytics rappresentano una

potrebbero compromettere la
canale di accesso alle
grande opportunità per le
sicurezza dell’utente. Inoltre,
informazioni personali e
imprese, ma gli scenari di utilizzo,
nuove modalità di autentificazione
aziendali. In ambito business, la
le competenze ed i modelli
adattativa e basata sul
definizione di policy e
organizzativi per governarli non
comportamento, come per
l’introduzione di strumenti di
sono ancora del tutto chiari e
l’appunto la voce o la biometria,
MDM (Mobile Device
codificati, aumentando i punti di
possono aprire a nuove possibili
Management) orientati al
attacco e le vulnerabilità. Infine è

vulnerabilità.
monitoraggio dell’accesso alle
necessario codificare i permessi di
Anche i droni, che nel futuro
informazioni raccolte sui
accesso alle informazioni, per
potrebbero diventare la
dispositivi sono diventati sempre
limitare i possibili utilizzi
quotidianità nelle consegne a casa
più necessari per garantire il
fraudolenti.
e che vengono impiegati
corretto trattamento dei dati.
I social network sono entrati
nell’ambito della realizzazione di
Sono nate tuttavia nuove forme di
ormai da anni nelle nostre vite,
video di qualità, sono un
attacco orientate specificatamente
ridefinendo implicitamente i
potenziale destinatario di attacchi
al mondo mobile, che puntano per
confini della privacy, di ciò che è
hacker (fenomeno noto come
esempio a bloccare i dispositivi
corretto condividere in termini di
dronejacking). Potrebbe essere
per ottenere le credenziali
gusti e di episodi della propria
possibile tracciare i percorsi, con
bancarie. Inoltre gli stessi
vita quotidiana. Il modo di vivere
l’obiettivo di sottrarre il contenuto
dispositivi divengono l’obiettivo di
social, sospeso tra narcisismo,
della consegna, oppure
strumenti di RAT (Remote Access
personal branding e nuove
comprometterli e prenderne il
Tools), che mirano ad utilizzare i
opportunità di conoscenza ha
controllo laddove si tratti di droni
device mobili come strumento per
aperto la strada a nuovi canali e
di alta qualità utilizzati in ambito
controllare gli utenti tramite
modelli di marketing. Tuttavia, la
video o, estremizzando, in ambito
l’utilizzo di videocamera o
disponibilità di un numero così
militare.
applicazioni social.
elevato di informazioni personali
La crescita dei dati a
offre possibilità di attacco nuove,
L’evoluzione degli attacchi
disposizione, dai sensori così
basate sul profilo dell’attaccato. La
I nuovi trend dell’innovazione
come dai social, i cosiddetti Big
diffusione di sistemi di
digitale pongono nuove sfide in

Data, offrono oggi alle imprese
apprendimento automatico ha
termini di sicurezza, ma allo
possibilità di far leva sui dati
permesso la nascita di sistemi di
stesso tempo cambiano le
stessi per ottimizzare i processi
Social Intelligence, in grado di
modalità stesse con cui vengono
aziendali e creare nuovi prodotti e
delineare in modo dettagliato i
condotti gli attacchi e l’oggetto
servizi. I Big Data Analytics
comportamenti degli utenti su
degli attacchi stessi.
rappresentano la capacità di
Internet e di sferrare, quindi,
In particolare aumenta
interpretare i dati, con modelli e
attacchi mirati e profilati.
l’interesse da parte di
algoritmi predittivi, utilizzando
Oltre a questi grandi trend
cybercriminali verso infrastrutture
tecnologie che permettono di
dell’evoluzione digitale, vi sono
critiche, come reti di
individuare i pattern nascosti in
altre tendenze emergenti che
telecomunicazioni, impianti
essi. Per fare questo le
richiedono attenzione dal punto
nucleari, reti idriche, che possono
organizzazioni sono chiamate a
di vista della gestione della
arrecare blocchi sistemici ad
raccogliere grandi moli di dati, a
sicurezza.
intere comunità o Paesi.
digitalizzare tutti i processi, senza
Le nuove modalità di interazione
Crescono gli attacchi di tipo

necessariamente conoscerne a
tra essere umani e device (si pensi
ransomware, ovvero orientati
priori l’utilizzo. Questo approccio,
a titolo esemplificativo alle
all’estorsione di denaro in cambio
oltre a richiedere particolare
piattaforme che pongono
della possibilità di rientrare in
accortezza nel trattamento dei
l’attenzione sull’interazione vocale
possesso dei propri dati. Per il
dati dei consumatori, implica di
come Cortana o Siri), indirizzano
futuro si pensa che tali attacchi
raccogliere e custodire molte
le scelte degli utenti sulla base di
possano interessare sempre più

13
spesso device dell’Internet of
in particolare focalizzati sul

legati a una omissione negligente
Things.
settore bancario, come ad
durante l’uso o la manutenzione
Accanto ai ransomware cresce
esempio sui sistemi di
del sistema informativo.
l’attrattività di attacchi di tipo BEC
pagamento, per reindirizzare beni
Il mercato dell’assicurazione del
(Business Email Compromise),
su altre destinazioni.
rischio cyber è ancora immaturo e
che permettono di ottenere cifre
lo scenario è in continuo
maggiori rispetto ai primi. Questa
L’assicurazione
cambiamento. La copertura del
tipologia di attacco, che sfrutta
del rischio cyber
rischio cyber riguarda i danni

come punto di accesso un errore
La crescente complessità nella
causati direttamente al
umano, tende ad essere
gestione della sicurezza e della
sottoscrittore o a terze parti. Le
targettizzata su soggetti di
mitigazione del rischio rende di
principali aree di copertura
particolare interesse, ai quali
particolare interesse il tema
riguardano, a titolo
possono essere estorte quantità di
dell’assicurazione del rischio
esemplificativo, l’investigazione e
denaro maggiori o informazioni
cyber. L’attivazione di una
gestione degli eventi, la gestione
di elevato valore (es. CEO Scam).
copertura può essere scatenata da
delle istruttorie e la copertura

Si diffonderanno inoltre
diversi fattori, quali una
danni in seguito a richieste di
attacchi basati sulla
violazione dei dati personali,
terze parti o a danni subiti
compromissione di un processo,
difetti di sicurezza, problemi
direttamente. •
CODICE CIVILE
ANNOTATO CON LA NORMATIVA
TRIBUTARIA 2017
a cura di Michele Brusaterra
Il Codice Civile corredato di tutti i rimandi alla norma-
tiva fi scale vigente offre al professionista contabile e
all’avvocato tributarista uno strumento agile e di im-
mediata consultazione. La normativa civilistica è
sempre più strettamente connessa con le disposizio-
ni fi scali: da qui la necessità per professionisti e im-
prese di poter disporre di un Codice aggiornato, che
racchiuda tutte le correlazioni tra i due corpi norma-

tivi. Aggiornato con le ultime novità normative (L.
76/2016, D.L. 59/2016, conv. con L. 119/2016 e
D.Lgs. 202/2016).
Pagg. 528 – e 36,00
ACQUISTA SUBITO IL VOLUME:
SERVIZIO CLIENTI LIBRI
NELLE LIBRERIE
tel. 02/30.300.600
ON LINE
PROFESSIONALI
servizioclienti.libri@ilsole24ore.com
www.shopping24.it
www.librerie.ilsole24ore.com
14
2. La rilevanza di gestire
l'information security
Alessandro Piva*
La gestione dell'information security si basa su tre
principi fondamentali: la confidenzialità, l'integrità

e la disponibilità. La consapevolezza di questi principi
si esplicita nella realizzazione di una strategia concreta,
di un piano operativo basato su scelte tecnologiche
e modelli organizzativi coerenti
I principi di gestione
confidenzialità possono essere
non è univoco, essendo diversi gli
imputabili ad un attacco malevolo
elementi che devono essere presi
Gli obiettivi di una strategia di
oppure ad un errore umano. Le
in considerazione dalla singola
information security si basano su
modalità di attacco possono
organizzazione in relazione al
tre principi fondamentali:
essere molteplici, e passare ad
proprio business, ad esempio il
confidenzialità, integrità e
esempio dalla sottrazione di

grado di sensibilità delle
disponibilità (detta anche triade
password, dall’intercettazione di
informazioni che vengono trattate
CIA – Confidentiality, Integrity
dati su una rete, oppure da azioni
e il livello di criticità e di
and Availability). Tali principi
di social engineering solo per
segretezza che le caratterizzano.
devono essere ricercati in ogni
citarne alcune. Gli errori delle
Il secondo principio della
soluzione di sicurezza, tenendo
persone in grado di
sicurezza riguarda l’ integrità,
conto anche delle implicazioni
compromettere la confidenzialità
ovvero la capacità di mantenere la
introdotte dalle vulnerabilità e dai
delle informazioni riguardano ad

veridicità dei dati e delle risorse e
rischi (figura 2.1).
esempio lo scorretto utilizzo di
garantire che non siano in alcun
Un meccanismo di sicurezza
strumenti e regole di
modo modificate o cancellate, se
deve in prima battuta offrire
autentificazione e il libero accesso
non ad opera di soggetti
confidenzialità, ovvero garantire
a dispositivi a terze parti non
autorizzati. Parlare di integrità
che i dati e le risorse siano
autorizzate.
significa prendere in
preservati dal possibile utilizzo o
Vi sono svariati strumenti che
considerazione differenti scenari:
accesso da parte di soggetti non
possono essere utilizzati per

prevenire modifiche non
autorizzati. La confidenzialità
garantire la confidenzialità delle
autorizzate ad informazioni da
deve essere assicurata lungo tutte
informazioni: la criptazione delle
parte degli utenti, ma anche
le fasi di vita del dato, a partire
comunicazioni, le procedure di
garantire che le informazioni
dal suo immagazzinamento,
autentificazione, la creazione di
stesse siano univocamente
durante il suo utilizzo o il suo
modelli di data governance ben
identificabili e verificabili in tutti i
transito lungo una rete di
definiti e le azioni di awareness
contesti in cui vengono utilizzate.
connessione.
sugli utenti.
Per assicurare l’integrità è
Le cause di violazione della
Il concetto di confidenzialità
necessario mettere in atto policy
15
FIGURA 2.1 – I PRINCIPI DI GESTIONE DELLA SICUREZZA

INFORMATICA
di autentificazione chiare e
alla possibilità, per i soggetti
dell’energia elettrica, inondazioni,
monitorare costantemente
autorizzati, di poter accedere alle

terremoti. Vi sono anche azioni
l’effettivo accesso ed utilizzo delle
risorse di cui hanno bisogno per
malevole finalizzate nello
risorse, con strumenti in grado di
un tempo stabilito ed in modo
specifico a rendere irraggiungibili
creare log di controllo. Controllo
ininterrotto. Rendere un servizio
i servizi: è il caso degli attacchi
degli accessi (per esempio tramite
disponibile significa impedire che
DoS/DDos (Denial of
sistemi di Identity & Access
durante l’intervallo di tempo
Service/Distributed Denial of
Management), procedure di
definito avvengano interruzioni di
Service) o delle interruzioni di
autentificazione, sistemi di
servizio e garantire che le risorse

comunicazione. Accanto alle
Intrusion Detection, restrizioni di
infrastrutturali siano pronte per la
motivazioni imputabili ad
accesso e, ancora una volta,
corretta erogazione di quanto
un’azione dolosa, esistono altre
formazione degli utenti
richiesto. Devono quindi essere
ragioni che possono generare una
rappresentano soluzioni utili per
messi in atto meccanismi in grado
violazione di disponibilità, come
rispettare questo principio.
di mantenere i livelli di servizio
ad esempio il sovrautilizzo di
Le violazioni all’integrità dei
definiti, avvalendosi di strumenti
componenti hardware e software
dati possono avvenire a diversi
di Disaster Recovery, back up e

o l’accidentale rimozione di dati.
livelli, dal semplice utente fino
Business Continuity, in grado di
Le contromisure che si possono
agli amministratori e possono
limitare gli effetti di possibili
mettere in atto in questo caso
essere legate ad un utilizzo non
indisponibilità di servizio o
riguardano ad esempio il disegno
conforme alle policy definite o ad
perdita di dati.
di infrastrutture di rete in grado
un sistema di security progettato
Le minacce che mettono a
di garantire la ridondanza dei
in modo scorretto; vi sono anche
rischio la disponibilità di un
sistemi e di offrire i servizi
vulnerabilità insite nel codice
servizio possono riguardare errori

richiesti anche in caso di guasto o
stesso che espongono applicazioni
software, rotture di device, fattori
incidente, sistemi firewall in
e risorse a potenziali usi
ambientali ed eventi catastrofici
grado di proteggere le reti interne
fraudolenti, mettendo a rischio
che mettono fuorigioco le
e sistemi di monitoraggio
l’integrità delle informazioni.
infrastrutture, come ad esempio
continuo del traffico. Le policy di
Infine, la disponibilità si riferisce
interruzioni dell’erogazione
Business Continuity garantiscono
16
inoltre l’implementazione di
revisionato continuativamente,
delle performance serve poi a

soluzioni in grado di limitare i
per identificare la coerenza con il
identificare azioni correttive e a
possibili punti di attacco.
piano strategico e l’individuazione
mettere in atto miglioramenti nei
I concetti di confidenzialità,
di aree di intervento. La capacità
processi di governo della security
integrità e disponibilità sono
di circoscrivere processi e
e nella revisione del piano nel suo
strettamente correlati tra loro ed il
procedure di valutazione del
complesso. Infine, l’approvazione
disegno di un sistema di gestione
rischio, che sappiano localizzare e
della nuova regolamentazione
analizzare le diverse minacce
europea sulla privacy (General

necessita che vengano tenuti in
basate sul profilo di rischio
Data Protection Regulation –
considerazione in modo unitario.
dell’organizzazione, diventa
GDPR) richiede di analizzare le
fondamentale per mettere in atto
implicazioni per la sicurezza e di
Dalla consapevolezza
misure efficaci in grado di
mettere in atto conseguentemente
alla realizzazione di una strategia
mantenere i rischi all’interno di
misure tecnologiche,
di gestione della sicurezza
limiti accettabili.
organizzative e di processo.
e della privacy
Il paradigma di gestione della
Con riferimento al campione di
La possibilità di mettere in campo

sicurezza sta cambiando nel corso
analisi di grandi organizzazioni 1
piani ed azioni concrete, con uno
del tempo, passando
analizzato dall’Osservatorio
scope che non si limiti al solo
progressivamente da una gestione
ambito tecnologico, richiede una
perimetrale ad un approccio
solo il 18% delle imprese operanti
consapevolezza organizzativa
maggiormente incentrato sul
in Italia ha messo in campo un
chiara rispetto alla necessità di un
dato. La maggior consapevolezza
piano di investimento con
approccio di lungo periodo alla
della complessità intrinseca in un
orizzonte pluriennale con
gestione dell’information security

mondo dove il digitale è sempre
inserimento di riferimenti espliciti
e privacy. Da questa presa di
più pervasivo nei processi
nel piano industriale (nelle
coscienza discende la necessità di
aziendali conduce ad una
aziende quotate con maggiore
strutturare un’organizzazione con
trasformazione: da una visione
capitalizzazione si arriva al 58%).
ruoli di governance ed indirizzo
legata alla mera compliance si
Un ulteriore 21% ha sempre un
che sia in grado di sviluppare una
passa alla gestione del rischio e
piano pluriennale, senza però
strategia ben delineata e di
della sua mitigazione, tramite il
nessun richiamo nel piano
allinearla alle esigenze del

controllo dell’intero ciclo di vita
industriale. Nel 34% dei casi vi è
business.
dell’informazione. Cambia
un piano con orizzonte annuale,
Il piano strategico, definito e
l’approccio al fattore umano, alla
mentre nel 27% restante il budget
concordato con il Top
persona da sensibilizzare ed
viene stanziato solo
Management aziendale, esplicita
incoraggiare a comportamenti
all’occorrenza. Rispetto allo scorso
ad alto livello come
responsabili.
anno il quadro mostra una
l’organizzazione intende
I progetti e le azioni messe in
maggiore consapevolezza, con un
governare le minacce e come si

campo possono essere di svariato
7% in più di organizzazioni che
propone di garantire la sicurezza
tipo e possono orientarsi ad
hanno predisposto un piano
delle informazioni aziendali
anticipare possibili minacce o a
pluriennale.
sensibili. Una volta stabilite le
mitigarne gli effetti. Oggi, accanto
linee di indirizzo si identifica un
alla capacità di prevenire e
La roadmap evolutiva
framework, sulla base di modelli
contrastare gli attacchi, è sempre
Per far fronte a modelli di
di riferimento e specificità del
più richiesto di saperli predire,
innovazione sempre più rapidi e
settore dell’impresa. Il piano
monitorare e di saper rispondere

dirompenti, l’approccio delle
necessita di essere comunicato in
in modo tempestivo ed efficace.
aziende verso l’information
modo chiaro all’interno
L’identificazione di metriche di
security deve maturare lungo due
dell’organizzazione e di essere
monitoraggio e di misurazione
direzioni principali: da una parte
1
. Nella trattazione si fa riferimento a grandi organizzazioni identificando imprese con più di 2
aziende più piccole.
17
diviene basilare sviluppare
consapevolezza strategica e vision

però a tenere il passo
consapevolezza strategica e vision,
prevalgano (25%) sulla definizione
dell’evoluzione delle tecnologie
dall’altra mettere in campo azioni
di ruoli organizzativi e approcci
digitali e delle gravi minacce alla
e piani concreti, dal punto di vista
tecnologici chiari (8%). Come si
sicurezza che da queste possono
dei ruoli organizzativi e degli
vedrà in seguito, a fronte di
derivare. Lo si nota chiaramente
approcci tecnologici. Le aziende che
questa situazione a macchia di
osservando le aree di
si possono definire mature su
leopardo emerge in ogni caso una
investimento delle aziende in
entrambe le direzioni sono il 19%
crescita progressiva della maturità

security: aspetti fondamentali
del campione mentre, all’opposto,
da parte delle imprese. La velocità
nell’evoluzione digitale delle
vi è un 48% che risulta ad uno
di adozione delle strategie e di
imprese come il Cloud e la
stadio iniziale di questo percorso.
implementazione di progetti volti
Mobility rimangono ancora di
Nelle restanti organizzazioni è
ad incrementare la sicurezza nella
nicchia, benché rilevanti in
interessante notare come
gestione delle informazioni fatica
prospettiva futura. •
GUIDA PRATICA FISCALE
TRIBUTI LOCALI
Giuseppe Debenedetto
La Guida Pratica Fiscale Tributi Locali illustra, con l’operatività
e la chiarezza tipica del «Sistema Frizzera 24», la disciplina di

Imu, Tasi, Tari e delle altre entrate comunali (Tosap, pubblicità
e Cosap, imposte di soggiorno, di scopo e di sbarco e addi-
zionali Irpef), corredate della relativa normativa sostanziale,
sanzionatoria e di riscossione del tributo.
Aggiornato con tutte le novità di prassi e di giurisprudenza.
Pagg. 432 – e 32,00
ACQUISTA SUBITO IL VOLUME:
NELLE LIBRERIE
SERVIZIO CLIENTI LIBRI
ON LINE
PROFESSIONALI
tel. 02/30.300.600
www.shopping24.it
www.librerie.ilsole24ore.com
servizioclienti.libri@ilsole24ore.com
18
3. Lo stato attuale
dell'information security
Andrea Antonielli*
L'investimento in information security richiede
Giorgia Dragoni**
attenzione a differenti aspetti: l'identificazione, la
protezione, la rilevazione, la risposta e il ripristino.
In Italia la spesa in information security è ancora limitata
e orientata a proteggere l'azienda, meno ad identificare
le corrette misure per rilevare attacchi e mettere in atto
opportune azioni di mitigazione
Le principali minacce
determinati obiettivi sociali e
attuali (indicati dal 49% delle
e vulnerabilità che mettono
politici attraverso la pirateria
organizzazioni intervistate) ed i
in pericolo la sicurezza
informatica.
collaboratori e consulenti
Le più rilevanti minacce alla
Secondo i dati del Rapporto
aziendali (30%).
sicurezza delle informazioni

CLUSIT, nel 2016 il cybercrime si
Le principali minacce
provengono nella maggior parte
è confermato la prima causa di
riscontrate negli ultimi anni dalle
dei casi da agenti che operano
attacchi gravi a livello globale,
aziende sono state:
all’esterno del perimetro
interessando il 72% del totale dei
› Infezioni da malware: il termine
aziendale e sono collegate
casi analizzati. Gli attacchi
“malware” identifica
principalmente a fenomeni legati
compiuti da cybercriminali
applicazioni dannose finalizzate
a “cybercrime” e “hacktivism”.
registrano un aumento di quasi il
ad arrecare danno alla vittima,
Viene definito “cybercriminale”

10%, confermando un trend che
per esempio tentando di
un soggetto che, spinto da
dura ormai da diversi anni 1 .
accedere segretamente a un
motivazioni criminose, effettua,
Dalla Ricerca dell’Osservatorio
particolare dispositivo senza
singolarmente o tramite una vera
Information Security & Privacy
che l’utente ne sia a conoscenza
e propria associazione, attacchi
emerge però come le fonti di
per raccogliere informazioni,
informatici attraverso l’uso di
attacco siano spesso anche
creare malfunzionamenti o
Internet (ad esempio al fine di
interne all’azienda: tra i soggetti
criptarne i dati.
estorcere denaro o trafugare

che rappresentano un pericolo per
› Attacchi di phishing: per
informazioni vitali per
la sicurezza spiccano infatti anche
“phishing” si intendono i tentativi
l’organizzazione).
categorie di persone che hanno
di frode informatica volti a
Un “hacktivist” invece è colui
rapporti più stretti e continuativi
carpire i dati sensibili degli utenti.
che mira alla realizzazione di
con l’azienda, come i lavoratori
Generalmente un attacco di
* Ricercatore Osservatorio Information Security Privacy, Politecnico di Milano
** Ricercatrice Senior Osservatorio Information Security Privacy, Politecnico di Milano
1 . Rapporto Clusit 2017 sulla sicurezza ICT in Italia, Clusit, marzo 2017.
19
FIGURA 3.1 – I DATI OGGETTO DI ATTACCO
phishing si traduce nell’invio di e-
monetaria relativamente
rispetto alle policy e alle buone
mail, contenenti indicazioni e
contenuta per le vittime, le
pratiche di comportamento
loghi “familiari”, con cui si invita
quali pertanto sono
introdotte in azienda, la
la vittima a fornire informazioni
maggiormente inclini a pagare

distrazione degli utenti, l’accesso
riservate (ad esempio password,
il riscatto al fine di rientrare in
in mobilità alle informazioni
codici di accesso o dati della carta
possesso del proprio dispositivo
aziendali e la sempre più diffusa
di credito).
e dei propri dati.
presenza di dispositivi mobili
› Spamming: con tale espressione
› Attacchi DoS/DDos: gli attacchi
personali, spesso utilizzati anche
si intende normalmente l’invio
di tipo DoS (Denial of Service)
per scopi lavorativi. Accanto alle
imponente e indiscriminato di
sono finalizzati a interrompere
vulnerabilità di tipo tecnologico,
messaggi di posta elettronica

la continuità di servizio,
dovute per esempio
senza il consenso del
rendendo inaccessibili i servizi
all’obsolescenza dell’architettura
destinatario. Si tratta
presi di mira. Possono essere
IT o al mancato aggiornamento
solitamente di e-mail aventi
messi in atto generando un
dei sistemi, che possono essere
contenuto pubblicitario.
numero eccessivo di richieste al
prese di mira da hacker per
› Attacchi ransomware: un
server o un volume di traffico
perseguire i propri scopi malevoli,
“ransomware” è un particolare
maggiore rispetto alla banda
si stima che una percentuale
tipo di malware che, dopo aver

disponibile, saturando le risorse
cospicua degli attacchi informatici
limitato o impedito del tutto
a disposizione. Gli attacchi di
siano causati dal comportamento
l’accesso al sistema infettato,
tipo distribuito (DDoS) vengono
umano. I dipendenti spesso
per esempio criptando i file
generalmente veicolati tramite
agiscono in maniera ingenua o
presenti su un dispositivo,
un insieme di dispositivi
inconsapevole, facilitando i
richiede una somma di denaro
connessi alla rete (botnet).
cybercriminali nel bypassare le
da pagare per la sua rimozione.
I tipi di vulnerabilità che
misure di sicurezza messe in atto
Tale tipologia di attacco offre

maggiormente impattano in
dall’azienda.
un importante vantaggio ai
maniera negativa sulla sicurezza
Sono numerose le
cybercriminali, in quanto
aziendale riguardano la scarsa
organizzazioni che hanno subito,
comporta una perdita
consapevolezza dei dipendenti
a causa di tali vulnerabilità,
20
FIGURA 3.2 – IL MERCATO DELL’INFORMATION SECURITY IN

ITALIA
perdite o furti di dati.
Il mercato dell’information security
patrimonio informativo delle
Secondo quanto dichiarato dalle
in Italia
organizzazioni.
aziende coinvolte nella Ricerca
L’Osservatorio Information
La spesa è concentrata nelle
(figura 3.1), gli attacchi sono
Security & Privacy ha coinvolto
grandi imprese, che catalizzano il
indirizzati nella maggior parte dei
nella rilevazione 951
74% della cifra complessiva. Il
casi a trafugare informazioni
organizzazioni italiane di
valore del mercato imputabile alle
operative interne (36%),
differenti dimensioni, 148 grandi
PMI, invece, è pari a 162 milioni di

informazioni price sensitive 2 (21%),
imprese (sopra i 249 addetti) e
Euro per le imprese di media
dati sui clienti (21%) e sui pagamenti
803 PMI (tra 10 e 249 addetti).
dimensione (tra 50 e 249 addetti) e
(15%), informazioni aziendali,
L’analisi di un ampio campione
a 95 milioni di Euro per le aziende
credenziali di accesso e
di imprese e il coinvolgimento
più piccole (tra 10 e 49 addetti).
informazioni relative alla proprietà
delle principali aziende
Il mercato preso in
intellettuale industriale (12%). In
dell’offerta di sicurezza ha
considerazione si riferisce alla
misura minore, le perdite
permesso di stimare il mercato
spesa in information security

riguardano informazioni inerenti a
delle soluzioni e dei servizi di
delle organizzazioni con almeno
gare o informazioni di mercato e
information security in Italia, che
dieci addetti ed è suddivisibile in
competition.
nel 2016 valeva 972 milioni di
tecnologia (28%), servizi di
I dati ritenuti maggiormente
Euro, con tasso di crescita del 5%
integrazione IT e consulenza
critici dalle organizzazioni sono le
sul 2015, sostanzialmente
(29%), software (28%) e Managed
informazioni che riguardano i
allineato a ciò che avviene a livello
Services (15%) (figura 3.2).
clienti e le informazioni sul
internazionale 3 . Questo dato
personale aziendale, indicati

tuttavia non rassicura, la crescita
Le progettualità e le policy messe
rispettivamente dal 59% e dal 49%
esponenziale delle minacce
in campo dalle organizzazioni
delle imprese intervistate, così come
richiede infatti una spinta molto
Come evidenziano diversi
le informazioni finanziarie (38%).
più decisa verso la tutela del
framework di
2
. Le informazioni price sensitive sono informazioni riguardanti una società oppure un titolo su
3
. Gartner stima per il mercato globale dell’information security nel 2016 un valore di 81,6 mi
21
FIGURA 3.3 – I PROGETTI E LE POLICY
DATA
SECURITY
NETWORK
APPLICATION
SECURITY
SECURITY
REGOLAM.
POLICY
ENDPOINT
SECURITY
WEB
BYOD
SECURITY
PENETRATION
SIEM
TEST
SOCIAL
MEDIA TEST
ACCESSI
MESSAGING
LOGICI
IDENTITY
SECURITY
THREAT
GOVERNANCE
INTELLIGENCE
CLASSIFICAZ.
DATI
TRANSACTION
CICLO DI VITA
SECURITY
CRIPTAZIONE
DEL DATO
DATI
SOCIAL
MEDIA
UTILIZZO
CLOUD
BACKUP
INCIDENT
RESPONSE
riferimento 4 , esistono diffenti
resilienza dei sistemi e la
della rilevazione, risposta e
aspetti da considerare per una
facoltà di ristabilire i servizi in
ripristino.
gestione consapevole
seguito ad un incidente.
Secondo quanto emerso dalla
dell’information security:
Tali aspetti non richiedono

Ricerca 2016 dell’Osservatorio
› Identificazione: capacità di
necessariamente una
comprendere come gestire il
implementazione sequenziale, ma
(figura 3.3), le progettualità più
rischio cyber.
fanno parte di un approccio
diffuse nelle grandi imprese sono:
› Protezione: capacità di
complessivo orientato alla
› Penetration test (51%): processo
sviluppare ed installare misure
creazione di una cultura
operativo di valutazione della
di sicurezza in grado di
incentrata sulla gestione efficace
sicurezza di un sistema o di
garantire la regolare
della cybersecurity. Per

una rete che simula l'attacco di
erogazione dei servizi.
rispondere a tali bisogni occorre
un malintenzionato, con
› Rilevazione: capacità di svolgere
mettere in atto progettualità
l’obiettivo di metterne in
le attività necessarie a
tecnologiche e policy. È stato
evidenza le vulnerabilità.
riconoscere un evento di
rilevato che le progettualità e le
› Data security (51%): riguarda
cybersecurity al suo verificarsi.
policy messe in campo dalle
tutte le procedure e i sistemi
› Risposta: capacità di pianificare
organizzazioni di maggiori
atti a proteggere i dati presenti
e compiere azioni in relazione
dimensioni sono per lo più

in azienda dalle azioni malevoli
ad un evento identificato.
orientate all’ identificazione e alla
o dall’accesso di soggetti non
› Ripristino: capacità di gestire
protezione, risultando ancora
autorizzati. La sicurezza deve
piani in grado di garantire la
immaturo il supporto agli aspetti
essere gestita opportunamente
4
. Si prendono a riferimento in particolare le “Functions” del “Framework for improving Crit
22
ELX
E X
METODOLOGIE DI LAVORO INTERATTIVO DELL'OSSERVATORIO INFORMA
L’Osservatorio Information Security & Privacy, nell’ambito della Ricerca, organizza annualm
chiuse finalizzati ad attivare un tavolo di confronto permanente tra i CISO delle grandi aziend
appuntamenti vengono spesso utilizzate metodologie di lavoro interattivo, sviluppate ad hoc: i
in gruppi, all’interno dei quali viene richiesto ad ognuno di effettuare una mappatura della rea
framework di gioco e una successiva discussione all’interno del team di lavoro. Tali metodolo
estese all’applicazione in singole realtà aziendali. In particolare è stata sviluppata una metodol
diversi approcci e strategie di gestione dell’information security e privacy, con l’obiettivo di a
messe in atto dalle aziende e a comprendere i driver di spinta, i benefici e le criticità delle diffe
La metodologia prevede i seguenti step, finalizzati a rispondere alle relative domande:
› Mappatura delle iniziative progettuali messe in campo, in base all’approccio strategico
› Approfondimento di una progettualità ritenuta particolarmente rilevante, identificazione del d
Ai partecipanti viene consegnato il tavolo da gioco (figura 3.4) e un set di stickers (
durante tutto il ciclo di vita del
time gli allarmi di sicurezza
l’analisi dei rischi e delle
dato, dalla sua raccolta alla sua
generati dagli apparati hardware
minacce di sicurezza, per
cancellazione, passando per le
di rete e dalle applicazioni
analizzarne i trend e mettere in
fasi di utilizzo, conservazione e
software di gestione e
atto piani di protezione in
archiviazione.
monitoraggio.
ottica attuale e futura.
› Network security (48%):
› Messaging security (38%):

› Social media security (16%):
identifica le pratiche adottate
comprende le modalità di
sistemi mediante i quali
da un amministratore di rete (o
protezione dell’infrastruttura di
vengono messe in atto misure a
di sistema) per proteggere una
messaggistica aziendale, volte a
protezione delle minacce di
rete e le relative risorse da
garantire la sicurezza delle
sicurezza derivanti dall’utilizzo
eventuali accessi non
informazioni condivise in ottica
dei social network.
autorizzati, furto, modifica o
di collaborazione, tra diversi
Le policy più diffuse all’interno
interruzione di servizio.
utenti sia interni sia esterni

delle organizzazioni riguardano
› Application security (45%): uso
all’azienda (clienti, fornitori, ecc.).
invece il backup 5 (89%), la
di software, hardware e
› Web security (36%): misure
gestione degli accessi logici (84%),
procedure volti a proteggere le
adottate al fine di garantire la
la regolamentazione delle
applicazioni aziendali dalle
sicurezza relativamente
procedure comportamentali
minacce interne ed esterne.
all’utilizzo di Internet.
legate alla sicurezza informatica
› Endpoint security (43%): si tratta
› Identity governance &
(80%), la gestione e l’utilizzo dei
del tentativo di assicurare che i
administration (32%): sistemi

device aziendali (72%), la gestione
device (laptop, tablet,
che permettono di gestire e
del ciclo di vita del dato (58%),
smarthpone) collegati alla rete
monitorare gli accessi degli
l’utilizzo di social media e web
aziendale rispettino
utenti ad applicazioni e dati
(57%), le policy di classificazione
determinati standard di
critici, proteggendo
dei dati (52%) e di criptazione
sicurezza.
contestualmente i dati
degli stessi (39%) (la criptazione
› Security information & event
personali.
consiste nell’attribuzione di un
management (38%): sistemi in
› Threat intelligence (20%):

codice ad una serie di dati allo
grado di identificare, registrare,
prevede la raccolta di
scopo di renderne possibile
monitorare e analizzare in real-
informazioni, il monitoraggio e
l’accesso esclusivamente a chi ne
5
. Per “backup” si intende la duplicazione di un file o di un insieme di dati su un supporto este
riserva.
23
ha il diritto.)
sicurezza nella gestione delle
termini di progetti e policy da
Complessivamente, è possibile
informazioni fatica a tenere il
mettere in campo. Nei capitoli
affermare che la consapevolezza
passo dell’evoluzione delle
successivi verranno
delle aziende rispetto al tema

tecnologie digitali e delle minacce
approfondite in dettaglio alcune
della sicurezza sta
che da queste possono derivare.
progettualità legate ai trend
progressivamente aumentando,
I trend emergenti
dell’innovazione digitale: Big
ma la velocità di adozione delle
dell’innovazione digitale
Data e Cyber Intelligence, Cloud
strategie e di implementazione di
pongono nuove importanti sfide
Security, Mobile Security, IoT
progetti volti a incrementare la
all’information security, in
Security. •
FIGURA 3.4 – IL TAVOLO DA GIOCO
24
EL1
LO STATO ATTUALE DELL'INFORMATION SECURITY
CASO 1 DUCATI MOTOR HOLDING
La Ducati Motor Holding S.p.A. è una casa motociclistica italiana con sede nel quartiere Borg
2012 l’azienda è stata acquisita da AUDI AG ed è entrata quindi a far parte del Gruppo Volks
L’offerta di Ducati non si focalizza soltanto sul prodotto: l’azienda punta infatti a fornire un’e
Oltre alla produzione di motoveicoli, Ducati si dedica al mondo delle competizioni attraverso
All’interno del Gruppo Volkswagen i temi della sicurezza e della protezione delle informazion
attenzione: la struttura del Gruppo, un network di imprese distribuito e costituito da diversi no
Ducati stessa viene inoltre sottoposta ad una costante copertura mediatica, che genera g
stesso tempo ha come conseguenza una forte esposizione a minacce di sicurezza.
L’azienda è molto sensibile agli stimoli, in termini di regole di sicurezza, provenienti dalla Ca
il rispetto delle normative nazionali e internazionali (regolamenti e direttive europee tra le qua
Per garantire la massima sicurezza possibile assicurando allo stesso tempo un alto livello di se
Business, è stato creato un ISMS (Information Security Management System), che si avval
tecnologica, che mira a ricercare continuamente le tecnologie migliori in relazione al budget d
creato ha l’obiettivo di proteggere i dati strategici dell’azienda, minimizzare i rischi e
qualora si verifichino data breach o situazioni di crisi in generale.
Il tema della sicurezza informatica in azienda è gestito da un CISO, collocato all’interno della
CIO. Il CISO si avvale sia di competenze di specialisti interni, soprattutto per la gestione dell’
tecnologica, sia per la parte normativa, contrattuale e organizzativa, ad alcuni partner, tra i qua
Il tema della sicurezza informatica non interessa soltanto la funzione IT, ma è pervasivo a live
di coinvolgere l’intera popolazione dell’organizzazione. È in fase di progettazione un’in
“Digital Fridays”: si tratterebbe di un appuntamento mensile serale, in logica informale, con il

speaker di rilievo volto alla creazione di awareness sui temi del digitale.
Ducati è un’azienda dinamica e attenta all’innovazione e, di conseguenza, pone molta cura al t

cambiamento. Grande importanza è dunque data alla disciplina del Change Management
opportuno bilanciamento tra la necessità di cambiamento e la gestione degli effetti generati, in
economici, di processo, di sicurezza, tramite la definizione di ruoli e responsabilità e il coinvo
Dalla collaborazione con Sinergy è nato anche un framework di analisi dei workflow sui diver
dei privilegi (Privileged User Management), con l’obiettivo di tracciare e controllare
concessi agli utenti, specialmente qualora si tratti di amministratori di sistema o di rete. Ad og
violazioni dei dati strategici o comunque confidenziali o accesso a informazioni per le quali no
In tale contesto si colloca anche la valutazione della conformità in termini di Segregation of D

impedire la commissione di frodi ed errori attraverso l’analisi automatica dei profili.
Ducati effettua periodicamente controlli automatici su una serie di vulnerabilità (Vulnerabilit

controlli esterni tramite penetration test più approfonditi atti a verificare lo stato di sicurezza d
Il tema della gestione delle vulnerabilità riguarda anche i prodotti finali. L’azienda si sta infatt
25
ne di una moto connessa, con interazioni anche al di fuori dalla vettura in un ecosistema di ogg
questo progetto, Ducati sta valutando non solo il coinvolgimento di attori primari del settore d
quello di soggetti più vicini al mondo hacker, che aiutino l’azienda nella scoperta di vulnerabi
CASO 2 GRUPPO ITAS ASSICURAZIONI
Fondata a Trento nel 1821, ITAS (Istituto Trentino-

Alto Adige per Assicurazioni) è la Compagnia Assicuratrice più antica d’Italia.
Proteggere contro gli incendi è stato il primo servizio offerto ai soci assicurati. Nel tempo, ITA
attività ed esteso la propria presenza sul territorio, conservando integra la sua natura mutualist
Il Gruppo ITAS, una delle poche mutue presente nel territorio italiano, vanta una rete di circa
collaboratori e al personale di agenzia danno vita a una famiglia di 4.500 persone, dislocate in
Tra i primi 10 gruppi assicurativi italiani, ITAS mette quotidianamente al centro del p
mutualità, i valori fondanti della Compagnia, che si concretizzano anche nel sostegno di inizia
sociali impegnate nello sviluppo della comunità.
Il Gruppo ITAS ha recentemente introdotto un sistema piramidale di policy valido per tutte le
mantenere alti i livelli di sicurezza sulle informazioni, con particolare attenzione ai dati ineren
attenzione si applica a tutti i dati presenti sia presso le sedi ITAS sia presso terze parti che trat
La Compagnia adotta un sistema di gestione della sicurezza delle informazioni atto a salvagua
economici che di reputazione.
Il Gruppo ITAS si impegna a soddisfare i requisiti specificati in queste policy e si impegna a g
La Divisione Servizi Informatici stabilisce un quadro di riferimento gestionale per attua

governo della sicurezza delle informazioni all’interno dell’organizzazione aziendale. Il sistem
normativa internazionale ISO/IEC 27001 ed è volto a disciplinare aspetti relativi alla sicurezza
di analizzare ed evidenziare, con approccio basato sulla valutazione del rischio, eventuali criti
Per aumentarne l’efficacia all’interno dell’organizzazione, le policy sono state concepite su tre
› “Information Security Policy” apicale, che ha come obiettivo quello di definire la politica azi
› “Disposizioni”, che definiscono le azioni necessarie al fine di soddisfare quanto richiesto dal
Policy” e disciplinano temi quali: sistema di gestione delle policy sulla sicurezza, organizzazio
delle attività operative, protezione da minacce esterne, sicurezza delle comunicazioni, acquisiz
continuità operativa, conformità, leggi e regolamenti ecc.;
› “Standard”, che sono stati creati con lo scopo di dettagliare temi inseriti all’interno delle “Di
ritenuti particolarmente significativi ai fine della sicurezza delle informazioni. Esempi di “stan
di dettaglio su temi quali ad esempio: la configurazione sicura di sistemi ed apparati “hardenin
Le policy, al fine di essere sempre attuali, sono riviste a intervalli regolari, condivise con le fu
alle parti interessate.
26
4. Il fattore umano,
importanza e gestione
Giorgia Dragoni*
Il fattore umano rappresenta una variabile chiave nella
progettazione di un sistema di information security.

Le tecniche di Social Engineering sono sempre più diffuse
e puntano a colpire le persone con modalità sempre più
sofisticate. I programmi di formazione e creazione
di awareness degli utenti aziendali diventano quindi
un aspetto fondamentale
L’importanza del fattore umano
nei sistemi aziendali.
tutto ai siti originali, che spingono
e della sua gestione
Nell’era in cui il fenomeno del
l’utente ad inserire le proprie
Quando si parla di information
BYOD (Bring Your Own Device) è
credenziali o che inducono il
security non si può tralasciare il
sempre più diffuso all’interno
destinatario a scaricare sul
cosiddetto fattore X, l’elemento di
delle aziende, che permettono ai
proprio dispositivo un allegato
incertezza legato al
propri dipendenti di utilizzare i
infetto sono ormai all’ordine del
comportamento umano.
propri device personali all’interno
giorno.
Spesso le aziende investono su
del contesto lavorativo, si sono
Si calcola che circa il 95% degli
sistemi di protezione sofisticati in
infatti moltiplicati i casi in cui il
attacchi informatici siano causati
grado di proteggere
furto o lo smarrimento di un
dal fattore umano 1 . Per citare
l’organizzazione da attacchi
dispositivo (dal portatile, al
alcuni casi eclatanti, il celeberrimo
esterni, ma non valutano il rischio
telefono o tablet, alla chiavetta
attacco ai danni di Sony Pictures
legato al comportamento dei

USB) provocano la conseguente
Entertainment del 2014, che ha
propri utenti, non considerando
esposizione di dati riservati o di
portato alla perdita di 100
che l’anello debole della catena
informazioni che mettono a
Terabyte di dati progressivamente
potrebbe essere proprio l’uomo.
rischio la sicurezza dei sistemi
diffusi online e messo fuori uso i
In molti attacchi informatici,
aziendali.
sistemi aziendali per settimane, fu
infatti, i cybercriminali non
Un ulteriore diffusissimo
originato da una mail di phishing,
utilizzano sistemi tecnologici
fenomeno riguarda gli attacchi
che chiedeva ai destinatari di
particolarmente sofisticati, ma
informatici che cercano di trarre
inserire in un sito falso le
sfruttano aspetti del
in inganno gli utenti aziendali:
credenziali dei loro ID Apple per
comportamento umano, come la
mail che contengono link
verifica. Stesso scenario nel caso
distrazione o la mancanza di
malevoli, che rimandano a pagine
dell’attacco hacker al Pentagono
consapevolezza, per fare breccia
web clonate simili in tutto e per
nell’agosto del 2015 in cui, a
* Ricercatrice Senior Osservatorio Information Security & Privacy, Politecnico di Milano.
1 . Secondo quanto emerge dal “Cyber Security Intelligence Index”, IBM, 2015.
27
seguito di una mail di spear
perdita, la modifica oppure la
di studio della personalità, dei

phishing, furono trafugati i dati di
rivelazione non autorizzata di
contatti sociali e dei modi di
oltre 4.000 persone tra militari e
informazioni sensibili, sia pari a
relazionarsi con gli altri. Un
civili.
112€ per ogni singolo record perso
processo di Social Engineering
Anche il più recente caso
o rubato, per un costo totale
parte infatti da un’accurata
“WannaCry”, avvenuto a maggio
medio per azienda stimato a circa
raccolta di informazioni
2017 e declinatosi in una
2,35 milioni di Euro, che si alza a
sull’azienda target, reperite da
campagna di attacco massiva che
4 milioni di Euro se si considera la
tutte le fonti a disposizione (sito

ha infettato i sistemi di centinaia
media per organizzazione a livello
web aziendale, social network,
di migliaia di vittime in oltre 150
globale 2 .
dati societari, documenti
Paesi, ha avuto all’origine il
Le conseguenze di un data
disponibili in rete, ecc.) con
fattore umano. L’attacco, che ha
breach, infatti, non si limitano ai
l’obiettivo di conoscere a fondo
sfruttato una vulnerabilità di
costi delle azioni da effettuare in
l’azienda identificata come vittima
Windows per generare una
risposta all’attacco, ma
e i dipendenti che vi operano. Una
diffusione di ransomware, ha
comprendono anche i costi legati
volta che il Social Engineer ha

infatti utilizzato come strumento
ad una possibile perdita di
ottenuto le informazioni di cui
di ingresso nel perimetro delle
produttività per il periodo di
aveva bisogno per architettare
organizzazioni alcune email di
tempo necessario al ripristino
l’attacco, ecco che si passa alla
phishing.
delle attività e, non da meno, i
fase operativa.
danni di immagine che possono
Gli strumenti di ingegneria
Le minacce: tecniche di Social
avere una ricaduta importante
sociale maggiormente utilizzati
Engineering
sulla reputazione aziendale.
sono email, telefono, siti web,
Le motivazioni alla base di un

Gli attacchi che sfruttano la
social network. I metodi per
attacco informatico possono
vulnerabilità del fattore umano
mettere a segno l’attacco posso
essere molteplici: un
sono spesso progettati secondo
essere molteplici: dal phishing al
cybercriminale può essere spinto
logiche di Social Engineering. Per
pretexting, dal baiting allo
da motivi economici e quindi
Social Engineering si intende una
sfruttamento della “spazzatura
attaccare per cercare di estorcere
tecnica basata sullo studio del
informatica”. Di seguito vengono
denaro, agire con finalità di
comportamento individuale di
raccontate alcune tecniche diffuse
spionaggio, trafugando
una persona, con l’obiettivo di
che, seppure non in modo
informazioni legate alla proprietà
carpire informazioni utili per
esaustivo, danno l’idea di come i
intellettuale o industriale (brevetti,
l’attaccante. Questo approccio fa
cybercriminali utilizzino le
marchi), piuttosto che essere
leva su elementi psicologici ed
metodologie più disparate per
guidato da cause ideologiche o
emozionali, puntando a generare
assestare i propri attacchi:
politiche (hacktivism).
empatia nella vittima dell’attacco.
› Phishing: un esempio molto
Qualsiasi sia la motivazione alla
Il processo ha soprattutto lo scopo
comune di attacco basato sul
base, ogni organizzazione può

di sfruttare le debolezze insite
comportamento umano è il
essere target di un attacco
nella natura umana per trarre in
phishing, un tentativo di truffa,
informatico. Spesso gli utenti
inganno la vittima ed ottenere
realizzato sfruttando la posta
aziendali non percepiscono il
informazioni e strumenti
elettronica, che ha per scopo il
valore delle informazioni a cui
necessari a perpetrare azioni
furto di dati personali degli
hanno accesso quotidianamente
fraudolente. Un attacco di
utenti ignari i quali, spinti dalla
per esigenze lavorative.
ingegneria sociale combina
curiosità o tratti in inganno dal
In Italia si stima che il costo

generalmente manipolazione e
mittente della mail,
legato ad un data breach, ovvero
persuasione con elementi di tipo
“abboccano”, cliccando sul link
ad una violazione di sicurezza che
tecnologico.
malevolo, inserendo le proprie
comporta in modo illecito o
La fase di attacco vera e propria
credenziali oppure scaricando
accidentale la distruzione, la
è preceduta da una lunga sessione
un allegato infetto.
2
. Secondo quanto emerge dal Report “2016 Cost of Data Breach Study: Italy”, 2016, Ponemo
28
Generalmente i mittenti delle
frequente anche la tecnica del
esempio quando l’attaccante,

mail di phishing fingono di
pretexting, in cui l’attaccante
fingendosi un tecnico IT,
essere organizzazioni
contatta telefonicamente la
contatta telefonicamente alcuni
conosciute, come per esempio
vittima designata simulando un
dipendenti per offrire loro
banche o servizi web che
contesto particolare. Il mittente
supporto, in cambio della
l’utente potrebbe
della telefonata si finge per
richiesta di alcune informazioni
effettivamente utilizzare, che
esempio un dipendente
(es. password) oppure
contattano la vittima
bancario o di un ufficio
chiedendo loro di disattivare

segnalando di aver riscontrato
pubblico e cerca di instaurare
momentaneamente l’antivirus e
un problema oppure
un rapporto di fiducia con
installare un programma
richiedendo la verifica e
l’utente, inducendolo a
contenente malware. Un
l’inserimento di alcune
divulgare le informazioni di cui
cybercriminale che punta ad
informazioni personali. Spesso
ha bisogno.
entrare fisicamente in un’area a
l’attacco può essere studiato e
› Baiting: l’adescamento è una
cui l’accesso è ristretto può
targettizzato ( spear phishing),
metodologia di Social
infine utilizzare la tecnica del

provenire da una mail o da un
Engineering che fa leva sulla
tailgating, semplicemente
nominativo familiare al
curiosità umana. L’hacker
seguendo un dipendente
destinatario e contenere link
utilizza un’esca, lasciando
autorizzato o chiedendo una
che rimandano a pagine web
incustodito e ben in vista un
cortesia fingendo di aver
simili in tutto e per tutto ai siti
supporto di memorizzazione,
dimenticato il badge di accesso
originali. Solitamente le mail di
come una chiavetta USB, un cd,
all’area.
phishing sono progettate per
un hard disk, ecc., contenente
In aggiunta alle numerose

creare un senso di urgenza e,
al suo interno del codice
minacce informatiche provenienti
sebbene contengano elementi
maligno. Lo scopo dell’attacco è
dal mondo esterno, una perdita di
sospetti ed insoliti (es. errori di
quello di indurre la vittima,
dati può essere causata anche da
battitura, dominio mail
spinta dalla curiosità, ad
un evento accidentale, come per
differente da quello utilizzato
inserire il dispositivo nel
esempio il comportamento
solitamente dalla stessa
proprio computer, accedendo
inconsapevole di un utente, la
organizzazione, ecc.) possono
in questo modo all’intera rete
perdita di un dispositivo o la
essere molto efficaci. Una volta
aziendale.
cancellazione involontaria.
che la vittima cade nella
› Trashing: un’ulteriore pratica
trappola dell’attaccante,
utilizzata per ottenere l’accesso
I programmi di creazione
cliccando sul link infetto,
a informazioni riservate è il
di awareness
inserendo le proprie
trashing, metodo tramite il
Per mitigare i rischi legati alla
informazioni personali o
quale i criminali setacciano la
sicurezza informatica, le aziende
salvando l’allegato sul proprio
spazzatura alla ricerca di
non devono soltanto dotarsi di
dispositivo, il cybercriminale
bollette, estratti conto ed altri
sistemi tecnologici, ma anche
ottiene accesso ai dati contenuti
documenti contenenti dati
introdurre iniziative volte a
sul dispositivo per poi
sensibili. Obiettivo degli hacker
educare e rendere consapevoli i
penetrare nell’intera rete e
possono essere anche i sistemi
propri dipendenti rispetto alle
prenderne progressivamente il
che vengono dismessi, come ad
possibili minacce. Benché non sia
controllo.
esempio smartphone, laptop o
possibile annullare
Il phishing può avvenire anche
dispositivi USB guasti, che, se
completamente il rischio
tramite strumenti diversi dalla

non opportunamente resettati,
informatico, un adeguato
posta elettronica: sono infatti
possono essere fonte di
programma di sensibilizzazione
diffusi anche tentativi di frode via
preziose informazioni.
degli utenti, congiuntamente a
SMS ( Smishing) o veicolati tramite
› Altre tecniche: il metodo del
policy e soluzioni di sicurezza,
piattaforme di instant messaging,
Quid pro quo prevede che il
può aiutare a minimizzarlo.
come WhatsApp o Telegram.
social engineer offra un
Generalmente i programmi di
› Pretexting: nell'ambito
servizio o un aiuto in cambio di
formazione messi in atto dalle
dell'ingegneria sociale è di uso

un benefit. Può avvenire per
aziende si pongono un triplice
29
obiettivo:
criticità, con il risultato ad alto
livello di awareness sia in ottica
› Ridurre il rischio legato a
livello di provocare un
preventiva (es. utilizzo
possibili attacchi informatici,
cambiamento radicale nella
consapevole dei device mobili,
facendo sì che i dipendenti
cultura e nell’approccio dei
gestione delle password, buone
siano maggiormente
dipendenti dell’azienda rispetto ai
pratiche per evitare un incidente
consapevoli delle possibili
temi della sicurezza e della

di sicurezza) sia in logica di
minacce e delle tecniche per
privacy.
risposta alle minacce (es.
evitarle;
Per essere efficace, un
riconoscimento di un attacco
› Aumentare l’empowerment
programma di sensibilizzazione
informatico).
delle risorse, rendendo ogni
deve includere al suo interno
Per ottenere i risultati
singolo utente responsabile
elementi di training formale e
desiderati, la formazione non
della protezione delle
informale. Per training formale si
dev’essere erogata come
informazioni aziendali;
intende un approccio strutturato e

un’iniziativa spot, una tantum, ma
› Rinforzare policy e procedure
controllato, basato su standard
al contrario prevedere attività
comportamentali definite
ben definiti e generalmente
periodiche e continuative in logica
dall’organizzazione (policy
seguito da un momento di
pluriennale. Vista la rapidità di
sull’uso dei computer o di
valutazione. Le iniziative che
evoluzione delle tecnologie e delle
Internet, policy sugli accessi,
possono essere parte di un
minacce, infatti, è fondamentale
ecc.), informando ed educando
programma di training formale
che la popolazione aziendale sia
i dipendenti al rispetto delle
sono per esempio lezioni in aula o

sempre il più possibile aggiornata
stesse.
corsi online, erogati tramite
e consapevole rispetto a ciò che la
Gli aspetti da trattare vanno dalle
slideshow, video, quiz interattivi,
circonda.
linee guida di base, quali per
ecc.
Le iniziative di sensibilizzazione
esempio la protezione dei
Il training informale si basa
devono inoltre essere
dispositivi mobili con cui l’utente
invece su un approccio meno
customizzate rispetto al target di
ha a che fare sia per motivi
strutturato e più “amichevole”. A
riferimento: è ugualmente
lavorativi sia personali (computer,
differenza del training formale

importante educare i dipendenti a
smartphone, tablet), la robustezza
prevede generalmente iniziative
tutti i livelli dell’organizzazione,
delle password e delle credenziali
non obbligatorie, alle quali i
qualsiasi sia la loro funzione di
d’accesso, la protezione dei propri
dipendenti aziendali possono
appartenenza, ma le attività
dati personali, l’utilizzo
scegliere se aderire o meno. Può
formative devono essere in linea
consapevole dei social network e
comprendere attività diverse,
con le caratteristiche e con le
il riconoscimento dei tentativi di
come per esempio pranzi, eventi,
esigenze degli utenti. Dovrebbero
attacco informatico (quali per
campagne mail o video

per esempio essere previsti
esempio spam, tecniche di social
interattive, distribuzione di
programmi di formazione
engineering, ecc.),
materiale come poster o volantini,
specifici per i nuovi assunti,
l’aggiornamento sulle normative
ecc.
piuttosto che sessioni più
vigenti in termini di protezione
Solitamente le aziende
specialistiche per le funzioni
dei dati (es. GDPR), fino a concetti
utilizzano il training informale
aziendali più tecniche, o ancora
più elevati, come il governo delle
come rinforzo, per tenere alta
iniziative dedicate al Top
politiche di sicurezza, le soluzioni
l’attenzione su concetti già

Management o attività indirizzate
di controllo, le migliori pratiche di
trasmessi agli utenti mediante
ai dipendenti che lavorano
prevenzione e di risposta ad
attività di tipo formale. In molti
costantemente a contatto con il
eventuali incidenti.
casi le iniziative si basano su una
pubblico.
Lo scopo è quello di sviluppare
logica di gaming o puntano a
La simulazione di attacchi
negli utenti le competenze
ottenere un forte impatto
informatici rappresenta un
essenziali, le tecniche e i metodi
emozionale sugli utenti, in modo
ulteriore strumento di
fondamentali per prevenire al
da risultare maggiormente
formazione, basato sull’esperienza
massimo i rischi legati alla
efficaci. Le azioni mirano ad agire
diretta, e può essere utile da un
sicurezza e sapere come reagire e
sul comportamento dei
lato a misurare il livello di
comportarsi di fronte ad eventuali
dipendenti per aumentarne il
consapevolezza dei dipendenti,
30
mettendone alla prova la
che rappresenti un punto di

utenti aziendali.
resistenza agli attacchi
riferimento per gli utenti per la
Come evidenziato dalla figura
informatici, dall’altro a testare
verifica di email sospette o per
4.1, le iniziative più diffuse
l’efficacia delle iniziative già
fornire supporto e chiarimenti
riguardano comunicazioni
portate avanti.
rispetto alle buone prassi
periodiche inviate ai dipendenti
Un’azienda che vuole utilizzare
comportamentali. Tale figura può
tramite mail (78%) e corsi di
una finta mail di phishing per
essere individuata ad esempio nel
formazione (66%), che avvengono
effettuare una simulazione deve
CISO, o, se presente, nel CERT

attraverso sessioni d’aula o e-
innanzitutto definire il target di
(Computer Emergency Response
learning. Nel 28% dei casi la
utenti di riferimento all’interno
Team) dell’organizzazione.
formazione viene inoltre
dell’organizzazione che subiranno
A seguito di un’iniziativa di
supportata dalla distribuzione
il finto attacco informatico,
creazione di awareness portata
spot di materiale informativo
selezionare la tipologia di mail da
avanti in azienda, qualsiasi sia la
(voucher, booklet, cartellonistica).
inviare (generica o customizzata)
tipologia di attività implementata,
Il 28% delle aziende oggetto
e progettare accuratamente il
è opportuno definire un processo

della Ricerca, inoltre, dichiara di
messaggio in modo che sia
che permetta di tracciare i
effettuare attività di vulnerability
credibile. Per far sì che la
progressi ottenuti e misurare
assessment sui dipendenti
simulazione sia efficace, la mail
l’impatto del programma di
aziendali, per esempio tramite
ricevuta dagli utenti potrebbe per
formazione, mediante la
l’invio di finte mail di phishing o
esempio contenere un link che
definizione di metriche e
simulazioni di attacchi
rimandi ad una pagina di
indicatori di riferimento.
informatici. Sebbene siano poche
warning, in cui inserire delle
le organizzazioni che non si

raccomandazioni sulle buone
La situazione delle aziende
stiano ponendo il problema della
prassi comportamentali da
italiane: i dati della Ricerca
gestione del fattore umano, solo
rispettare in caso di un attacco
Secondo quanto emerge dalla
per il 28% delle imprese si tratta
simile.
Ricerca 2016 dell’Osservatorio
però di veri e propri progetti
Un altro elemento utile per la
Information Security & Privacy, il
strutturati di sensibilizzazione,
creazione di awareness può essere
95% delle grandi organizzazioni
che vengono messi in atto tramite
l’istituzione in azienda di un
intervistate dichiara di aver messo
l’utilizzo di diversi strumenti e

“contact point” per la
in campo almeno un’iniziativa
coprono un orizzonte
segnalazione di eventi anomali,
finalizzata a sensibilizzare gli
pluriennale. •
FIGURA 4.1 – LE INIZIATIVE DI SENSIBILIZZAZIONE
31
EL1
LE METODOLOGIE DI LAVORO INTERATTIVO DELL'OSSERVATORIO
L’Osservatorio Information Security & Privacy, nell’ambito della Ricerca, organizza annualm
chiuse finalizzati ad attivare un tavolo di confronto permanente tra i CISO delle grandi aziend
appuntamenti vengono spesso utilizzate metodologie di lavoro interattivo, sviluppate ad hoc p
vengono suddivisi in gruppi, all’interno dei quali viene richiesto ad ognuno di effettuar
propria azienda su un framework di gioco e una successiva discussione all’interno del team di
In particolare è stata sviluppata una metodologia finalizzata ad approfondire il fenomeno del f

il comportamento degli utenti aziendali.
La metodologia prevede i seguenti step, finalizzati a rispondere alle relative domande:
› Mappatura delle iniziative di sensibilizzazione: quali sono le iniziative di sensibilizzazione m

messe in campo in futuro, qual è il loro impatto (misurato o previsto) e a chi sono indirizzate?
› Classificazione delle minacce: qual è il grado di pericolosità e la frequenza di accadimento d
› Descrizione delle tecnologie: Quali sono le soluzioni tecnologiche implementate per mitigare
umano?
Ai partecipanti viene consegnato il tavolo da gioco (figura 4.2) e un set di stickers (
FIGURA 4.2 – IL TAVOLO DA GIOCO
32
FIGURA 4.3 – GLI STICKERS

EL2
IL FATTORE UMANO, IMPORTANZA E GESTIONE
CASO 3 BAYER
Bayer è un’azienda globale, con sede a Leverkusen (Germania), che ha competenze chiave nei
Agricoltura.
In Italia conta 3 siti produttivi con impianti fra i più avanzati al mondo, circa 2.100 collaborato
Bayer in Italia attualmente è costituita da società che consentono al Gruppo di essere presente
All’interno dell’Information Technology è presente la funzione Information Security, guidata

business, trend di mercato e potenziali rischi.
Tra le principali progettualità condotte recentemente dall’Information Security rientrano le ini

Awareness Campaign.
Il progetto di Information Classification è stato portato avanti con l’obiettivo di identif

ognuna delle aree di business aziendali, analizzarne il rischio potenziale e pianificare l’implem
L’attività, messa in opera da un team di progetto di 15 diversi gruppi con esperti IT e di busine
diversi cluster di informazioni suddivisi in 3 tipologie, ognuno con caratteristiche ben definite
misure di protezione comportamentali, organizzative e tecniche. All’interno di ogni funzione a
una figura a cui è stata assegnata la responsabilità di garantire la sostenibilità del processo di I
Rispetto al piano Awareness Campaign, nel corso degli anni sono state svolte diverse iniziativ
utenti e creare consapevolezza sul tema della sicurezza e della protezione dei dati a tutti i livel
Nel 2015 è stato realizzato l’Information Security Awareness Workshop, preceduto dalla distr
principi chiave della sicurezza”, raccomandazioni che invitano i dipendenti ad adottare compo
azioni quotidiane, dalla gestione prudente delle informazioni e dei dispositivi aziendali alla pro
L’attività, svolta con l’obiettivo di trasmettere i principi generali sulla sicurezza, ha seguito un
down: la formazione è
stata inizialmente somministrata ai manager, dapprima ingaggiati come partecipanti ai corsi, c
ha permesso di sottolineare come ogni team e ogni singola persona all’interno di essi abbia un

33
sicurezza delle informazioni.
È stata successivamente promossa una Campagna AntiPhishing, che ha previsto, previo annun
annuncio della campagna, contenente una checklist di elementi utili per individuare e
mail di phishing e la procedura corretta da
seguire per gestire comunicazioni sospette. A questo proposito è stato implementato il servizio
mail di dubbia provenienza perché possano essere esaminate e verificate.
Un’ulteriore iniziativa facente parte del piano Awareness Campaign è il Cyber Security Day, u
organizzata per la prima volta a marzo 2017. Durante l’evento sono stati toccati argomenti rela
ma anche tematiche di attualità che hanno messo in relazione sicurezza aziendale e protezione
sono susseguiti hanno visto la partecipazione di esperti esterni all’organizzazione e di figure a
sicurezza, sia a livello di Corporate Security sia di Information Security, che hanno raccontato
Le attività di sensibilizzazione vengono portate avanti con logica continuativa e pluriennale, p

fattore fondamentale per assicurare la corretta protezione dei dati: oltre all’adozione di difese t
regolamenti, alla definizione di processi, l’azienda ritiene infatti che non sia possibile raggiung
senza considerare anche l’elemento umano. Lo scopo delle iniziative è quello di educare i dipe
il successo dell’organizzazione.
CASO 4 CARREFOUR ITALIA
Carrefour è una del e maggiori catene del a grande distribuzione a livel o mondiale. Fondata n
Africa, per un totale di circa 30 Paesi. La casa madre si trova in Francia, nei pressi di Parigi. Il
vendita dislocati in 18 regioni e oltre 20.000 col aboratori. Nel 2015 Carrefour Italia ha ottenu
In tema di cybersecurity, le strutture dei singoli Paesi sono misurate rispetto a una serie di indi
principalmente in base allo standard ISO/IEC 27001, che hanno la funzione di valutare il livel
degli obiettivi anno per anno. Tali indicatori costituiscono intrinsecamente una linea guida, in
Anche l’Italia ha nominato formalmente un Chief Information Security Officer (CISO) al qual
non meno importante, la definizione del corpo documentale della sicurezza. Il CISO è collocat
che riporta alla Divisione Amministrazione, Finanza e Controllo. Gli aspetti di sicurezza fisica
diversa a riporto del CEO (Direzione Risk & Compliance).
Carrefour Italia è attiva sul tema del fattore umano, poiché ritiene che sia necessario non solo
2010, un programma pluriennale di formazione in materia di cybersecurity, optando per un mo
inizialmente sulla Direzione Sistemi Informativi per poi estendere progressivamente le attività
alle altre funzioni e alle altre sedi.
Il training, svolto sia in aula che online e supportato da comunicazioni periodiche effettuate vi
mail o sfruttando il periodico interno, viene annualmente rilanciato ed arricchito.
Il programma rivolto alla Direzione Sistemi Informativi prende il nome di “Security Week”: le
La Security Week viene organizzata come un convegno a sessioni parallele in cui ogni person
formativo. La settimana inizia con una sessione introduttiva di inquadramento del problema e
si raccolgono le impressioni ed i commenti di tutti i partecipanti. Quest’anno è stato aggiunto
valutazione dell’efficacia della formazione: a tutti i partecipanti viene proposto un questionari
L’incremento del numero di risposte esatte dirà in modo concreto ed immediato quanto l’attiv
A completamento e supporto della formazione precedente, Carrefour Italia effettua periodicam

scopo sia di valutare la capacità di reazione a possibili minacce, sia di creare un’ulteriore form
34
credibilità e l’efficacia di tali iniziative vengono utilizzate tecniche di social engineering e atti
mail contenenti
link sospetti, oppure sono stati realizzati finti attacchi con la tecnica del baiting, avvenuti disse
Le attività di sensibilizzazione vengono proposte anche al Top Management, tramite l’elabora

per Direzione. Carrefour Italia è infatti consapevole che la necessità di creare attenzione rispet
coinvolgere tutti i livelli dell’organizzazione e che l’esempio del management aziendale è di fo
comportamenti virtuosi in azienda.
CASO 5 EDISON
Edison S.p.A. è un’azienda italiana attiva nei settori dell’approvvigionamento, produzione e v

grezzo con oltre un milione di clienti. È la più antica società europea nel settore dell’energia e
3.000 dipendenti, in più di 10 Paesi nel mondo, con una potenza installata di 6,5 GW. Il Grupp
L’azienda ha ottenuto nel 2016 un fatturato di oltre 11 miliardi di Euro.
La funzione di Information Security dell’azienda ha portato avanti negli ultimi anni diversi pro
volti a sensibilizzare il personale sui rischi e sulle minacce informatiche.
In particolare, Edison ha sviluppato tre tipologie di iniziative:
› Hacker lunch: in primo luogo sono stati organizzati degli incontri informali, aventi ad oggett
di evitare incidenti di sicurezza. In sede di programmazione si è deciso di trattare non solo tem
procedure lavorative, ma anche relative alle consuetudini nei comportamenti degli utenti nella
Nel corso del 2016 la formazione è stata impartita attraverso una decina di sessioni. Una serie
› In secondo luogo, allo scopo di raggiungere l’intera popolazione aziendale, Edison ha puntat
learning. Nel 2016 il corso, sviluppato in logica tradizionale, si è focalizzato sull’importanza d
mail di phishing.
A partire dal 2017, invece, per aumentare il livello di engagement dei dipendenti, l’azienda ha
line imperniato su una serie di nozioni a difficoltà crescenti (ad esempio come riconoscere i vi
› Infine, sempre nel 2016, la società ha distribuito un libro sulla sicurezza, sviluppato da un es
Le iniziative sono state proposte dalla funzione Security, in collaborazione con la funzione Hu
coinvolto anche la Comunicazione, che si è occupata degli aspetti relativi all’organizzazione d
mail e dell’aggiornamento della Intranet aziendale.
Per verificare l’efficacia delle iniziative messe in atto e l’effettivo livello di apprendimento de
learning basato sul modello “gamification”, ad esempio, sono stati previsti
degli appositi momenti di verifica, in cui sono stati accuratamente analizzati i punteggi ottenut
dei giochi online.
L’identificazione e la definizione delle azioni in tema di sicurezza si basa sulla revisione annu
ISO27001, da cui è emerso in particolare che il rischio connesso al fattore umano era sopra la
Dall’assessment sui rischi scaturiscono anche le scelte relative alle soluzioni tecnologiche da i
l’esistenza di un problema in tale ambito.
35
5. Il ruolo del "fattore umano",

un rischio percepito
ma spesso sottovalutato
Raoul Brenna *
Lo sviluppo di strumenti di Vulnerability Assessment è
Roberto Puricelli **
estremamente utile per comprendere lo stato di sensibilità
delle persone alla security. I dati sperimentali mostrano
come sia semplice attaccare ed ottenere le credenziali
di utenti con l'utilizzo di semplici campagne di phishing
simulato
Gli eventi degli ultimi anni sottrazione di dati o asset
sociale non si intendono
ci mostrano come
informativi delle aziende colpite,
solamente i complessi attacchi
l’ecosistema del cybercrime
piuttosto che sull’effetto visibile e
mirati che bersagliano la singola
sia in continua e radicale
immediato. Occorre inoltre
persona all’interno di
evoluzione. Ce lo confermano
considerare come lo scenario
un’organizzazione dopo una vasta
anche i numerosi casi di attacco
descritto rappresenti solo la parte
raccolta informativa su di essa.
degli ultimi mesi. Lo sviluppo di
nota rispetto alla reale estensione
L’ingegneria sociale comprende
alcune tecnologie abilitanti e
del fenomeno del cybercrime.
anche gli attacchi più comuni
l’accresciuta disponibilità di
Numerosi attacchi infatti non
come il phishing, spesso solo
“malware” sempre più potenti e
vengono rilevati o (e in questo
blandamente (o per nulla)
semplici da utilizzare, supportano
l’evoluzione normativa potrà
contestualizzato alla realtà

un approccio e una mentalità
aiutare a fare chiarezza) non sono
aziendale che lo riceve e che fa
“business oriented” nel crimine
rivelati al pubblico.
leva semplicemente sull’ingenuità
informatico. Non a caso negli
A prescindere dalla finalità, la
e sulla scarsa alfabetizzazione
ultimi anni sono stati portati alla
maggior parte dei casi di
informatica dell’utente medio per
luce un numero crescente di casi
violazione del perimetro di
spingerlo a “cliccare dove non
di Advanced Persistent Threat
sicurezza informatica aziendale è
deve”.
(APT) e di data breach
abilitata da azioni attuate dalle
(fuga/sottrazione di dati) a danno

persone. Si tratta di dipendenti o
Le persone: una componente
di grandi imprese.
collaboratori delle aziende
essenziale della cybersecurity
Con il termine Advanced
attaccate, manipolati attraverso
Sono in realtà decenni che il
Persistent Threat si intendono gli
tecniche di ingegneria sociale. È
personale delle imprese si pone
attacchi “silenti” focalizzati
importante sfatare subito un
come una delle principali sorgenti
sull’identificazione e sulla
mito: con il termine ingegneria
(consapevoli o più spesso
* Responsabile della Practice Information Security, Cefriel.
** Senior Information Security Specialist, Cefriel.
36
EL1
APT: COS'È? PERCHÉ "NON BASTA L'ANTIVIRUS"?
Gli Advanced Persistent Threat (APT) sono una tipologia di attacchi sofisticati e mirati a uno
lo scopo di ottenere accesso ai sistemi informatici e sottrarre informazioni critiche o riservate
intellettuali o dati sensibili di utenti.
Gli APT sono tipicamente guidati da organizzazioni criminali di attivisti o addirittura da gover
essere scoperto le informazioni di valore.
Questo tipo di attacchi è salito alla ribalta nelle cronache negli ultimi anni attraverso i nomi de
colpite. RSA, Sony, JP Morgan Chase, Target sono solo alcune delle aziende che sono state c
Gli APT seguono uno schema comune che, a fronte dell’ottenimento di un primo punto d’acce
struttura informatica interna, mantenendo il più possibile il basso profilo per non esser
questa fase può arrivare a durare settimane o mesi, senza che l’azienda vittima se ne accorga. U
le informazioni critiche, si procede con la loro distruzione o sottrazione, in relazione alle final
È facile comprendere come in attacchi di questo tipo il solo antivirus (ma in generale gli strum
possa non bastare. Al contrario, la vulnerabilità può essere indirizzata a livello “culturale”: risu
inconsapevoli, quantomeno in
specifico, questa tipologia di attacchi
proprio PC (o smartphone). In
termini di implicazioni) degli
va a colpire il personale
questo modo l’attaccante accresce
incidenti di sicurezza, e non solo
dell’amministrazione di un’azienda,
in modo significativo la
“cyber”. Oltre al “tradizionale”

tramite una mail di sollecito di un
percentuale di successo rispetto
ruolo degli insider, che vanno
pagamento che sembra essere inviata
ad attacchi puramente tecnologici
dagli ex-impiegati scontenti, ai
dall’amministratore delegato
(ossia, che fanno leva sulle
consulenti, ai partner o chiunque
dell’azienda (o dal CFO o altri ruoli
vulnerabilità tecniche nei sistemi
possa entrare in contatto con
apicali con analoghi poteri).
esposti su Internet, comunque
porzioni dell’ICT interno (anche
Ovviamente in questo attacco il
spesso presenti). Questo scenario,
solo inserendo una “chiavetta
mittente è falsificato e l’obiettivo
di fatto, è alla base di molti dei
USB” in un PC), è oggi

dell’attaccante e far eseguire un
più recenti data breach. Ad
imprescindibile considerare il
bonifico verso il suo conto corrente.
esempio, durante la scorsa
caso del personale ingannato.
campagna per la presidenza del
Nonostante la relativa
governo degli Stati Uniti, è
QUANDO IL PERSONALE
semplicità della frode, secondo il
emerso lo scandalo relativo alle
RAGGIRATO È IN POSIZIONI
Federal Bureau of Investigation
email trafugate dagli account di
DI VERTICE: IL “CEO SCAM”
(FBI) statunitense, si stima che
Hilary Clinton e di John Podesta, il
Un esempio recente è rappresentato
con questo stratagemma siano
responsabile della campagna

dalle campagne che vanno sotto il
stati sottratti circa 2,3 miliardi di
presidenziale. Anche in quel caso,
nome di “CEO scam”, un tipo di truffa
dollari dal 2014 al 2016.
proprio una finta email che
in cui un attaccante, dotato di un
Gli attaccanti sono ben consci di
sembrava provenire da Google ha
minimo di informazione riguardo
poter manipolare gli utenti per
permesso di compromettere
all’organizzazione interna della
ottenere da loro informazioni
l’account personale di
compagnia, sfrutta tutti i classici
sensibili relative alla privacy, ad
quest’ultimo e di ottenere le
elementi della social engineering
aspetti finanziari e di business o
informazioni che sono state poi

(urgenza, autorità, ecc.) per forzare
semplicemente per indurli ad
rivelate al pubblico. Le email di
l’esecuzione di azioni improprie. Nello
eseguire azioni improprie sul
phishing sono inoltre la base di
37
EL2
CARBANAK: FUGA DI DATI… E DI SOLDI
utilizzabilità in ottica di
awareness, è quello etico e
Gli attaccanti sono ben consci di poter manipolare gli utenti per ottenere da logiuslavoristico.
ro informazioni sensibili relative alla privacy, ad aspetti finanziari e di business
attività, se svolte in modo
o semplicemente per indurli ad eseguire azioni improprie sul proprio PC (o
realistico, implicano spingere il
smartphone). In questo modo l’attaccante accresce in modo significativo la
personale ad agire in difformità
percentuale di successo rispetto ad attacchi puramente tecnologici (ossia, che
ad eventuali politiche aziendali o

fanno leva sulle vulnerabilità tecniche nei sistemi esposti su Internet, comunistruzioni ricev
que spesso presenti). Questo scenario, di fatto, è alla base di molti dei più recorretto utilizzo d
centi data breach. Ad esempio, durante la scorsa campagna per la presidenza
informatica. Naturalmente i
del governo degli Stati Uniti, è emerso lo scandalo relativo alle email trafugate
cyber-criminali non hanno alcuno
dagli account di Hilary Clinton e di John Podesta, il responsabile della campascrupolo a fare q
gna presidenziale. Anche in quel caso, proprio una finta email che sembrava
evidente che in ambito aziendale
provenire da Google ha permesso di compromettere l’account personale di
un test sul personale debba essere
quest’ultimo e di ottenere le informazioni che sono state poi rivelate al pubbliinquadrato in un
co. Le email di phishing sono inoltre la base di Carbanak, considerato uno dei
metodologico che garantisca il
più grandi attacchi organizzati verso istituzioni finanziarie che ha permesso di
rispetto dell’etica, della relazione
sottrarre un miliardo di Euro.
di fiducia tra dipendente e datore
di lavoro, e della normativa
vigente (variegata, se considerate
Carbanak, considerato uno dei più
del fattore umano soltanto tramite

le differenze tra Stati). Nonostante
grandi attacchi organizzati verso
iniziative sporadiche. Un
tali vincoli sembrino difficili da
istituzioni finanziarie che ha
elemento frenante è certamente il
conciliare, è possibile trovare
permesso di sottrarre un miliardo
coinvolgimento delle persone
modalità organizzative che
di Euro.
come oggetto di verifica, con tutti
permettano di svolgere questo
La situazione attuale porta alla
i potenziali rischi (anche di natura
tipo di verifica.
considerazione che non è più
giuslavoristica) che questo
La ripetuta attuazione di questa
possibile limitare la governance e il
comporta.
tipologia di attività da parte di
management della cybersecurity di
In verità tale preoccupazione
Cefriel ha permesso l’affinamento
un’azienda a fattori di natura
può essere lecita: nell’esperienza
della metodologia che va sotto il
strettamente tecnica. È
di Cefriel, iniziative di successo in
nome di “SocialDriven
fondamentale includere
questa direzione passano per un
Vulnerability Assessment”. La sua
l’elemento umano tra i fattori di
allargamento del coinvolgimento
finalità è quella di arrivare a
rischio e, al fine di attuare
degli interlocutori, rispetto alle
sottoporre in modo realistico il
contromisure idonee e metodi per
sole funzioni IT e all’Information

personale a campagne di spear
la mitigazione che siano davvero
Security. Gli stakeholder rilevanti,
phishing (ossia phishing mirato e
efficaci, occorre prima di tutto
per svariate ragioni e in relazione
contestualizzato, alla realtà
imparare a comprendere e
alla realtà aziendale in cui si
aziendale o alla singola persona),
soprattutto a misurare tale
opera, si allargano a funzioni
verificandone la propensione a
rischio.
come Risorse Umane, Affari
compiere azioni che possono
Legali, Comunicazione. Occorre
mettere a rischio la sicurezza ICT
Come mettere alla prova il fattore
condividere con loro la tipologia
aziendale.
umano?
di rischio, le motivazioni e gli
La verifica prende in
Per quanto negli ultimi anni si
obiettivi dell’iniziativa, così da
considerazione sia l’aspetto
parli sempre più di forme di
giungere ad una definizione
maggiormente “tecnico” (cliccare
assessment che prevedano
condivisa del perimetro della
su link, navigare su siti ed in
l’esecuzione di campagne di
verifica e ottenere il necessario
generale compiere operazioni che
phishing realistiche sul personale,
supporto.
possono agevolare lo
gli approcci e i programmi per la
Un tema strettamente legato
scaricamento di malware sul PC)

sicurezza informatica tendono a
allo svolgimento di queste attività,
sia quello puramente “personale”
includere il filone della protezione
o quantomeno alla loro successiva
(cedere credenziali di accesso

38
aziendali e/o altre informazioni
metodologia sviluppata. Sono
generiche, con rimandi a temi
rilevanti).
state coinvolte più di 20 aziende
potenzialmente attrattivi (offerte,
Utilizzando pagine web
di varia natura, per un totale di
convenzioni) e un blando
adeguatamente predisposte e
circa 40.000 persone
richiamo alla grafica aziendale. In
controllate da appositi sistemi, è
complessivamente sottoposte a
alcuni casi invece, il riferimento
possibile infatti tracciare il
test in tutta Europa. Le società
alla specifica società target è stato
comportamento degli utenti sotto
coinvolte appartengono a settori
molto mirato, con la
garanzia di un opportuno livello
merceologici di natura differente:
predisposizione di campagne che
di anonimato e comprendere la
dal bancario assicurativo
di fatto si riallacciavano a reali
reale propensione delle potenziali
all’energetico, passando per il
iniziative aziendali
vittime ad adottare
lusso, i beni di consumo e le
(opportunamente adattate, ma
comportamenti impropri.
pubbliche amministrazioni.
sempre con l’impiego di sole
Peraltro il tema legato a
Il test prevede il tentativo di
informazioni pubblicamente
identificare una metodologia che
ingannare l’utente che riceve la
reperibili).
garantisca il rispetto dell’utente e
mail con una simulazione di un
Si giunge quindi ad un primo
minimizzi gli impatti tecnici
“classico” schema del phishing. Si
risultato rilevante: l’efficacia di
successivi, nella sua complessità e
tenta in particolare di convincere
una campagna di phishing, che
con un perimetro allargato

la vittima a visitare un sito
può essere certamente influenzata
all’intero panorama europeo (e
sconosciuto e sospetto
da aspetti “grafici” o “estetici” nel
alla conseguente frammentazione
(esponendo il proprio PC a rischio
veicolo di promozione adottato,
normativa sul tema della tutela
infezione, seppure simulato) e a
non è invece necessariamente
del lavoratore) è affrontato anche
inserire le proprie credenziali
correlata al livello di
nell’ambito del progetto DOGANA
aziendali in esso (come esempio
contestualizzazione della stessa.
(un’iniziativa Horizon 2020) in cui
di un asset informativo di valore).
In altre parole: chiunque può
Cefriel svolge il ruolo di

Nella maggior parte dei casi,
fare una campagna di phishing
Coordinatore Scientifico.
sebbene l’intento iniziale su cui si
efficace verso un’azienda, senza
è costruita la metodologia di test
necessità di avere specifiche
Ma qual è realmente il rischio?
prevedesse una forte
informazioni di contesto!
Dal 2010 Cefriel ha effettuato un
contestualizzazione a gruppi di
Purtroppo i risultati lo
numero rilevante di simulazioni
persone, le “esche” utilizzate sono
dimostrano.
realistiche condotte seguendo la
state in realtà abbastanza
Il grafico in figura 5.1 riporta

39
FIGURA 5.2 – L’EFFICACIA DEI TEST DI PHISHING NELLE PRIME

DUE ORE
un riassunto dei risultati ottenuti
entrare in contatto con (e
un’azione potenzialmente
da Cefriel nel corso di questi anni,
provare a compromettere) più di
rischiosa. Addirittura, per
mettendo a confronto le
un PC ogni tre, tra quelli dei
ciascuna campagna, risulta che
esecuzioni delle campagne

dipendenti che ricevono l’email,
all’incirca la metà del tasso di
effettuate relativi ai due step
e di ottenere una credenziale
successo raggiunto dalla
misurati: il “click” sul link e
valida quasi ogni quattro
campagna stessa si ottenga nei
l’inserimento delle credenziali.
dipendenti che ricevono l’email.
primi 20 minuti!
Ogni esecuzione è
Se ciò non fosse sufficiente a
L’analisi è ovviamente
rappresentata da un cerchio, la cui
destare l’attenzione sul tema, può
approssimata, ma è utile provare
dimensione fornisce
essere utile anche considerare i
a confrontare questo valore con i
un’indicazione (qualitativa) della

dati massimi rilevati ad oggi, che
tempi medi di risposta ad un
dimensione dell’azienda. Il
raggiungono quasi il 45% di
attacco di questo genere da parte
posizionamento del cerchio
“click” e quasi il 60% di
delle funzioni che in azienda
nell’area esprime il risultato: in
“cessione” credenziali!
presidiano gli aspetti tecnologici
orizzontale abbiamo la
Ma è l’allargamento dell’analisi
della sicurezza. Anche
percentuale del campione che ha
agli aspetti temporali che
presupponendo un’identificazione
“cliccato sul link” contenuto
permette di soppesare il rischio in
“immediata” di una campagna in
nell’email; in verticale la
tutta la sua concretezza: una
atto (si consideri che email simili
percentuale dello stesso campione
campagna di phishing “moderna”
a quelle utilizzate nelle
che, oltre ad aver cliccato sul link,
è estremamente efficace poiché
simulazioni effettuate
ha anche “ceduto le credenziali
sollecita negli utenti azioni
difficilmente sono rilevate dagli
aziendali”. Non occorre entrare in
impulsive. Nel grafico in figura
strumenti antiphishing
analisi eccessivamente sofisticate
5.2 viene mostrata l’efficacia di
automatizzati), occorre essere
rispetto ai valori in gioco. Basti
alcuni dei test di phishing svolti
attrezzati per poter in pochi
notare come, al di là della

(rappresentati da linee) nelle
minuti arginare gli effetti
percezione del fenomeno in
prime due ore. Ciò che si può
dell’eventuale “click” sul
termini di rischio, i dati oggettivi
notare “a caldo” è la netta crescita
contenuto malevolo. Nel caso di
permettano di dire che una
nei primissimi minuti (sia di
un link, ad esempio, ci sono
campagna di phishing anche
“click” che di inserimenti),
pochissimi minuti di tempo per
blandamente contestualizzata
dimostrando come gli utenti non
svolgere le seguenti azioni di
consente ad un attaccante di
riflettano prima di compiere
“messa in sicurezza”: bloccarne la

40
raggiungibilità dei contenuti
rischio (tradizionalmente legato
di altri elementi spesso specifici
mediante i sistemi di filtraggio,
ad aspetti di natura tecnologica o
della singola organizzazione, che
e/o emettere alert al personale sui
di processo) dovrebbe essere
vanno esplorati attentamente alla
media interni (se efficaci), e/o
quello di identificare
luce di una conoscenza puntuale
aggiornare gli strumenti anti
un’appropriata strategia di
delle dinamiche che può
malware (sui PC o sulle reti). Una
mitigazione. Le contromisure “da
provenire solo dall’interno.
sfida tutt’altro che banale.
letteratura” passano attraverso

Tale sfida è resa ancora più
l’awareness. Il termine è da
Il ruolo delle attività di assessment
ardua da un altro aspetto spesso
intendersi in modo ben distinto
del fattore umano nel programma
non banale rilevato da Cefriel
rispetto a quello di “formazione”.
di cybersecurity … e la loro
durante lo svolgimento di queste
Certamente anche la formazione
sostenibilità
simulazioni: intercettare le
può aiutare, tuttavia l’estrema
I rischi del cybercrime abilitati
segnalazioni effettuate dagli
dinamicità del fenomeno da
dalla social engineering possono
utenti durante le campagne. La
contrastare e il numero pressoché
essere compresi facilmente, se

difficoltà nel rilevare tali
illimitato delle possibili varianti di
opportunamente condivisi, anche
comportamenti, è legata alla
attacco induce a privilegiare la
da decisori interni all’azienda di
carenza di awareness, alla poca
costruzione di reale
estrazione non tecnica. Poterli
chiarezza nelle procedure interne
consapevolezza sul tema.
corredare di una valutazione di
e alla poca cura prestata dalle
L’awareness punta su aspetti di
impatto (o quantomeno di
aziende nello stabilire e
motivazione, attenzione e
esposizione) quantitativa può
comunicare precise informazioni
coinvolgimento sul rischio,
aiutare ad individuare risorse per

di contatto a cui riportare
rispetto ad approcci che si
una remediation mirata. Dai
urgentemente questi eventi.
limitino a fornire “checklist” di
dettagli di un’analisi
Un ulteriore aspetto di interesse
cose da fare e da non fare che
contestualizzata possono derivare
è legato al fatto che dall’analisi dei
risultano spesso obsolete ancora
anche indicazioni specifiche sul
risultati non emergono
prima di essere diffuse.
fabbisogno formativo, la cui
significative differenziazioni
In un momento storico di
efficacia può essere monitorata
rispetto ai principali fattori
estrema attenzione sul tema, ma
attraverso ripetizioni periodiche

anagrafici, geografici e anche di
anche sui budget, richiedere di
del test.
ruolo/seniority lavorativi. In
investire tempo e risorse in
Di fatto, oggi è possibile
pratica, anche il management e il
programmi e metodi formativi
reperire sul mercato un certo
personale ICT, per citare esempi
che, già nei riscontri oggettivi
numero di servizi che, ad un costo
di personale che dovrebbe per
ricavabili dai riscontri sul campo,
pressoché trascurabile, mettono a
varie ragioni essere
mostrano un’efficacia
disposizione gli strumenti tecnici
maggiormente in grado di gestire
quantomeno “marginale” può non
per l’esecuzione di questa

la tematica, risulta vulnerabile
essere una scelta vincente.
tipologia di test corredata del
come la media dei dipendenti.
Strade promettenti appaiono
materiale a supporto della
Questo può parzialmente
essere invece essere quelle che
formazione sul fenomeno. La
spiegare le difficoltà di cui si
coinvolgono largamente la
diffusione di tali strumenti è
parlava in precedenza, rispetto
“gamification” (difficile da
avvenuta in anni recenti, sebbene
ad una corretta comprensione
padroneggiare, ma efficace in
in Cefriel la necessità di presidiare
della natura del rischio legato al
termini di coinvolgimento dei
e affrontare questo tipo di rischio

fattore umano, prima ancora che
destinatari): riconoscimenti,
sia stata compresa con largo
di una sua valutazione.
ingaggio “social”, feedback
anticipo.
immediati e fruibili durante tutto
Tuttavia, la pura esecuzione del
Come mitigare questo rischio?
il percorso lavorativo possono
test (inteso come l’invio delle
Dal punto di vista di chi si occupa
essere fattori differenzianti nella
email e il tracciamento dei “click”)
del governo della cybersecurity in
costruzione di un’efficace
è la parte “facile” dell’attività, e
azienda, l’obiettivo finale del
strategia sul tema.
peraltro quella a minor valore
considerare il fattore umano nelle

L’appropriatezza di una strategia
aggiunto. L’esperienza sul campo
attività di assessment dei fattori di
dipende comunque da una serie
mostra come le fasi preliminari
41
rispetto all’attuazione della
Certo, monitorare in ottica di
in cui il perimetro della tecnologia
verifica, così come
anticipazione dei rischi
da monitorare è in continua
l’interpretazione dei risultati e la
l’evoluzione tecnologica è
evoluzione, ma in cui il presidio
pianificazione di strategie efficaci
fondamentale ma anche sempre
del “fattore umano” si pone come
per la mitigazione del rischio
più complesso: se da un lato le

una delle poche necessità costanti.
abbiano un peso uguale o forse
contromisure “tradizionali” vanno
Pertanto, è essenziale
superiore, specie in realtà
preservate e aggiornate, dall’altro
intraprendere iniziative volte a
aziendali complesse.
devono costantemente essere
comprendere quali siano le
Una metodologia strutturata e
integrate con quelle che si
effettive vulnerabilità connesse
un opportuno ingaggio
appoggiano sulle nuove
alla debolezza del fattore umano
preliminare degli stakeholder
opportunità offerte dalla
all’interno delle imprese e a
permettono sia di “scardinare”
tecnologia.
mitigarne il relativo rischio dal
alcune resistenze intrinseche in
Inoltre, occorre pensare ad
punto di vista della sicurezza
questo tipo di valutazione, sia
aggiungere elementi di sicurezza
informatica. L’introduzione di
(soprattutto) di favorire quella
a tutte quelle infrastrutture che
tematiche “nuove” come questa
necessaria condivisione di intenti
sono già in produzione e che
all’interno dei programmi
che abilita il successivo riuso dei
hanno debolezze intrinseche. Un
strategici di cybersecurity
risultati in ottica di comunicabilità
esempio (e non a caso
consente di scardinare una
(anche attraverso la sola
rappresenta uno degli hype del

condizione di partenza (anche e
informativa agli utenti
momento dal punto di vista della
soprattutto di carattere
dell’avvenuto test).
sicurezza) è quello delle
“culturale”) che prevede che la
In caso contrario, si rischia di
infrastrutture SCADA/ICS, che in
sicurezza ICT sia un “di cui” delle
ricadere in un’attività che viene
generale per motivi storici e di
attività proprie dell’IT stesso.
fatta “da nerd per nerd” (o più
difficoltà implementative sono
Andare oltre questo preconcetto
seriamente attuata e condivisa tra
state realizzate senza considerare
apre la strada a momenti di
soli “tecnocrati”).
(o considerando solo
condivisione formali e a tavoli
parzialmente) gli aspetti di
decisionali che rappresentino le
È sufficiente?
sicurezza.
diverse funzioni e abbiano un
Viene da chiedersi: “l’adozione di
In queste situazioni, da un lato
reale potere di indirizzo e governo
quanto proposto finora, che
occorre agire tempestivamente
della strategia di sicurezza
appare già come ‘sfidante’, è
introducendo elementi di
complessiva.
sufficiente a mitigare
sicurezza attraverso azioni mirate,
A questi tavoli, i risultati di
efficacemente il rischio
dall’altro è necessario attrezzarsi
Vulnerability Assessment sul

rappresentato dai comportamenti
per ottenere l’introduzione di
fattore umano sono quelli che
impropri delle persone?”
paradigmi di sicurezza “by
tipicamente riescono a innescare
Il perimetro tecnologico
design” e “by default” (in questo
le reazioni maggiormente
dell’azienda media si sta
periodo tra l’altro spinti da molti
concrete, anche sfruttandone il
progressivamente non solo
driver, non ultimo il nuovo GDPR
potere attuativo e persuasivo, e
allargando, ma anche
- General Data Protection
che possono alimentare un
“sfilacciando”. Le nuove
Regulation).
“effetto volano” che consenta di

tecnologie entrano ed escono
Per concludere, la cybersecurity
rendere la sicurezza pervasiva
dall’IT aziendale, in modo
oggi affronta un contesto
all’interno di tutte le strutture
variamente presidiato.
complesso e fortemente dinamico,
aziendali. •
42
6. Le competenze e i ruoli
della gestione dell'information
security & privacy
Alessandro Piva*
Il ruolo del Chief Information Security Officer (CISO)
sta cambiando nel tempo, con una progressiva crescita
di responsabilità nelle organizzazioni. Non si parla più
di figure esclusivamente tecniche, ma di un mix
di competenze che spaziano dalla capacità di gestire

le crisi alla leadership, al modo di comunicare
con il business e il Top Management
La figura del Chief Information
Concentrandosi sull’aspetto di
tuttavia la responsabilità
Security Officer (CISO)
information security, appare
principale di tale figura è quella di
La gestione della sicurezza
evidente la necessità di
garantire che le soluzioni, i
informatica è diventata ormai
identificare un profilo direzionale,
prodotti ed i servizi tecnologici
fondamentale e allo stesso tempo
un capo della sicurezza, che viene
siano sicuri ed affidabili, in modo
critica per le imprese. A livello
chiamato Chief Information
da mantenere il rischio allineato a
internazionale, sempre più spesso

Security Officer (CISO). Si tratta di
quanto richiesto dal Board
il Top Management comprende
una figura direzionale, che per
aziendale.
come sia necessario dotarsi di un
essere totalmente efficace sarebbe
Il ruolo del Chief Information
piano strategico di gestione della
auspicabile riportasse
Security Officer (CISO) sta
security e della privacy. La bontà
direttamente al Chief Executive
evolvendo verso un profilo
di un tale programma passa
Officer (CEO). In grandi
completo, che affianca alle
necessariamente dal disegno di
organizzazioni questa figura può
competenze tecnologiche e
una struttura di governo chiara: al

riportare anche al Chief Operation
organizzative soft skill relazionali,
suo interno le responsabilità
Officer (COO), non perdendo di
conoscenze del dominio di
devono essere definite in modo
efficacia. Una collocazione
business e capacità di sviluppare e
univoco, così come le competenze
organizzativa di minor pregio può
governare un team complesso.
necessarie a svolgere uno
invece ridurre sensibilmente
Oggi aumentare la consapevolezza
specifico compito e i meccanismi
l’efficacia dell’operato del CISO.
delle problematiche di
di misura e monitoraggio della
Spesso le funzioni del
cybersecurity richiede sempre più
qualità dei processi, delle

Responsabile della sicurezza
la capacità di comprendere il
soluzioni tecnologiche e delle
vengono considerate una parte
business, interfacciandosi con i
policy messe in atto.
dell’Information Technology,
responsabili di prodotto, e di
43
comunicare al Top Management i
di assumere una leadership
nel lungo termine.
rischi derivanti dalle nuove
forte. Saper interagire con il
› Crisis management:
minacce con una visione
Board ed influenzarne le
l’accadimento di un incidente
sistemica. Le conoscenze di
decisioni diventa un elemento
può portare tensione sul CISO,
industry diventano distintive, a
fondamentale e discriminante.
che si trova nella condizione di
fronte di obblighi di compliance,
› Strategic thinking: la capacità di
dover gestire una situazione
legislazioni e minacce sempre più
generare idee brillanti ed
critica. La gestione della
focalizzate su settori di mercato
implementarle coerentemente
comunicazione e della
ben identificati. Dotarsi di
con il disegno complessivo
contemporanea risposta
competenze tecnologiche
dell’impresa. Il CISO deve
all’incidente diventa pertanto
eterogenee richiede una

essere un alleato del business
fondamentale.
progressiva strutturazione di ruoli
in grado di interpretare la
› Technology expertise: gli aspetti
e strumenti di governo: diventa
strategia aziendale e
tecnologici rappresentano il
fondamentale sviluppare capacità
comunicare le correlazioni tra
nucleo delle qualità di un CISO,
di Project Management e di
quest’ultima e le scelte di
che deve conoscere minacce,
gestione e sviluppo del capitale
security.
vulnerabilità, rischi e saper
umano.
› Communication: la
governare i sistemi e le relative
Identificare il corretto mix delle

responsabilità degli incidenti di
tecnologie per proteggere
competenze appena citate non è
sicurezza arriva oggi nei Board
l’organizzazione. Deve essere in
semplice e non è univocamente
aziendali, comportando la
grado di poter interloquire con
valido per tutte le situazioni. Il
necessità di avere
gli ingegneri e gli analisti IT in
ruolo ricoperto dal CISO può
rassicurazioni sulle modalità
linguaggio tecnico.
essere maggiormente strategico,
con cui la sicurezza stessa viene
› Risk awareness: la capacità di
non limitandosi esclusivamente a
gestita all’interno
comprendere i potenziali rischi
compiti tecnici, e richiedere

dell’organizzazione. Ciò che
e di prendere decisioni che
maggiore relazione con il
viene richiesto al CISO è di
possano implicarne
management aziendale; in questi
saper analizzare e comunicare
l’assunzione. La sensibilità a
casi le competenze relazionali e di
le scelte fatte in termini di
sviluppare differenti scenari e a
business diventano fondamentali.
gestione del rischio, comparato
modellizzare i possibili
L’attività, per contro, può essere
con altre realtà dello stesso
accadimenti futuri diventa una
orientata alla mera gestione e
settore, o con progetti simili.
qualità imprescindibile.
monitoraggio del servizio, e

Meno frequentemente è
› Data driven approach: le
quindi essere incentrata sulla
richiesto di saper raccontare in
decisioni, nell’era dei Big Data
gestione appunto dei processi e
dettaglio una soluzione
Analytics, possono essere
delle tecnologie. Infine ci può
tecnologica.
basate sui dati. Per il CISO
essere un ruolo di stampo
› Team building: la capacità di
diventa fondamentale saper
manageriale, con la responsabilità
costruire il proprio team di
governare i dati, analizzarli ed
di controllo e supervisione di
esperti di cybersecurity e di
utilizzarli a supporto delle
persone afferenti ad aree di sapere

creare relazioni con gli
proprie scelte, che devono
diverse, dalla gestione del rischio
executive e i decisori chiave
essere supportate da metriche
alla compliance e privacy.
dell’organizzazione.
quantitative.
› Problem solving: l’ecosistema
› Regulation awareness: la
Le caratteristiche
della sicurezza cambia in modo
diffusione di servizi che
di un CISO moderno
repentino e quotidianamente
permettono di raccogliere e
Le principali caratteristiche di un
emergono nuove sfide che
trattare dati online, così come
CISO moderno possono essere
richiedono competenze
la natura stessa di molte grandi
così riassunte:
eterogenee. Il CISO deve saper
organizzazioni multinazionali
› Leadership: la crescita di ruolo
prendere decisioni in tempi
richiedono la capacità di
ed il posizionamento
rapidi, soppesando le
comprendere le differenti
organizzativo procedono di pari
implicazioni di breve periodo
regolamentazioni in vigore nei
passo con la capacità del CISO
con le possibili ripercussioni
differenti Paesi e le relative
44
implicazioni in termini di
modelli maturi il CISO ha la
differenti tipologie di attacco è

sicurezza e protezione dei dati.
responsabilità di definire le
un elemento importante per un
policy nel rispetto delle
CISO. Vi sono svariati servizi
Le responsabilità del CISO
regolamentazioni vigenti e
che permettono di avere
Le responsabilità del CISO
riveste il ruolo di auditor nella
informazioni aggiornate. È
possono variare a seconda del
definizione degli standard e
possibile fare riferimento a
settore di industria e della
delle possibili eccezioni.
CERT nazionali (Computer
collocazione organizzativa della
L’implementazione di tali policy
Emergency Response Team)
figura. Tra le principali aree di

risiede poi in altre mani, che
che dispongono di database
responsabilità si possono citare:
hanno l’obiettivo di rendere
aggiornati sulle vulnerabilità
› Assessment della sicurezza: la
operativo quanto indicato dal
rilevate.
responsabilità principale del
CISO.
› Monitoraggio della sicurezza: il
CISO riguarda la comprensione
› Gestione del rischio: la
costante controllo del traffico
della situazione as-is
comprensione delle potenziali
sui diversi canali diventa
dell’impresa, la conduzione
vulnerabilità e minacce per
fondamentale per identificare
della gap analysis tecnologica

l’organizzazione serve al CISO
potenziali minacce. Per
ed organizzativa e
per fornire al Top Management
garantire l’efficacia dei controlli
l’identificazione di un piano
gli elementi per mettere in atto
ed il monitoraggio continuo il
strategico ed una roadmap per
scelte di gestione del rischio
CISO deve sviluppare un
aumentare la readiness
cyber, in termini di politiche e
Security Operation Center
dell’azienda alle minacce della
strumenti coerenti all’interno
(SOC) interno all’azienda, o
sicurezza. Il piano strategico
dell’organizzazione.
avvalersi di un provider esterno
prende in considerazione
L’importanza di attuare una
di servizi gestiti.
processi, tecnologie e modelli
politica di gestione del rischio
› Risposta agli incidenti:
organizzativi.
cyber allineata con la strategia
l’incidenza di un data breach è
Dall’identificazione di una
di impresa diventa
tanto più grave quanto più
strategia discende poi la
fondamentale. Il CISO deve
passa il tempo dalla sua
creazione di un piano
essere in grado di comprendere
identificazione. La capacità di
operativo, che sia in grado di
come affrontare e mitigare il
rispondere in tempi brevi in un
traguardare obiettivi in modo

rischio ed eventualmente se e
momento di crisi diventa
coerente con il tempo ed il
come trasferire parte di tale
fondamentale per mitigare gli
budget a disposizione.
rischio ad una terza parte
effetti dannosi. Il CISO ha il
› Definizione delle policy:
tramite una polizza di Cyber
compito di definire i processi
l’identificazione delle regole e la
Insurance.
da mettere in atto
relativa applicazione prevede il
› Definizione dell’architettura: il
all’accadimento di un incidente
coinvolgimento di differenti
disegno della corretta
e di individuare il team da
funzioni aziendali. È necessario

architettura di gestione della
coinvolgere. In seguito ad un
però che coloro che definiscono
sicurezza ed il monitoraggio
evento di sicurezza il team si
le policy siano soggetti
continuo delle scelte
deve attivare rapidamente, in
differenti rispetto a chi si
architetturali (ad esempio in
modo da valutare le possibili
occupa della reale
seguito a cambiamenti dei
conseguenze e risolvere il
implementazione. Nel caso in
diritti di accesso o dei firewall)
problema nel tempo più breve
cui la responsabilità della
sono fondamentali per
possibile. Per essere efficace è
gestione della sicurezza sia in

prevenire possibili vulnerabilità
necessario definire un piano di
capo ad un componente della
nella rete aziendale. A tal
formazione continuo con
direzione IT non è sempre
proposito è auspicabile che nel
incontri periodici di
scontato che ci sia questa
team cybersecurity ci siano
allineamento.
separazione netta di
professionisti come architetti
› Investigazione forense: in caso di
responsabilità; è quindi
ed ingegneri della sicurezza.
un data breach è necessario
fondamentale definire in modo
› Identificazione delle minacce:
avere la capacità di condurre
chiaro ruoli e relative attività. In

conoscere le nuove minacce e le
indagini forensi.
45
FIGURA 6.1 – LA DIFFUSIONE DEL CISO
L’investigazione può essere
ICT e fa riferimento al CIO. Solo in
quanto è volta a facilitare il
perseguita con risorse interne o
un 10% dei casi si tratta di una
rispetto, da parte delle singole
più spesso tramite competenze
figura che si rapporta

organizzazioni, delle disposizioni
specialistiche esterne
direttamente al Board aziendale,
dettate dalla nuova disciplina.
all’organizzazione. La
mentre nelle restanti situazioni vi
La sua designazione è
definizione dei corretti processi
sono differenti possibilità: in
obbligatoria nei seguenti casi:
e delle responsabilità diventano
taluni casi (7%) il CISO riporta ad
› il trattamento è effettuato da
elementi distintivi, così come i
una funzione Security Corporate
un’Autorità pubblica o da un
meccanismi di coordinamento
(che si occupa di sicurezza sia
organismo pubblico;
con le altre funzioni aziendali.
fisica sia logica), a Risk

› il “core business” dell’azienda
Management (4%), Operations
consiste in attività che
La situazione in Italia
(4%), o in casi marginali a
richiedono il monitoraggio
Nel campione di grandi imprese
Compliance, Finance o altre
regolare e sistematico di dati
analizzato, emerge come solo nel
strutture (figura 6.1).
degli interessati su larga scala;
46% dei casi sia presente in modo
formalizzato la figura del CISO,
La figura del Data Protection
consiste nel trattamento su
nel 12% vi sia una presenza non
Officer (DPO)
larga scala di dati “sensibili” e
formalizzata, mentre in un
Il nuovo Regolamento europeo
giudiziari”.
ulteriore 9% ne sia prevista
sulla Data Protection (GDPR)
Si rimanda al capitolo 14 per una
l’introduzione nei prossimi 12
introduce la figura del Data
trattazione di maggiore dettaglio.
mesi. Nei restanti casi non esiste
Protection Officer (DPO). Si tratta
La Ricerca dell’Osservatorio,
una figura dedicata ed il presidio
di una figura con compiti
con riferimento alle grandi
dell’information security è
eterogenei, alcuni di natura
organizzazioni, mostra che in
demandato direttamente al Chief
ispettiva interna (sorvegliare), altri
Italia nel 18% dei casi la figura del
Information Officer (28%) o a

consulenziali (dare pareri), alcuni
DPO è formalizzata, nel 15% è una
figure esterne all’ICT (5%).
interni all’organizzazione del
presenza di tipo informale. Il 31%
Il “ritardo” della situazione
Titolare del trattamento dei dati,
del campione dichiara di volerla
italiana si conferma focalizzandosi
altri esterni (rapporto con gli
introdurre nei prossimi 12 mesi,
sulle organizzazioni dove il CISO è
interessati e con l’autorità di
mentre il restante 34% afferma
presente: nel 65% dei casi infatti
controllo). La sua figura è di
che per il momento non saranno
tale figura fa parte della direzione
fondamentale importanza in
inserite figure di questo tipo. Nel

46
2% dei casi la responsabilità è
relativa area di responsabilità.
servizi di security.
delegata ad una figura esterna
› Security Analyst: ha competenze
› Machine Learning Specialist: ha
all’azienda.
di analisi di processo e si
un bagaglio nel campo
occupa di valutare le
dell’analisi statistica, della
Le nuove professionalità
vulnerabilità che possono
matematica e delle tecniche di
in ambito security
interessare reti, apparati,
analytics, si occupa di
Il crescente interesse verso il tema
applicazioni e servizi
sviluppare e monitorare sistemi

della cybersecurity ha portato alla
proponendo soluzioni ed
di risposta real time in grado di
strutturazione di funzioni
accorgimenti pratici. Fa
identificare e trattare possibili
dedicate alla gestione delle
scouting di mercato,
minacce in modo automatico e
tematiche di security
identificando le soluzioni più
cognitivo.
management all’interno delle
adatte a specifici ambiti di
› Security Administrator: si
aziende di dimensioni più grandi.
impiego. Si può occupare di
occupa si rendere operative le
La complessità delle
attività di verifica e conformità
soluzioni tecnologiche di
problematiche richiede
di soluzioni e policy a
security, dalla loro messa in
competenze specialistiche, spesso
specifiche normative. Può
produzione alle attività di
molto difficili da reperire sul
essere inoltre coinvolto nella
manutenzione e supporto agli
mercato.
realizzazione di nuovi
utenti finali.
Le professioni relative alla
prodotti/servizi di security.
› Security Developer: con
gestione della sicurezza
› Security Engineer: ha un forte
competenze informatiche
informatica sono altamente
bagaglio tecnico e modellistico,
specialistiche, si occupa dello

qualificate e le certificazioni molto
si occupa di monitorare i
sviluppo ad hoc di soluzioni di
diffuse. Esistono svariate tipologie
sistemi e proporre soluzioni
security così come
di certificazioni, indirizzate a
relative alla risposta agli
dell’integrazione di servizi di
professionisti con differenti livelli
incidenti. Può avere un ruolo
terze parti.
di seniority. Tra quelle più
attivo in attività di audit, così
› Ethical Hacker: Conosce le
ricercate e diffuse si possono
come nell’identificazione di
principali modalità di
ricordare Certified Information
soluzioni volte a migliorare la
attuazione di penetration test e

Security Professional (CISSP),
sicurezza dell’organizzazione.
ha il compito di mettere in atto
Certified Information System
› Security Architect: ha forti
operazioni in grado di
Auditor (CISA), Certified
compentenze modellistiche, si
dimostrate l’effettiva
Information Security Manager
occupa di svolgere l’assessment
pericolosità di alcune
(CISM), System Security Certified
delle soluzioni di security
vulnerabilità di cui soffre
Practitioner (Security+).
presenti in azienda e di curare
l’azienda. Redige la
È possibile identificare
il disegno armonico e coerente
documentazione per il Top

differenti profili che ricoprono
delle misure di sicurezza e delle
Management e gli executive
ruoli specialistici nell’ambito della
policy adottate
security per argomentare con
sicurezza informatica. Si propone
dall’organizzazione. Viene
elementi concreti i fattori di
di seguito un elenco, non
coinvolto nelle attività di
debolezza nella strategia di
esaustivo, di tali profili e della
disegno di nuovi prodotti e
security dell’organizzazione. •
47
EL-
1 LE COMPETENZE E I RUOLI DELLA GESTIONE DELL'INFORMATION SECUR
CASO 6 IKEA ITALIA RETAIL
IKEA è un’azienda multinazionale fondata in Svezia nel 1943 e specializzata nella vendita di
per l’arredamento della casa. La società ha sede legale in Olanda e opera in 48 Paesi
sparsi in tutto il mondo. Nel 2016 il suo fatturato ha superato i 34 miliardi di Euro.
In tema di sicurezza informatica, la casa madre del Gruppo IKEA definisce gli end
point da utilizzare e i sistemi di prevenzione e rilevamento, per un totale pari a circa il 70% de
perdita di controllo.
Per valutare gli aspetti di sicurezza delle local solutions che le Countries hanno intenzione di i
completa dell’affidabilità della soluzione e della credibilità del fornitore. I penetration test ven
anche sui sistemi già esistenti.
Ogni struttura nazionale ha la facoltà di creare figure locali che possono rappresentare una sor
in seguito “internazionale”, tanto che ogni Paese è spinto dalla casa madre ad istituirla. Al mo
figura in ambito locale non esistevano linee guida, obiettivi o attività di riferimento e la direzio
da zero, anche in seguito a consulenze esterne.
A livello mondiale va rilevata l’esistenza di un Global Retail Information Security Manager co

relaziona periodicamente all’occorrenza. Tale figura fornisce la direzione, le policy e gli stand
La funzione Information Security in IKEA Italia è inserita all’interno della funzione Risk Man
L’approccio si è evoluto nel tempo: se in passato l’informazione veniva concepita come un be

da proteggere anche per ragioni di compliance normativa. Nel 2015 è stata pertanto associata a
Un tema importante per IKEA Italia è quello relativo alla creazione di consapevolezza. La soc
formazione, indirizzato al management dei vari store, relativo ai rischi legati al mondo IT; in e
casi concreti di incidenti cyber particolarmente rilevanti ed è stato distribuito a tutti i dipenden
Per quanto riguarda la Data Privacy si è invece tenuto un corso dedicato, rivolto alle
aventi normalmente a che fare con i dati personali dei clienti (ad esempio il customer service),
Particolare attenzione è stata dedicata ai cambiamenti normativi: provvedimenti del Governo M

e GDPR. Proprio in vista dell’entrata in vigore del Regolamento europeo, la casa madre si sta
un canale con le Countries al fine di sfruttare il know-
how e le competenze locali e di comprendere le normative interne.
In generale, essendo ormai ben sviluppato un team anche a livello globale, le linee guida sono
Per IKEA l’attenzione al brand è massima, e quello che succede sui social network viene mon
è quella di essere pronti e reattivi nel momento in cui dovessero verificarsi particolari situazio
CASO 7 SNAM
Snam è il leader europeo nella realizzazione e gestione integrata delle infrastrutture del gas na
tra i più importanti a livello continentale (con una capacità di 16,5 miliardi di metri cubi) e il p
Italia. È inoltre presente attraverso sue partecipate in Austria, Francia e Regno Unito.
48
Gli investimenti di Snam sono finalizzati a sostenere lo sviluppo delle infrastrutture italiane e
quelle europee, rafforzando la sicurezza, la flessibilità e la liquidità dell’intero sistema gas.
Nel 2016 ha registrato un fatturato pari a circa 2,5 miliardi di Euro.
In qualità di Infrastruttura Critica e Strategica per il Paese, Snam gestisce con la massima atten
estremamente diversificate e di natura geopolitica, sociale, e tecnologica, solo per fare alcuni e
supervisionare nella maniera più completa e affidabile le fonti di minaccia, a prescindere da co
sul piano pratico. In altre parole, deve essere superato il paradigma della sicurezza “a silos”; la
logica, la cybersecurity, la travel security e la security intelligence sono le anime di un unico e
In Snam, tutti questi temi sono affidati a una funzione di Corporate Security che ha la respons
complessiva e gli interventi tattici conseguenti, monitorandone i risultati al fine di identificare
con le esigenze di sicurezza della Società, e dall’altro di vigilare sull’evoluzione delle minacce
come quello tecnologico.
Al contempo, la consapevolezza che i rischi di security costituiscono solo una parte, seppur di
complessivi che Snam deve monitorare e gestire, ha portato la funzione Corporate Security a r
l’adozione di tassonomie e algoritmi coerenti con quelli utilizzati dall’unità di Enterprise Risk
nella condizione di comprendere anche un ambito (la security) con peculiarità specifiche e spe
In questo modello di governo della sicurezza a 360 gradi rientrano inoltre tutti i dipen
chiesto, ciascuno nei limiti del proprio ruolo e mansioni, di partecipare attivamente al manteni
adeguati e coerenti con le esigenze della Società. Dal punto di vista pratico ciò si traduce in du
Per raggiungere questo obiettivo, Snam ha predisposto un programma pluriennale di sensibiliz

che spaziano dall’intera popolazione aziendale fino a specifiche categorie professionali.
Nella consapevolezza, infine, che un adeguato governo della security passi anche attrav
continuativa di logiche di infosharing, Snam sta facendo sistema con il mondo istituzionale (at
tempestività di risposta alle minacce secondo un modello di governo della security il più possi
49
7. L'information security
nelle piccole
e medie imprese
Luca Dozio*
Per le PMI è complesso investire nella sicurezza
informatica: le risorse sono poche e l'attenzione
è focalizzata sul core business dell'organizzazione.
Vi sono tecnologie che vengono in aiuto offrendo
soluzioni allo stato dell'arte, tuttavia ancora troppe
imprese si affidano al semplice buon senso
La rilevanza di gestire la sicurezza
composto per oltre il 99% da
di piccole dimensioni fanno parte
per le PMI
piccole e medie aziende, quindi
di un ecosistema più complesso di
Nonostante il tema della sicurezza

affrontare più nel dettaglio quelle
aziende e nel momento in cui
interessi in un modo o nell’altro
che possono essere le
subiscono un attacco questo
tutte le realtà aziendali, è evidente
problematiche che affliggono
potrebbe portare a gravi
che ogni organizzazione sia
questa categoria di imprese è
ripercussioni anche sulle altre
esposta in maniera differente alle
fondamentale.
aziende che costituiscono la
singole minacce e soprattutto
In ambito digital gli
filiera. Diventa quindi importante
abbia una diversa capacità di
investimenti principali servono a
mettere in atto contromisure di
fronteggiarle.
garantire il core business,
sicurezza, sia per tutelare la
Le aziende più piccole
assicurando così la sostenibilità
propria organizzazione, sia per
concentrano generalmente i loro
dell’impresa, e molto spesso
poter salvaguardare le
sforzi nel tentativo di migliorare i
rimane ben poco budget da poter
informazioni delle aziende con cui
propri processi produttivi e
allocare ad altre iniziative.
si collabora. Anche un partner, un
garantire al cliente un livello di
L’information security è solo una
fornitore o un cliente, infatti,
servizio sempre superiore, così da
delle tante voci di spesa digital in
possono inconsapevolmente
rimanere competitive e crescere

cui è possibile investire e molti,
fungere da tramite per veicolare
nel tempo. I temi della sicurezza
non avvertendo l’importanza del
un attacco. È il caso, per citare un
cyber sono sottovalutati dalle PMI
tema, la trascurano. L’approccio è
esempio celebre sebbene non
(organizzazioni con meno di 250
quello di minimizzare le
recentissimo, dell’attacco
addetti), poiché si tende a
conseguenze di attacchi cyber,
informatico ai danni di Target,
pensare, sbagliando, che siano
mettendo in atto soluzioni di
costato all’azienda circa 191
problemi che riguardano solo le
difesa avanzate solo dopo aver
milioni di dollari, in cui il punto di
realtà di grandi dimensioni.

subito un danno.
accesso alla rete aziendale
Il nostro tessuto economico è
In molti casi, però, queste realtà
sfruttato dagli hacker fu una
* Ricercatore Osservatorio Information Security & Privacy, Politecnico di Milano.

50
piccola impresa fornitrice degli
coinvolte nella Ricerca 803 PMI.
subiti in passato (35%). Questi
impianti di refrigerazione. È
La Ricerca ha analizzato la
numeri mettono in evidenza come
necessario quindi che la
diffusione di soluzioni di
l’approccio sia prevalentemente
sensibilità al tema aumenti, in
information security, la spesa e la
reattivo, cioè volto a far fronte a
modo che non ci siano anelli
sua scomposizione, le motivazioni
un obbligo o attacco esterno. È
deboli all’interno della filiera.
che guidano le scelte delle
necessario far crescere la
Le tecnologie del digitale, come
imprese, la tipologia di soluzioni
sensibilità al fine di passare da un
il Cloud Computing, vengono in
messe in campo e di approccio
approccio reattivo ad una
aiuto a questa categoria di
scelto per difendere
strategia proattiva, dove le
aziende, offrendo servizi
l’organizzazione.
imprese non si muovano solo a
distribuiti con alti livelli di
Secondo quanto emerso dalla
fronte di uno stimolo esterno o
sicurezza, garantiti da
rilevazione, le soluzioni di
dopo aver già subito dei danni,
investimenti ingenti ad opera dei
information security sono
ma prendano l’iniziativa per
provider tecnologici. Questo
ampiamente diffuse nelle PMI: il
cercare di proteggere le proprie
rende possibile alle imprese di
93% delle imprese infatti dichiara
informazioni e quelle di terze
dimensioni ridotte di usufruire di
di aver dedicato alla sicurezza un
parti in loro possesso
sistemi protetti a cui non
budget nel 2016, sebbene questo

preventivamente. Talvolta,
potrebbero altrimenti aver accesso
non corrisponda necessariamente
tuttavia, gli investimenti seguono
in maniera autonoma.
ad un utilizzo maturo e
la necessità di rispondere a nuove
consapevole.
esigenze tecnologiche, che
La situazione
Come illustrato dalla figura 7.1,
richiedono di mettere in sicurezza
attuale delle PMI in Italia
le principali motivazioni che
i dati aziendali (22%), o di
All’interno dell’Osservatorio
guidano le scelte di spesa delle
business (31%).
PMI sono l’adeguamento
Al crescere della dimensione

nel corso del 2016 sono state
normativo (48%) e gli attacchi
delle imprese aumenta la
51
(79%), mentre le aziende del
FIGURA 7.2 – LO STATO DI MATURITÀ
settore Telecomunicazioni sono
quelle che hanno sviluppato
policy aziendali in modo più
diffuso (66%).
Se, da un lato, le grandi imprese
sembrano percepire il rischio

legato al fattore umano, dalla
Ricerca emerge come le PMI
sembrino invece sottovalutare la
tematica della creazione di
consapevolezza tra i propri
dipendenti. Solo il 9% delle realtà
di piccole dimensioni (tra i 10 e i
49 addetti) dichiara infatti di
effettuare specifici programmi di
formazione per aumentare la
consapevolezza delle risorse
rispetto ai rischi informatici (corsi
online o in aula, mail periodiche
di aggiornamento, distribuzione
necessità di adeguare i propri
parte delle PMI, sebbene spesso le
materiale informativo, ecc.). La
standard alle nuove esigenze
aziende siano erroneamente
rilevanza attribuita alle azioni di
tecnologiche: la percentuale di
convinte che una soluzione di
sensibilizzazione cresce con
aziende che dichiara di essere
base sia sufficiente per tutelarsi. È
l’aumentare della dimensione
principalmente guidata da questo
un ragionamento comune,
aziendale, attestandosi al 20% per
driver cresce infatti dal 21% delle
supportato dal fatto che molte
le aziende medio-piccole (tra i 50
piccole imprese (10-49 addetti), al
volte si tende a ritenere
e i 99 addetti) e al 24% per le
32% delle imprese di dimensioni
un’azienda di dimensioni più
imprese più grandi (tra i 100 e i
maggiori (100-249 addetti).
ridotte meno soggetta ad attacchi,
249 addetti).
Se emergono differenze legate

poiché meno “attraente” per un
Il fattore umano, come già
alle dimensioni d’impresa,
criminale rispetto a realtà di
evidenziato in precedenza, è una
dall’analisi settoriale si evince
dimensioni maggiori. In realtà,
variabile che, se non governata,
invece come l’esigenza di
essendo più semplici da attaccare,
può avere gravi ripercussioni sul
adeguamento normativo sia la
le piccole imprese rappresentano
livello di sicurezza aziendale.
principale motivazione di spesa
in molti casi gli obiettivi più
Dalle rilevazioni (figura 7.2)
per ogni comparto esaminato. Il
interessanti, poiché anche
emerge che un’organizzazione su
settore dei Servizi risulta essere,

richiedendo piccole somme di
quattro (25%) si affida al buon
in termini di spesa in information
denaro è possibile ottenere
senso dei propri dipendenti, senza
security, quello maggiormente
risultati molti profittevoli a fronte
seguire un approccio tecnologico
guidato dalle esigenze di business
della loro numerosità (per
definito. Il 46% delle imprese ha
(36%).
esempio in caso di attacchi
per contro policy aziendali ben
La maggior parte delle imprese
ransomware con una richiesta di
definite, mentre solo il 10% ha
dispone di soluzioni di sicurezza
riscatto modesta, perpetrati però
programmi di formazione
di base (76%) quali per esempio

su larga scala).
orientati ad aumentare la
antivirus ed antispam ed il 62%
Secondo quanto analizzato,
consapevolezza. Questi dati vanno
dichiara di disporre anche di
alcuni settori si rivelano più
letti tenendo in considerazione le
soluzioni sofisticate, come firewall
virtuosi di altri: le aziende del
risorse limitate a disposizione di
o sistemi di intrusion detection.
Finance, ad esempio, sono quelle
tali imprese: le PMI dispongono
Questi dati mettono in evidenza
caratterizzate da un maggior
infatti di una minore capacità di
come il tema sia noto alla maggior
impiego di soluzioni sofisticate
spesa da dedicare all’erogazione

52
di questo tipo di corsi, e il numero
deve stupire che le fasi di
limitare i danni che ne potrebbero
di ore che i dipendenti possono
identificazione e protezione siano
derivare. Per fare questo sono
dedicare ai vari incontri è spesso
quelle maggiormente presidiate.
richieste tecnologie che
scarso, poiché può implicare un
Si tratta infatti degli approcci a
monitorino in maniera costante il
rallentamento dei processi
cui, anche con una bassa
sistema informativo aziendale e
produttivi.
conoscenza della tematica, è più
che notifichino prontamente
L’approccio alla sicurezza nelle
facile prestare attenzione: nella

un’offensiva in corso. Una volta
PMI è orientato prevalentemente
fase di protezione, ad esempio,
rilevato un attacco è necessario
all’ identificazione (66%) e alla
può rientrare la semplice e banale
avere delle procedure che
protezione (66%), molto meno alla
installazione di un antivirus.
definiscano le azioni da
rilevazione (12%) e alla risposta
Sono però le fasi di risposta e
intraprendere al fine di isolarlo e
(15%). L’attenzione alla rilevazione
rilevazione che rappresentano
tecnologie in grado di supportare
cresce all’aumentare della
una buona cartina tornasole della
tali attività. Nei casi peggiori, in
dimensione di impresa, passando
maturità di un’azienda nei

cui il sistema venga
dall’11% delle piccole imprese (10-
confronti della sicurezza.
compromesso, è necessario
49 addetti) al 20% delle aziende di
Partendo dal presupposto infatti
disporre di sistemi di Disaster
dimensioni maggiori (100-249
che non è possibile garantire un
Recovery e Business Continuity,
addetti). Il settore delle
livello completo di sicurezza e
che permettano di recuperare tutti
Telecomunicazioni appare quello
protezione dagli attacchi
i dati persi e di garantire il
maggiormente orientato agli
informatici e che ogni azienda
normale funzionamento dei
aspetti di risposta (40%).
può esserne vittima in qualsiasi

sistemi, così da non avere
Assodato che ognuno degli
momento, essere in grado di
ripercussioni nel livello di servizio
approcci ricopre un ruolo
rendersi conto che si sta subendo
fornito ai propri clienti e da non
ugualmente importante nella
un attacco significa anche essere
creare problemi ad attività core
mitigazione del rischio cyber, non
in grado di reagire prontamente e
per l’azienda. •
53
PARTE II -
L'INNOVAZIONE DIGITALE E LE IMPLICAZIONI SULLA SECURITY-
8. I Big Data
e la Cyber Intelligence:
raccolta e utilizzo
Giorgia Dragoni*
La disponibilità di grandi quantità di dati offre
Ilaria Guindani**
opportunità di innovazione importanti, anche nel mondo
della sicurezza. L'utilizzo è ancora focalizzato ad azioni
ex post in seguito ad incidenti, per attività di audit o per
creare una base di conoscenza, risulta invece limitato
lo sviluppo ex ante di modelli predittivi di monitoraggio
delle minacce
Un’enorme mole di dati
dal 2012 vengano creati ogni
adatti, secondo le proprie
a disposizione
giorno circa 2,5 Exabyte di nuovi
esigenze, per raccogliere ed
Negli ultimi anni abbiamo
dati: il 90% dei dati attualmente a
estrarre valore dai dati eterogenei
assistito ad una vera e propria
disposizione è stato generato
disponibili quotidianamente.
esplosione di dati, generati a

soltanto nel corso degli ultimi 2
Con il termine Big Data si fa
grandissima velocità da una
anni 1 . Considerando a titolo
riferimento a dati che possiedono
moltitudine di fonti informative. I
esemplificativo il mondo dei
le seguenti caratteristiche:
dati possono essere generati dalle
Social Media come nuova fonte di
› Volume: si tratta di un’ingente
interazioni tra dispositivi
dati, si possono mostrare numeri
massa di dati generata
elettronici ( machinetomachine;
significativi: gli utenti social attivi
attraverso numerosi canali, in
esempio: sensori, RFId, ecc.), tra
in tutto il mondo sono circa 2.79
continuo aumento a ritmi
persone (p eopletopeople;
miliardi 2 ; in un minuto vengono
difficilmente prevedibili;
esempio: social network), oppure
generati circa 440 mila tweet su
› Velocità: considera la rapidità
dalla relazione tra uomo e
Twitter, 4.2 miliardi di like su
con la quale i dati vengono
dispositivi elettronici ( peopleto
Facebook, 11 mila ricerche su
generati e acquisiti. Si tratta di
machine; esempio: transazioni
LinkedIn.
una caratteristica legata alla
legate agli acquisti online).
Le organizzazioni si trovano
proliferazione di dispositivi
Per dare un’idea dell’entità del
quindi oggi ad avere la possibilità
dotati di sensoristica capace di
fenomeno, si stima che a partire

di poter scegliere gli strumenti più
raccogliere dati in tempo reale;
* Ricercatrice Senior Osservatorio Information Security & Privacy, Politecnico di Milano.
** Ricercatrice Osservatorio Big Data Analytics & Business Intelligence, Politecnico di Milan
1 . Dal Report“10 Key Marketing Trends For 2017,” IBM Marketing Cloud.
2 . Fonte: www.wearesocial.com.
54
› Varietà: è legata alle differenti
l’insieme di logiche di estrazione
905 milioni di Euro. In
tipologie di dati disponibili
flessibili, metodologie di analisi e
particolare, la componente legata
provenienti da un numero
modelli matematici di predizione

ai Big Data ha visto un
crescente di fonti eterogenee. I
e ottimizzazione. Le soluzioni di
incremento del 44%,
dati possono essere strutturati
Analytics sono i tools tecnologici
raggiungendo i 183 milioni di
o non strutturati, interni
attraverso i quali è possibile
Euro.
oppure esterni alle
realizzare le analisi e applicare i
Se da un lato è bene
organizzazioni;
modelli sui dati. Utilizzando
considerare che i Big Data
› Veridicità: il termine fa
adeguati strumenti di Analytics è
introducono nuove sfide per
riferimento alla qualità dei dati
possibile effettuare analisi sia di

quanto riguarda la privacy e la
e alla loro affidabilità, la cui
tipo descrittivo, orientate a
protezione dei dati, specialmente
garanzia rappresenta una sfida
rappresentare la situazione
in caso di gestione di dati
molto importante;
attuale e passata di un particolare
personali o particolarmente
› Variabilità: esprime la
processo o sistema, ma anche di
sensibili, dall’altro lato la crescita
mutevolezza del significato o
tipo predittivo, per rispondere a
esponenziale dei dati stessi
dell’interpretazione di un dato
domande relative a cosa potrebbe
introduce nuove possibilità di
a seconda del contesto in cui lo
accadere nel futuro, seguendo una

estrazione di valore che possono
stesso viene raccolto ed
logica di anticipazione e
generare enormi opportunità per
analizzato (figura 8.1).
previsione.
le aziende, anche dal punto di
I Big Data rappresentano una
Secondo i dati dell’Osservatorio
vista delle strategie di sicurezza.
fonte inestimabile di valore, che è
Big Data Analytics & Business
possibile estrarre dalle
Intelligence del Politecnico di
Un cambiamento di approccio
informazioni a disposizione
Milano, il mercato Analytics nel
necessario: la Cyber Intelligence
tramite opportuni strumenti di
2016 ha registrato una crescita
È innanzitutto necessario partire

Analytics. Per Analytics si intende
pari al 15%, per un valore totale di
dal presupposto che le minacce

55
danni diventa così estremamente
complicato, e crea un grande
vantaggio per i cybercriminali:
essere riconosciuti come utenti
regolari permette loro di muoversi

indisturbati nella rete aziendale.
Se da un lato all’attaccante
bastano pochi minuti per
provocare un incidente, per
contro il tempo medio che le
aziende impiegano per
individuare un breach di
sicurezza, secondo analisti
internazionali, è pari a 205 giorni:
un intervallo di tempo
lunghissimo, in cui l’attaccante ha
la possibilità di esplorare a fondo i
sistemi, per progettare un furto di
dati su grande scala o
l’interruzione di un servizio
essenziale.
L’asset da proteggere non è più
informatiche stanno diventando
minacce. Spesso gli attaccanti
(solo) il device, ma piuttosto
sempre più parte integrante del

sfruttano infatti vulnerabilità
l’informazione, il dato, e questo
tessuto digitale aziendale e che
zero-day, non ancora note
nuovo approccio richiede la
non è possibile attuare misure in
pubblicamente, per ottenere
capacità di intercettare e
grado di evitare con certezza una
l’accesso ai sistemi, che possono
anticipare le minacce.
violazione della sicurezza. In
permettere loro di rimanere ignoti
In questo contesto trovano
questo scenario, accanto
e nascosti anche per lungo tempo
applicazione le metodologie e gli
all’approccio tradizionale basato
dopo aver lanciato l’attacco.
strumenti di Analytics citate
sulla protezione dei sistemi, le

Gli attacchi di tipo APT
precedentemente: nell’ambito
aziende stanno cominciando ad
(Advanced Persistent Threat), che
della sicurezza si parla di Cyber
adottare una logica di
hanno visto una rapida e
Intelligence. L’integrazione di dati
prevenzione e anticipazione delle
crescente diffusione negli ultimi
provenienti da varie fonti (es. dati
minacce. Le organizzazioni hanno
anni, sfruttano proprio questa
sugli incidenti avvenuti a livello
infatti a disposizione una grande
caratteristica: si tratta infatti di
mondiale, indirizzi IP, log, URL
quantità di dati, che possono
attacchi sofisticati che prendono
sospette provenienti dalle
analizzare per cercare di

di mira un obiettivo colpendolo da
segnalazioni degli utenti, ecc.)
sviluppare nuove strategie di
più fronti, restando silenti per il
permette di sviluppare modelli di
sicurezza.
tempo necessario all’esplorazione
monitoraggio delle minacce in
Le tecnologie atte a proteggere
degli asset informativi delle
grado di intercettare possibili
il perimetro aziendale da
aziende colpite.
anomalie e gestirle prima che la
eventuali intrusioni, infatti, non
Un aggressore potrebbe inoltre
situazione diventi effettivamente
bastano più a garantire una
utilizzare le credenziali di accesso
critica.
protezione completa dalle

di un dipendente
Per Cyber Intelligence si
violazioni. Pur rimanendo un
dell’organizzazione per penetrare
intende la raccolta e l’analisi di
elemento cruciale e necessario,
nella rete, passando
dati che possono essere utili a
infatti, l’approccio perimetrale
momentaneamente inosservato.
proteggere gli asset critici
non è più sufficiente, perché non
Distinguere un’attività lecita dal
dell’azienda, sviluppando una
riesce a evolvere di pari passo con
comportamento di un
conoscenza profonda dei propri
la continua nascita di nuove
malintenzionato intento a fare
avversari, delle minacce, dei

56
metodi di attacco utilizzati. La
logica di analisi predittiva;
questo approccio si definisce
Cyber Intelligence può aiutare a
› Produzione e Disseminazione
Human Intelligence (HUMINT) e
prevenire attacchi o a ridurre il
intelligence: è la fase in cui
punta a sfruttare i contatti
tempo necessario per la loro
l’intelligence viene
interpersonali come fonte
individuazione, tramite la raccolta
effettivamente prodotta e
informativa.
di informazioni che mettano in
condivisa con gli utenti finali,
Tra le fonti esterne sono da
luce i rischi e le minacce.
con il Top Management, con i

considerare sia le fonti
peer di settore e con
pubblicamente disponibili (per
Il processo della Cyber Intelligence
organizzazioni nazionali e
OSINT – Open Source
Un approccio basato sulla Cyber
internazionali;
INTelligence – si intende l'attività
Intelligence punta ad utilizzare
› Valutazione: consiste nel
di raccolta di informazioni
abilmente diverse fonti
verificare che i risultati siano
mediante la consultazione di fonti
informative, per comprendere
effettivamente in linea con i
di pubblico accesso), come per
come operano i potenziali
requisiti stabiliti e nella ri-
esempio i CERT Nazionali 3 , sia

attaccanti e valutare quale rischio
valutazione delle informazioni
l’utilizzo di dati messi a
potrebbero rappresentare per
in base ai feedback degli utenti.
disposizione da vendor, sia la
l’azienda, mettendo in relazione
È la fase che può dare avvio ad
raccolta di informazioni da deep o
minacce esterne, vulnerabilità
un nuovo ciclo di intelligence.
dark web, per intercettare
interne e impatti ipotetici (figura
Come anticipato, la raccolta dei
minacce emergenti.
8.2).
dati grezzi necessari a soddisfare i
Più che un processo end-to-
requisiti definiti può avvenire
La situazione delle aziende italiane
end, la Cyber Intelligence si

attraverso diverse fonti: interne o
Secondo i dati emersi dalla
configura come un processo
esterne, proprietarie o open
Ricerca dell’Osservatorio
circolare. Il processo tradizionale
source.
Information Security & Privacy, il
di intelligence prevede i seguenti
Internamente è possibile
tema dell’analisi dei dati legati al
passi, ripetuti ciclicamente:
reperire dati sui tentativi di
mondo dell’information security è
› Pianificazione e definizione
attacco subìti, sulle misure di
presidiato dal 57% delle grandi
requisiti: si declina nella
sicurezza messe in atto, sulle
organizzazioni intervistate,
determinazione degli obiettivi,

anomalie rilevate e mettere in
tramite l’esistenza di un presidio
nella scelta degli asset da
evidenza i punti deboli e le
formale (28%) o informale (29%).
analizzare e monitorare,
vulnerabilità dell’azienda. In
Per l’8% delle aziende esiste un
nell’allocazione delle risorse,
molte organizzazioni le
presidio, ma al di fuori delle
nell’individuazione delle
informazioni sono raccolte in un
attività core dell’information
competenze;
SIEM (Security Information and
security e nel restante 35% dei
› Raccolta dati: consiste nella
Event Management), un sistema
casi il tema non è presidiato
ricerca e ottenimento dei dati

che integra capacità di SIM
(figura 8.3).
grezzi da elaborare e può
(Security Information
Il 32% delle imprese del
avvenire tramite una
Management), componente che si
campione dichiara di non
molteplicità di fonti differenti;
occupa di log management,
utilizzare i dati per interpretare
› Analisi: lo scopo dell’analisi è
analisi e produzione di report, e
e/o anticipare criticità. Il restante
l’integrazione, la valutazione e
SEM (Security Event
68%, invece, ha già implementato
la correlazione dei dati raccolti,
Management), elemento deputato
azioni in questo ambito. In
con lo scopo di trasformarli in

al monitoraggio in real-time, alla
particolare, il 20% delle
informazioni da cui estrarre
correlazione di eventi e alla
organizzazioni utilizza i dati e li
insight di valore. In questa fase
notifica.
correla con diverse fonti
vengono utilizzate tecniche e
È inoltre possibile raccogliere
informative ex ante per sviluppare
metodologie di Analytics, in
dati utili anche dalle persone:
modelli predittivi di monitoraggio
3
. I CERT (Computer Emergency Response Team) sono organizzazioni, generalmente finanziat
raccogliere le segnalazioni di incidenti informatici e potenziali vulnerabilità nei software che
stessi informazioni utili per la prevenzione e soluzione di problemi legati alla sicurezza inform
57
FIGURA 8.3. – LA CYBER INTELLIGENCE
delle minacce (in ottica, appunto,
39% delle organizzazioni li
ad attacchi passati vengono
di Cyber Intelligence). Il 23% li
analizza ex post in seguito ad
inoltre analizzati per creare una
analizza in tempo reale per
incidenti per attività
base di conoscenza delle minacce
risolvere più velocemente una
prevalentemente legate ad audit

e degli attacchi stessi e sviluppare
situazione di minaccia, mentre il
aziendali. Per il 31%, i dati relativi
strategie di risposta/azione. •
58
PARTE II -
9. I modelli
di sicurezza
per il Cloud Computing
Luca Dozio*
La progressiva diffusione del Cloud Computing ha portato
Marina Natalucci**
ad un'esternalizzazione di porzioni di sistemi
informativi, offrendo modelli scalabili di gestione della
tecnologia. Tuttavia aumentano le minacce da gestire
in un mondo sempre più connesso e interdipendente
Cos’è il Cloud Computing e perché
gestione IT tradizionale.
acquistato in base alle reali

cambia i modelli di sicurezza
Dal punto di vista tecnologico,
esigenze aziendali e pagato in
Negli ultimi anni, il Cloud
secondo la definizione del NIST
base agli effettivi consumi. In
Computing è andato affermandosi
(National Institute for Standards
questo modo, il rischio legato ai
nelle aziende come nuovo ed
and Technology), il Cloud
progetti IT si riduce
essenziale modello di fruizione
Computing è un insieme di servizi
notevolmente, in quanto si passa
delle tecnologie ICT (Information
ICT accessibili on-demand e in
da un investimento in capitale
& Communication Technology) in
modalità self-service tramite
fisso a spese operative correnti e

quanto permette di accedere ai
tecnologie Internet, basati su
variabili.
servizi aggiornati e
risorse condivise, caratterizzati da
I servizi Cloud possono essere
tecnologicamente avanzati di un
rapida scalabilità e dalla
classificati secondo tre modelli di
service provider attraverso la rete,
misurabilità puntuale dei livelli di
servizio:
pagandoli direttamente al
performance, in modo da poter
› Infrastructure as a Service
consumo. In questo modo, la
essere pagati in base al consumo.
(IaaS), in cui il provider offre
gestione interna dell’Information
Dal punto di vista commerciale, il
all’utente risorse di calcolo,

Technology diventa molto più
Cloud Computing permette di
come rete, storage, capacità
asset-light e il time-to-market
ridurre complessivamente i costi
elaborativa, sulle quali
della digitalizzazione viene
in quanto l’aggregazione di
installare e gestire
notevolmente ridotto. Tuttavia,
diversi profili di domanda su
autonomamente le proprie
per sfruttare le opportunità di
risorse condivise permette di
applicazioni;
questo paradigma, le aziende
raggiungere economie di scala
› Platform as a Service (PaaS), in
devono dotarsi di strumenti e best
oltre ad abilitare l’erogazione
cui il provider offre all’utente,

practice per la gestione della
flessibile dei servizi. Attraverso
già preinstallate e configurate,
sicurezza, diversi o comunque
questo paradigma, l’Information
piattaforme ottimizzate per lo
evoluti rispetto a quelli tipici della
Technology diventa un servizio
sviluppo, il testing e
** Ricercatrice Osservatorio Cloud & ICT as a Service, Politecnico di Milano.

59
l’erogazione delle applicazioni;
quale vengono affidate anche le
destare preoccupazioni nelle
› Software as a Service (SaaS), in
operazioni di manutenzione e
aziende.
cui il provider offre all’utente
di gestione;
Infatti, il cliente usufruisce di
applicazioni gestite su
› Cloud Pubblico: l’infrastruttura
servizi basati su infrastrutture che
un’infrastruttura Cloud.
Cloud è di proprietà del service
non sono sotto suo controllo e
Vi sono inoltre differenti modalità
provider, che eroga servizi
gestione ma sono di proprietà del
di implementazione dei servizi
disponibili al pubblico
provider. In termini di sicurezza,
Cloud, identificate secondo tre
attraverso Internet su risorse
questo genera due tipi di
modelli di deployment:
condivise da più utenti. Gli
considerazioni: da una parte, il
› Cloud Privato: l’infrastruttura
investimenti infrastrutturali
provider ha capacità di
rimane dedicata
sono interamente sostenuti dal
investimento tali da poter mettere
esclusivamente
fornitore, mentre il cliente paga
in piedi strumenti molto più
all’organizzazione utente, che
a consumo solamente per i
potenti di quanto potrebbe
ne ha il pieno controllo. Il
servizi effettivamente fruiti;
realizzare un team di sicurezza
Cloud privato può risiedere nel
› Community Cloud:
interno all’azienda. D’altro canto,
Data Center dell’impresa stessa,
l’infrastruttura è condivisa da
perdere controllo su informazioni
rimanendo sotto la gestione del
un numero limitato di
e servizi critici per il business è
personale interno, oppure può

organizzazioni, ad esempio un
oggi uno dei maggiori elementi di
essere affidato ad un fornitore
consorzio di imprese. Gli
freno per le aziende nell’adozione
esterno specializzato,
investimenti necessari alla
di servizi Cloud. Secondo quanto
diventando quindi un Managed
realizzazione dell’infrastruttura
emerge dalla Ricerca 2016
Private Cloud. In quest’ultimo
e il controllo della stessa sono
dell’Osservatorio Cloud & ICT as a
caso, gli asset fisici sono di
ripartiti tra gli enti partecipanti
Service del Politecnico di Milano,
proprietà dell’azienda e solo la
alla community. Ugualmente al
infatti, tra le aziende che già
gestione del Data Center è

Cloud Privato, il Community
adottano servizi Public Cloud, gli
affidata all’operatore terzo.
Cloud può essere Hosted,
aspetti maggiormente frenanti
Inoltre, esiste il caso del Hosted
Managed oppure ospitato e
sono proprio la tutela della
Private Cloud, in cui le
gestito internamente
privacy e della riservatezza (nel
infrastrutture vengono ospitate
(figura 9.1).
38% dei casi), la sicurezza dei dati
sul Data Center del fornitore, al
È specialmente il Cloud Pubblico a
(25%) e le problematiche di
60
indisponibilità del servizio
modifica il perimetro di
relativamente agli ambienti Cloud,
(23%) 1 .
attenzione per la sicurezza stessa,
le grandi imprese italiane
In effetti, i casi di furto dei dati
non più relativa unicamente ad
percepiscono come principali
si sono moltiplicati negli ultimi
un dominio interno ai confini
minacce alla sicurezza la
anni. Solo nel 2016, Yahoo ha
aziendali, ed è quindi necessario
mancanza di controllo sulle
ammesso di essere stata colpita
che le organizzazioni aggiornino
operations del service provider
da due pesanti cyber attacchi,
ed evolvano la propria strategia di
(63% degli intervistati), i problemi
avvenuti tra il 2013 e il 2014, in
protezione.
derivanti dal lock in con il
cui sono stati rubati i dati riferiti a
fornitore (46%), i possibili data
più di 1 miliardo di account.
Le minacce alla sicurezza nel Cloud
breach e la scarsa trasparenza
Anche l’indisponibilità dei sistemi,
e le best practice per proteggersi
rispetto agli obblighi contrattuali
e quindi l’impossibilità per le
Secondo l’Osservatorio Cloud &
(42%) 2 . È chiaro l’intreccio tra
aziende di accedere ai propri
ICT as a Service del Politecnico di
minacce tecnologiche e aspetti più
servizi business-critical, spaventa
Milano, il mercato del Cloud
legati al contratto e alla relazione
molto e ve ne sono alcuni casi
Computing in Italia ha raggiunto
con il fornitore: da una parte è

recenti: ad esempio, nel Marzo
un valore complessivo di 1,77
necessario essere consapevoli
2017, il leader del mercato Public
miliardi di Euro nel 2016, con una
delle nuove minacce alla sicurezza
Cloud, Amazon Web Services
dinamica di crescita del 18%
introdotte dal Cloud e di come
(AWS), ha avuto un’interruzione
rispetto all’anno precedente.
affrontarle, dall’altra bisogna
dei servizi di alcuni sistemi per tre
L’approccio delle aziende italiane
evolvere gli strumenti contrattuali
ore durante le quali i siti Internet
verso i progetti di Public Cloud è
affinché pratiche, responsabilità e
di molte aziende, che risiedevano
ormai maturo, con iniziative
livelli di disponibilità dei servizi

sulle infrastrutture del famoso
importanti che coinvolgono
del provider siano chiaramente
provider, non hanno più
infrastrutture e applicativi sempre
definiti.
funzionato.
più business-critical. Questo
Come già accennato, la
Le paure più comuni tra le
comporta, da un lato, una
sicurezza del dato è uno degli
aziende italiane non sono quindi
focalizzazione dei cyber-attacchi
elementi scatenanti per queste
ingiustificate ma non si può
sui grandi provider di servizi
preoccupazioni perché è ormai
affermare che il Cloud Computing
Cloud, ormai detentori di dati
fonte essenziale di vantaggio

sia più o meno sicuro rispetto ai
sensibili e processi core di facile
competitivo. Il data breach è
sistemi tradizionali. Infatti, questo
monetizzazione per gli hacker;
considerato infatti una minaccia
modello porta anche dei vantaggi
dall’altro, i Sistemi Informativi
molto rilevante: si tratta di
in termini di sicurezza: per
aziendali stanno evolvendo verso
incidenti in cui dati sensibili o
esempio, i sistemi sono più
ambienti sempre più ibridi, in cui
informazioni confidenziali
semplici da aggiornare e di
infrastrutture e applicativi interni
vengono rilasciate, visualizzate,
conseguenza più difficilmente
devono integrarsi in maniera
rubate o utilizzate da un
attaccabili, e la sicurezza diventa
veloce, flessibile e sicura con i
individuo non autorizzato. Questi
dominio del provider riducendo
servizi fruiti in Cloud. Il Cloud
incidenti non sono una minaccia
l’onere della gestione interna.
rappresenta quindi sia un nuovo
solo nel Cloud Computing ma,
Inoltre, le esperienze di gestione
focus di attacco sia un nuovo
come anticipato, rappresentano
della sicurezza tradizionale
punto d’ingresso per la
una tra le preoccupazioni di
accumulate negli anni non sono
compromissione dei sistemi
maggior freno per le aziende nella
inutili, anzi continuano ad avere
interni all’azienda.
decisione di usufruire di questi

la loro validità pur non essendo
Secondo la Ricerca 2016
servizi. Il data breach potrebbe
più sufficienti. È d’altro canto
dell’Osservatorio Information
derivare da un attacco hacker
vero che il Cloud Computing
Security and Privacy del
oppure essere il risultato di un
introduce nuove minacce e
Politecnico di Milano,
errore umano, di una
1
. L’indagine ha coinvolto 110 grandi organizzazioni e 800 piccole e medie organizzazioni pre
2
. L’indagine ha coinvolto 148 grandi organizzazioni e 803 piccole e medie organizzazioni pre
61
vulnerabilità nelle applicazioni o
debolezza dei sistemi. Inoltre, i
dotato di specifici strumenti di
di pratiche di sicurezza aziendali

servizi Cloud più consumer, come
monitoraggio e che, in caso di
non adeguate. Oltre alla presenza
Dropbox, Onedrive e Google
attacco, gli amministratori di
di potenziali attaccanti all’esterno
Drive, vengono spesso utilizzati
sistema siano in grado di
dell’azienda, si aggiungono quindi
segretamente dal personale
accedere immediatamente alle
anche gli elementi di errore e
aziendale in modo estemporaneo
risorse per poter mitigare il
incidente indesiderato che
e non governato come strumenti
problema.
potrebbero causare il rilascio o la
per la gestione della produttività
› Gestione inadeguata di
perdita di dati critici.

personale o per lo scambio di
identità, credenziali e accessi:
Un elemento che spesso
documenti, generando ulteriori
le identità e le chiavi
amplifica le minacce relative al
vulnerabilità in termini di
crittografiche sono asset di
Cloud Computing è il cosiddetto
sicurezza. Il tema è molto
valore perché aumentano le
fenomeno dello Shadow IT, ovvero
significativo e oggi le aziende ne
difese contro attacchi e data
quando applicazioni e
hanno poca consapevolezza:
breach, dunque le relative
infrastrutture di Information
infatti, secondo l’Osservatorio
pratiche di protezione e
Technology vengono utilizzate

Information Security and Privacy,
monitoraggio devono essere
senza che la Direzione IT ne sia
il 30% delle grandi aziende
adeguate. Nel caso di servizi
consapevole. Le tecnologie digitali
intervistate dichiara di non
fruiti in Cloud, è importante
sono sempre più pervasive e
presidiare in alcun modo le
interconnettere i sistemi di
ormai non sono più solo un
minacce relative ad ambienti
gestione delle identità con
supporto al business ma ne
Cloud consumer, mentre il 57% le
quelli del provider, creando una
diventano parte integrante. Di
presidia limitandone l’utilizzo ad
singola identità elettronica
conseguenza, le Linee di Business

alcuni servizi specifici, il 17%
degli utenti e quindi avendo
richiedono alla Direzione IT
tramite una policy
una visione chiara sulle
performance molto più elevate in
comportamentale e il 5%
modalità di gestione della
termini di velocità di risposta
attraverso una piattaforma di
sicurezza correlata.
nell’introduzione di nuove
gestione o monitoraggio dei
Un’autenticazione multi-
tecnologie. Attualmente però, i
suddetti servizi2.
fattoriale deve essere richiesta a
progetti seguono pratiche di
Dal punto di vista tecnologico,
tutti gli operatori e gli utenti
gestione molto rigide e la

alcune delle minacce più comuni
del servizio Cloud, ad esempio
tempestività di risposta della
relative al Public Cloud sono le
attraverso smartcard, password
Direzione IT non è sempre
seguenti:
“usa e getta” e cellulare, al fine
soddisfacente, tanto che a volte
› Denial-of-Service (DDoS): I
di evitare che password deboli
questo inibisce il raggiungimento
DDoS sono attacchi portati a
possano rischiare di essere
degli obiettivi di business. Il
termine con lo scopo di
rubate. Inoltre, le chiavi
Public Cloud introduce una logica
impedire agli utenti di accedere
crittografiche utilizzate per
secondo cui l’IT diventa un

ai propri dati o applicazioni. In
proteggere l’accesso ai dati
servizio rapidamente disponibile e
pratica, l’attaccante cerca di
devono ruotare e cambiare
pagato in base al consumo, in
forzare il servizio Cloud al
periodicamente in modo da
maniera estremamente più
consumo di un elevato numero
ridurre il tempo di vulnerabilità
semplice ed efficiente. Questo
di risorse in modo da rallentare
a disposizione degli hacker in
cambiamento nel modo di fruire
drasticamente il
caso di attacco. Come
le tecnologie riduce la percezione
funzionamento del sistema.
accennato, nella fruizione di
di centralità della Direzione IT che

Oltre a creare un rallentamento
servizi Cloud, queste pratiche
viene sempre più spesso
del business, questo genere di
di sicurezza devono essere ben
bypassata nell’acquisto dei servizi
attacchi può generare un
definite con il provider perché
Cloud. Una Direzione IT quindi
consumo di risorse tale da
un accesso non autorizzato ai
inconsapevole dei servizi utilizzati
aumentare significativamente il
dati può creare ingenti danni
in azienda non può attuare una
costo dei servizi Cloud,
all’organizzazione e agli utenti
strategia di sicurezza adeguata
riducendone la convenienza. È
finali. Un esempio recente delle
generando nuovi punti di

importante che il sistema sia
possibili conseguenze di questa
62
minaccia è quello di GitHub,
sicurezza relativi a
contenente un link ad un sito
piattaforma di sviluppo open
confidenzialità, integrità e
malevolo, qualsiasi utente può
source dove gli sviluppatori
disponibilità dei servizi.
essere indotto ad installare un
mettono a disposizione il
Rendendo il sistema esposto
software che, tramite la
codice sorgente a beneficio di
all’esterno dei confini aziendali,
semplice modifica delle
altri. In pratica, un provider di
le API diventano un punto

impostazioni di
servizi Cloud ha erroneamente
focale per gli attacchi hacker. Il
sincronizzazione, crea una
pubblicato le credenziali del
fornitore deve quindi
copia di tutto ciò che viene
proprio account AWS
assicurare che le pratiche di
memorizzato nel Cloud.
lavorando il codice su GitHub.
sicurezza siano ben integrate
› Sicurezza dell’Hypervisor:
Si è poi scoperto che GitHub
nel proprio modello di servizio
l’Hypervisor è una funzione che
rappresenta un punto di
con test rigorosi e continua
astrae e isola i sistemi operativi
attenzione per gli hacker che
revisione del codice lungo tutto

e le applicazioni dalle
vogliono minare le monete
il ciclo di vita delle API. Un
infrastrutture sottostanti. In
virtuali come Bitcoin e che
esempio recente è l’attacco
questo modo, più macchine
quindi ricercano le credenziali
subito dall’Internal Revenue
virtuali possono girare sulla
di accesso ad AWS che per
Service (IRS) americano nel
stessa macchina hardware
sbaglio vengono rilasciate dagli
2015 in cui sono stati rubati i
condividendo le risorse fisiche.
sviluppatori durante la
dati personali di più di 300.000
Nel Cloud, soprattutto nello
modifica del codice sorgente.
account a causa dell’utilizzo

scenario Infrastructure as a
› Sicurezza delle API
fraudolento dell’API “get
Service, le risorse sono
(Application Programming
transcript” con cui l’utente può
condivise tra più clienti.
Interface): le API sono
richiedere i rimborsi sulle tasse
Dunque, se il modello di
interfacce applicative che i
pagate. Gli hacker sono riusciti
sicurezza dell’Hypervisor
Cloud provider rendono
a sottrarre informazioni sugli
presenta delle vulnerabilità,
disponibili ai propri clienti al
account e a compilare false
l’isolamento delle risorse può
fine di gestire e interagire con i
dichiarazioni dei redditi per poi

essere compromesso
servizi Cloud, automatizzandoli
richiedere i rimborsi all’IRS.
generando un accesso non
e integrandoli in maniera
› Attacchi agli amministratori
autorizzato ai dati.
semplice. Inoltre, le aziende
Cloud o installazione di
› Vulnerabilità del sistema: si
utenti possono riutilizzare le
software malevolo: è altamente
tratta di bug di sistema che gli
API del provider per offrire
probabile che all’interno della
attaccanti possono sfruttare per
servizi a valore aggiunto ai
posta elettronica degli
rubare i dati, prendere il
propri clienti, accrescendone la
amministratori IT vi siano
controllo o distruggere le
complessità di gestione. La
riferimenti alle credenziali di
operations del sistema stesso.
disponibilità e la sicurezza dei
accesso al portale di
Questo tipo di minaccia non è
servizi in Cloud è quindi
amministrazione del Public
certamente nuovo ma nel
fortemente dipendente dalla
Cloud. Gli attaccanti,
Cloud risulta amplificato dal
sicurezza di queste interfacce:
prendendo il controllo
fatto che le risorse sono
le API potrebbero presentare
dell’account email, possono
condivise tra più clienti e
vulnerabilità dal punto di vista
effettuare modifiche e ottenere

quindi si crea un nuovo strato
di accesso e password,
l’accesso alle risorse in Cloud. È
di attacco. Le conseguenze di
trasmissione del contenuto,
dunque necessario porre
questo genere di attacchi
autorizzazioni, limitate capacità
maggiore attenzione alle
possono essere considerevoli,
di monitoraggio e dipendenze
workstation degli
tuttavia il costo per mitigare il
sconosciute da altri servizi o
amministratori, limitandone
rischio è basso e legato a
API. Tutto questo potrebbe
per esempio l’accesso ad
normali processi IT come
portare ad un loro utilizzo
Internet o controllandone il
l’aggiornamento dei sistemi, i
improprio sia accidentale sia
flusso di email. Con riferimento
patching specifici per i sistemi
intenzionale esponendo
ai rischi legati alla workstation,
di sicurezza e i regolari test
l’azienda a problemi di
attraverso l’invio di una mail
sulle vulnerabilità (vulnerability
63
FIGURA 9.2 – LA CLOUD SECURITY

scanning).
definire per contratto dei livelli
utilizzo delle tecnologie Cloud. È
minimi di servizio (SLA) sulla
importante indirizzare le scelte
I contratti Cloud e la relazione
protezione dei dati, sulla
secondo queste valutazioni
con il fornitore
continuità del servizio, sui
preliminari, orientandosi verso
Secondo la Ricerca 2016
controlli di sicurezza, sulle
determinati modelli di servizio o
modalità di virtualizzazione e di
fornitori in base alle esigenze
Service del Politecnico di Milano,
isolamento dell’Hypervisor,
d’impresa.
la garanzia di sicurezza e
nonché sull’aggiornamento dei
Oltre alle garanzie in termini di
affidabilità è il criterio più
sistemi.
funzionamento del servizio,
rilevante per l’87% delle aziende
I contratti attualmente proposti
occorre porre attenzione alle
nella scelta del fornitore di servizi
sul mercato sono spesso
responsabilità del provider in caso
Cloud1. Relativamente alle
standardizzati, in una logica che
di impossibilità di utilizzazione
minacce per la sicurezza citate,
deriva anche dalla natura
del servizio e perdita dei dati.
risulta evidente come, oltre a
consumer dei servizi Cloud e che
Molto spesso queste clausole
buone pratiche di sicurezza

spesso poco si addice alle
prevedono la limitazione o
interne all’azienda tra cui anche la
esigenze specifiche delle realtà
addirittura l’esclusione della
sensibilizzazione del personale,
aziendali. Inoltre, talvolta il
responsabilità del fornitore, in
sia fondamentale avere una chiara
provider è poco trasparente
maniera estremamente
comprensione delle pratiche
rispetto ai termini del servizio e le
sbilanciata a favore di
implementate dal fornitore.
prestazioni definite sono
quest’ultimo. Inoltre, talvolta i
Infatti, il provider stesso deve
esageratamente generiche,
contratti prevedono il diritto di
gestire in maniera sicura l’accesso

limitando il potere negoziale del
modifica unilaterale delle
dei propri operatori, deve
cliente a cui viene imposto un
condizioni contrattuali da parte
garantire l’isolamento dei dati
accordo rigido in maniera
del provider, esercitabile più o
sulle risorse condivise da più
unilaterale. La valutazione
meno in ogni momento del
clienti, la sicurezza delle API e
precontrattuale del servizio è
rapporto, salvo il diritto di recesso
l’aggiornamento dei sistemi, deve
dunque un momento
accordato all’utente. Per tutelarsi,
assicurare che le risorse siano
fondamentale in cui porre
si dovrebbe richiedere che queste
immediatamente e correttamente
attenzione alle caratteristiche
modifiche non siano peggiorative
allocate secondo la disponibilità
tecniche, alle condizioni
per il cliente, che gli siano
richiesta. È importante quindi
economiche e ai termini di
sottoposte e comunicate in
64
maniera diretta e non
che per contratto venga chiarito
sicurezza (20%) e in minima parte
semplicemente pubblicate sul sito
che il cliente è il vero possessore
gli aspetti relativi alla disciplina
e tacitamente accettate, e che
dei dati, i quali quindi dovranno
del subappalto e al trasferimento
divengano effettive solo al
essergli restituiti a fine rapporto, e

dei dati all’estero. Inoltre,
rinnovo contrattuale.
che quest’ultimo abbia sempre la
l’indagine ha analizzato quali
Infine, come già accennato, una
possibilità di accedere ai dati
sono le competenze richieste alla
delle maggiori preoccupazioni
criptati, possedendone le chiavi
Direzione IT per governare
relative al Cloud riguarda il lock
crittografiche, e ai dati di
efficacemente la transizione in
in col fornitore, ovvero il rischio
autenticazione degli utenti
atto verso i servizi Cloud e
che quest’ultimo renda complicata
(figura 9.2).
proprio il Contract Management si
la transizione di dati e
La Ricerca 2016
è posizionato al primo posto,
applicazioni verso i servizi di un
risultando essenziale per il 28%
altro provider. Ovviamente il
Service ha analizzato quali sono
delle organizzazioni1.
livello di rischio è diverso a
gli aspetti da presidiare
Concludendo, i servizi Cloud
seconda del modello di servizio
maggiormente nella stesura dei
rappresentano una modalità di
utilizzato, ovvero Infrastructure,
contratti Public Cloud,
fruizione delle tecnologie ICT che
Platform o Software as a Service.
individuando nel trattamento dei
permette alle aziende di stare al
Nel caso di servizi IaaS il controllo
dati l’elemento di maggior

passo con l’innovazione in
sulle risorse è maggiore, mentre
rilevanza (nel 47% delle aziende
maniera agile ed efficiente.
già un’applicazione personalizzata
che già usufruiscono di servizi
Risulta chiaro come la derivante
rispetto a certe funzionalità di un
Cloud), ovvero dove i dati sono
perdita di controllo sulle risorse
servizio PaaS può diventare molto
archiviati, chi può accedervi, se e
fisiche elevi la sicurezza a priorità
costosa da adattare ad altre
in che misura si prevede il
chiave per chi vuole cogliere le
piattaforme. Un esempio di
coinvolgimento di subfornitori, e
opportunità di questo paradigma.
rallentamento della migrazione
quali sono le modalità di

In quest’ottica, è fondamentale
dei servizi verso quelli di un
cancellazione alla cessazione del
non rendere la sicurezza stessa un
competitor è quello in cui il
rapporto ecc. A seguire, gli aspetti
freno a quest’evoluzione ma
fornitore sfrutta la giustificazione
maggiormente presidiati sono il
sfruttare la transizione verso il
dei controlli di sicurezza per
regime di responsabilità del
Cloud come occasione per
limitare l’accesso ai dati ed
fornitore (nel 25% dei casi), la
migliorare i propri processi,
impedire una transizione
descrizione dettagliata delle
introdurre nuove pratiche e
semplice. È dunque importante
misure e delle procedure di

sensibilizzare il personale sul
tema, in modo da uscirne nel
EL1
I MODELLI DI SICUREZZA PER IL CLOUD COMP
c U
o T
m IN
pl G
esso rafforzati. •
CASO 8 INFRACOM
Infracom Italia opera dal 1999 sul mercato nazionale dei servizi ICT, offrendo alle azi
servizi e piattaforme tecnologiche abilitanti per indirizzare le esigenze di comunicazione
L’headquarter è a Verona e l’azienda è presente in tutta Italia, con centri di competenza a Mila
Infracom conta su una rete in fibra ottica proprietaria di oltre 9.000 chilometri, 3 Data Center p
di oltre 300 professionisti con i quali ha costruito un ecosistema integrato e distintivo di asset,
Per l’azienda la security è un elemento centrale, che rappresenta un prerequisito sostanziale de

la sua natura in perenne evoluzione ed è una componente soggetta a costanti aggiornamenti.
Guidata da questa visione, e con l’obiettivo di supportare le aziende clienti sul tema sempre pi
delle potenziali minacce al loro business, Infracom ha costruito un vero e proprio centro di com
che, anche grazie alla collaborazione con Nest2, ha l’obiettivo di continuare il percorso di raff
L’azienda ha impostato la propria strategia partendo dalla necessità di assicurare il risp

della sicurezza delle informazioni: disponibilità, confidenzialità e integrità.
65
Disponibilità, confidenzialità e integrità si basano a loro volta su tre pilastri:
› Garanzia dell’autenticità, che passa per l’autenticazione degli utenti e dalla gestione d
attività che necessitano di essere svolte;
› Attribuzione, che prevede il tracciamento delle attività compiute dagli utenti identificati sulle
› Garanzia del “non ripudio” delle attività realizzate (chi ha fatto una determinata attività su un
La confidenzialità è quindi garantita dal fatto che l’utente sia perfettamente identificato e che l
stessi.
L’integrità è assicurata dal fatto che i dati siano mantenuti coerenti con le azioni svolte dall’ut
delle persone autorizzate, possa accedervi.
La disponibilità, intesa come garanzia della continuità di servizio, è invece sostenuta attravers
e geograficamente distribuiti che evitano eventuali interruzioni nelle attività dell’utente.
Infracom dispone, infatti, di 3 Data Center, situati a Milano Caldera, Assago e Verona. Assago
costituiscono una sorta di Data Center esteso. Le macchine in ridondanza tra le due strutture o
incidente in una delle due infrastrutture, quindi, la Business Continuity è assicurata, senza nes
Sono poi disponibili sistemi di Disaster Recovery, che garantiscono la continuità anche in caso
Data Center sopracitati, dando la possibilità di ripristinare le informazioni con la potenziale pe
cliente.
L’azienda dispone inoltre di sistemi di sicurezza perimetrale (fisica e logica): Infrastrutture de

rischio del sistema informativo aziendale, definendo aree di servizio omogenee ed in grado di
antivirus e antispam, che filtrano il traffico in ingresso, anche di sistemi di sandboxing, che cre
file sospetti vengono aperti, fatti “detonare” e, in caso di rilevazione di minaccia, bloccati prim
In Infracom operano anche sistemi di behaviour analysis, dedicati a verificare che le informaz
rete vengano trasferite in modo “consono”, tramite l’acquisizione e la storicizzazione dei dati,
learning che identificano il comportamento standard delle macchine utente. Tramite monitorag
quindi in grado di rilevare automaticamente comportamenti anomali, che si discostano dallo st
Il punto di riferimento per la parte di difesa perimetrale è Nest2, per tutto quello che riguarda s
Firewall, Intrusion Detection e Sandboxing.
Il contesto esterno in costante evoluzione implica la necessità di continui investimenti in sicur
fault safe environment.
[1] Per latenza si intende l’intervallo di tempo che intercorre fra il momento in cui arriva l'inpu
cui è disponibile il suo output. In altre parole, la latenza costituisce il ritardo nella comunicazio
CASO 9 LENDING SOLUTION
Lending Solution S.r.l. nasce nel 2010 come società di consulenza e software destinati
creditizia. L’obiettivo dell’azienda è quello di aiutare le imprese operanti in tale settore a migl
Il core business di Lending Solution è incentrato sui seguenti ambiti:
› Erogazione di servizi di supporto per la prevenzione delle truffe e l’identificazione remota de
66
› Servizi di informazione commerciale;
› Creazione di software destinati al settore dell’intermediazione finanziaria, tra cui il primo Sis
Per le PMI, e in particolare per un’azienda come Lending Solution, che deve rispettare requisi
piccola di non immobilizzare capitale ingente togliendo risorse ad altri impieghi.
Attualmente Lending Solution è in grado di garantire un Recovery Point Objective[1] (RPO) d
Il ricorso al Cloud genera per un’azienda importanti implicazioni in termini di sicurezza. La si

che va ad impattare su tutta l’organizzazione aziendale, in termini di processi, organizzazione,
Il Cloud consente di gestire agevolmente aspetti critici come il Disaster Recovery e la Busines
delle apparecchiature dipende anche dalla loro localizzazione. Una società di grandi dimension
piccola è imprescindibile l’utilizzo di un Data Center esterno
per avere accesso a certe tecnologie.
Un’altra possibile vulnerabilità è legata alla gestione delle risorse umane. Pur essendo impossi
non è possibile avere pieno controllo sull’essere umano, che tramite comportamenti inconsape
Un metodo efficace per prevenire problemi legati anche al fattore umano è innanzitutto quello
di audit, ossia svolgendo periodicamente azioni di controllo anche sulla struttura che ospita i d
verificare il rispetto degli standard di sicurezza adottati.
Valutati i benefici, Lending Solution ha deciso di adottare tecnologie Cloud, affidandos

scelta di un vendor locale è stata guidata in primo luogo dalla necessità di sapere con certezza
avere la garanzia che fossero trattati nel rispetto della normativa vigente; in secondo luogo dal
facilmente le azioni di audit necessarie a verificare nel tempo il rispetto dei requisiti di sicurez
[1] Il Recovery Point Objective (RPO) rappresenta il tempo massimo che deve intercorrere tra
sua messa in sicurezza, fornendo la misura della quantità di dati che il sistema può perdere a c
[2] Il Recovery Time Objective (RTO) rappresenta il tempo necessario per il pieno recupero d
67
PARTE II -
10. La Mobile Security,
rilevanza
e modelli comportamentali
Luca Dozio*
Le nuove modalità di lavoro smart portano le persone
ad utilizzare sempre maggiormente dispositivi mobili,
anche al di fuori dei confini aziendali. Nuovi modelli
comportamentali e tecnologie possono accompagnare
questo cambiamento, garantendo la sicurezza dei dati

personali ed aziendali
La rilevanza della Mobile Security
portato all’utilizzo sempre più
al contrario di quelli riguardanti i
Per Mobile Security si intende la
massivo di dispositivi mobile
laptop. Va anche considerato che
protezione di smartphone, tablet,
oltre i confini aziendali. Quasi la
gli attacchi informatici rivolti a
laptop e tutti i device mobili e
totalità delle aziende (97%) mette
computer esistono, per questioni
della rete a cui sono connessi.
a disposizione dei propri
storiche, da tempo maggiore
Si tratta di un tema sempre più
dipendenti device mobili, siano
rispetto a quelli rivolti a tablet e
attuale e pervasivo, vista la
essi notebook, smartphone,

smartphone, che sono strumenti
sempre maggiore diffusione
tablet o mobile business app,
di più recente diffusione. Questo
degli smartphone, ormai
legate per esempio alla
fa percepire, erroneamente,
diventati uno strumento di uso
produttività personale (es. mail) e
questi device come più sicuri;
comune. Secondo stime
al supporto della forza vendita 2 .
inoltre l’utilizzo connesso anche
internazionali nel 2016 gli
Quando si parla di sicurezza in
a strumenti social e di
utilizzatori di smartphone sono
relazione a tali dispositivi è più
comunicazione li rende più
stati 2,1 miliardi e si prevede di
comune trovare una maggior

familiari e questo porta gli utenti
arrivare a quasi 2,9 miliardi per il
attenzione a strumenti come i
spesso a sottovalutare i pericoli a
2020 1 . Stiamo quindi parlando
laptop, che nell’immaginario
cui sono esposti e le gravi
di un fenomeno che interessa
comune sono i device più colpiti
conseguenze che possono
quasi un terzo della popolazione
da attacchi informatici. Questo è
derivare da un utilizzo poco
mondiale.
legato anche all’assenza,
consapevole. Basti pensare che
Inoltre l’emergere di nuove
fortunatamente, di attacchi a
per abilitare il device è
modalità di lavoro, come ad
smartphone e tablet che abbiano

sufficiente inserire un codice a
esempio lo smart working, ha
avuto un’importante risonanza,
quattro cifre o tracciare una
1 . https://www.statista.com/statistics/330695/numberofsmartphoneusers-
worldwide/.
2
. Secondo quanto emerge dalla Ricerca 2016 dell’Osservatorio Smart Working del Politecnico
68
figura sullo schermo, metodi
di smartphone e tablet ha portato
trasferire dati sensibili.
molto semplici da identificare e
con sé l’aumento degli attacchi
I dispositivi non modificati
violare una volta preso possesso
cyber mirati a questi dispositivi.
non sono comunque immuni da
del device.
Negli ultimi anni il fenomeno del

questo tipo di minacce, poiché
Uno smartphone è una fonte
malware mobile è in costante
può capitare (ed è già successo)
incredibile di informazioni:
crescita, sia tramite attacchi
che anche applicazioni presenti
normalmente gli account mail,
DDoS, ransomware e hacking, sia
sugli store ufficiali fossero
sia privati sia lavorativi, sono
sotto forma di applicazioni
corrotte e creassero spiacevoli
impostati sul telefono. Inoltre
mobile scaricabili dagli app store
conseguenze.
sempre più spesso le aziende, per
in cui gli sviluppatori criminali
Per ora i dispositivi
promuovere il trend dello smart
inseriscono volutamente codice

dell’azienda di Cupertino
working e il lavoro in mobilità,
malevolo: vere e proprie
risultano più sicuri poiché, a
utilizzano applicazioni ad hoc
piattaforme di Social
differenza di Android, in questo
per facilitare il lavoro dei propri
Engineering sfruttate dagli
caso vi è un unico produttore che
dipendenti esponendo così dati
hacker per bypassare qualsiasi
sviluppa il proprio firmware e lo
sensibili, in quanto non sempre
forma di sicurezza.
aggiorna con regolarità
la rete utilizzata è sicura come
A rendere più complicata la
chiudendo le falle più evidenti 3 .
quella aziendale.
sicurezza su smartphone e tablet,

Esistono fattori intrinsechi nei
vi è il tema legato agli
Mobile e nuovi trend
dispositivi mobile che possono
aggiornamenti software e agli
Con la diffusione dello smart
esporre a potenziali attacchi e ne
App Store. Nel Rapporto CLUSIT
working, i dipendenti possono
sono un esempio le soluzioni di
2016 si è infatti evidenziato come
trovarsi a lavorare oltre i confini
connettività. Basti pensare alla
oltre l’80% dei dispositivi
aziendali, ad esempio presso la
presenza del GPS in ogni
Android presenti sul mercato
propria abitazione. Questo ha
smartphone, che rende questo
fino a quel momento celava un
chiaramente delle implicazioni in

dispositivo un localizzatore in
firmware obsoleto e quindi facile
termini di sicurezza innanzitutto
grado di seguire gli spostamenti
da attaccare per i cybercriminali.
legate alla connessione ad una
del possessore del device con
A queste difficoltà va aggiunta
rete diversa da quella aziendale e
tutti i problemi di perdita della
la possibilità di apportare
quindi non progettata con gli
privacy che ne possono
modifiche delle applicazioni
stessi standard. La rete
conseguire. Oppure le
effettuate su store non ufficiali
domestica può diventare quindi
connessioni bluetooth, che
forniti dalla comunità open
un metodo per attaccare e violare

rappresentano canali di
source. In queste community, è
questi strumenti. Tuttavia,
trasmissione dei dati
possibile modificare in maniera
anche all’interno dei confini
potenzialmente violabili.
collaborativa il codice sorgente in
aziendali, la sicurezza dei device
Per di più tali device, essendo
modo da manipolare il
mobili va affrontata con
dotati di microfono e
dispositivo per accedere a
specifiche strategie. Infatti, le
videocamera, possono diventare
funzionalità ulteriori rispetto a
aziende intenzionate ad
uno strumento molto potente per
quelle proposte dalla casa madre
introdurre questi device

spiare la vita di una persona: è
o ad applicazioni non presenti
all’interno dei propri processi
sufficiente infatti attivarli
sullo store ufficiale.
possono scegliere due strade:
all’insaputa del proprietario del
In questi casi i dispositivi
fornire ai propri dipendenti
dispositivo per ascoltare
vengono esposti a un numero
device di proprietà dell’azienda
conversazioni private e catturare
maggiore di rischi poiché ad
stessa o perseguire una strategia
immagini.
esempio queste applicazioni
di Bring Your Own Device
potrebbero essere sviluppate in
(BYOD), dandogli la possibilità di
Gli App Store

modo da lavorare in background
usare il proprio dispositivo
La rapida diffusione dell’utilizzo
all’insaputa dell’utente e
personale. Quest’ultimo caso è
3 . Rapporto Clusit 2016 sulla sicurezza ICT in Italia.
69
FIGURA 10.1 – LA MOBILE SECURITY
legato alla diffusione che la
soluzioni di Mobile Device
governare/limitare l’utilizzo di
tecnologia sta avendo negli
Management (MDM), ovvero

device mobili (61%), ma anche la
ultimi anni, tale per cui un
applicativi attraverso i quali è
definizione standardizzata di
numero sempre maggiore di
possibile registrare e gestire i
regole a cui gli utilizzatori di
persone possiede almeno un
dispositivi mobili da un’unica
dispositivi devono attenersi
laptop e uno smartphone
interfaccia, distribuire e
quando accedono ai sistemi e ai
personale. Chiaramente in questi
aggiornare le applicazioni in uso,
dati business. Il 27% delle
casi diventa difficile fare delle
gestire l’accesso a contenuti e file
organizzazioni ha infatti fissato
policy per il corretto utilizzo del
aziendali, connettere le
norme che limitano l’accesso a
device o limitarne l’uso, poiché si
applicazioni con i sistemi
particolari applicazioni e servizi
tratta di un dispositivo non
aziendali, nonché gestirne la
da reti esterne all’azienda e il 61%
aziendale.
sicurezza dei dati fruiti in
ha stabilito specifiche policy per
Per le aziende, l’utilizzo dei
mobilità per evitarne la perdita.
l’utilizzo dei device mobili
dispositivi mobile rende
Dalla Ricerca emerge come il
(figura 10.1).
necessarie azioni di
74% delle grandi organizzazioni
Il Mobile è un trend legato alla
sensibilizzazione del personale
intervistate abbia già messo in

consumerizzazione delle
che permettano agli utenti di
campo iniziative specifiche volte
tecnologie, sempre più pervasive
percepire maggiormente i
a mitigare il rischio connesso alla
sulla vita delle persone che
pericoli a cui sono esposti, non
mobile security, accanto ad un
desiderano utilizzarle anche per
solo in ambito lavorativo ma
7% che non ha ancora attuato né
rendere più efficace e produttivo
anche nella propria vita privata.
ha in previsione azioni e a un
il proprio lavoro. Sicuramente gli
È pertanto indispensabile
19% che si colloca in fase di
attacchi rivolti a questi
promuovere iniziative di
valutazione.
dispositivi aumenteranno ancora
sensibilizzazione la cui
Le azioni che le aziende stanno
e sarà necessario promuovere
importanza è trattata in maniera
implementando riguardano
una maggior sensibilità da parte
approfondita all’interno di
l’introduzione di piattaforme e
degli utenti rispetto ai rischi
questo documento nel capitolo 4.
strumenti tecnologici specifici,
legati ad un utilizzo poco
Inoltre, a livello tecnologico, le
quali soluzioni di MDM (Mobile
consapevole di queste
aziende possono dotarsi di
Device Management) per
tecnologie. •
70
PARTE II -
11. La Security e l'Internet
of Things (IoT),
competenze e processi
Luca Dozio*
I dispositivi connessi stanno rivoluzionando intere filiere
Angela Tumino**
Giulio Salvadori***
di valore: dalla Smart City alla Smart Home, dalla Smart
Giorgia De Bernardi****
Car alla Smart Agriculture. Progettare oggetti intelligenti
richiede nuove competenze e processi, anche in settori
tradizionalmente lontani dall'innovazione digitale
Il fenomeno dell’Internet of Things
seguenti funzionalità:
la capacità di eseguire comandi;
Internet of Things (IoT) è un
› Selfawareness, che comprende
› Elaborazione dati, che può
termine ormai entrato nel

l’identificazione, ovvero il
essere base (ad esempio
linguaggio comune, non si tratta
possesso di un identificativo
filtraggio, calcolo di medie) o
più di un trend tecnologico solo
digitale univoco, la
avanzata (ad esempio analisi
per addetti ai lavori. Spesso in
localizzazione, ovvero la
statistiche, previsioni);
televisione o sulla stampa
capacità di conoscere la propria
› Connessione (wired o wireless),
generalista capita di leggere
posizione e la diagnosi di stato,
per trasportare l’informazione
notizie relative ad automobili che
ovvero la capacità di
raccolta a livello locale.
si guidano da sole, case che

monitorare funzionamento e
L’intelligenza non si ferma agli
possono essere controllate
necessità di assistenza;
oggetti, ma si spinge fin dentro
direttamente dallo smartphone,
› Interazione con l’ambiente
alla natura della rete che li
oggetti intelligenti che
circostante, che comprende
interconnette: utilizzo di
permettono di monitorare
l’acquisizione di dati tramite la
standard tecnologici aperti,
costantemente lo stato di salute di
misura di variabili di stato
accessibilità al dato e
chi li indossa.
(sensing) – come la
raggiungibilità degli oggetti,
Per analizzare questo fenomeno

temperatura o la
multifunzionalità sono
è però importante definire cos’è
concentrazione di inquinanti –
proprietà chiave della rete
l’Internet of Things. Si tratta di
o di variabili di flusso
intelligente (smart network).
applicazioni rese possibili grazie
(metering) – come il consumo
Definite le caratteristiche, è
agli smart object, contraddistinti
di energia elettrica, gas, acqua e
importante cercare di fornire un
dal possedere una o più delle
calore – e l’attuazione, ovvero
quadro (figura 11.1) dei principali
** Direttore Osservatorio Internet of Things, Politecnico di Milano.
*** Ricercatore Senior Osservatorio Internet of Things, Politecnico di Milano.
**** Ricercatrice Osservatorio Internet of Things, Politecnico di Milano.

71
FIGURA 11.1 – LE CARATTERISTICHE DELL’INTERNET OF

THINGS
campi di applicazione per meglio
climatizzazione e gli
valore a fini di rilevazione di
comprendere la pervasività del
elettrodomestici) per il
guasti e manomissioni,
fenomeno:
risparmio energetico, il
localizzazione, tracciabilità e
› Smart City & Smart

comfort, la sicurezza
gestione inventariale;
Environment: monitoraggio e
dell’edificio e delle persone al
› Smart Factory: adozione di
gestione degli elementi di una
suo interno;
Cyber Physical Systems,
città (ad esempio i mezzi per il
› eHealth: monitoraggio in real
connessione dei macchinari,
trasporto pubblico,
time di parametri vitali da
degli operatori e dei prodotti
l’illuminazione pubblica, i
remoto, riducendo il ricorso
per abilitare nuove logiche di
parcheggi) e dell’ambiente
all’ospedalizzazione, a fini
gestione della produzione, di
circostante (ad esempio fiumi,

diagnostici e di cura;
pianificazione della Supply
boschi, montagne) per
localizzazione dei pazienti in
Chain e di gestione del ciclo di
migliorarne vivibilità,
modo da garantirne la
vita dei prodotti;
sostenibilità e competitività;
sicurezza;
› Smart Lifecycle: miglioramento
› Smart Metering & Smart Grid:
› Smart Car: connessione tra
del processo di sviluppo di
contatori intelligenti (Smart
veicoli o tra questi e
nuovi prodotti (ad esempio
Meter) per la misura dei
l’infrastruttura circostante per
tramite dati provenienti da
consumi (elettricità, gas, acqua,

la prevenzione e rilevazione di
versioni precedenti dei prodotti
calore), la loro corretta
incidenti, l’offerta di nuovi
connessi), end of life
fatturazione e la telegestione;
modelli assicurativi e/o di
management e gestione
rete elettrica “intelligente”
informazioni geo-referenziate
fornitori;
(Smart Grid) per ottimizzare la
sulla viabilità;
› Smart Agriculture: monitoraggio
distribuzione, gestendo
› Smart Logistics: tracciabilità di
di parametri micro-climatici a
produzione distribuita e
filiera, protezione del brand e
supporto dell’agricoltura per
mobilità elettrica;
monitoraggio della catena del
migliorare la qualità dei
› Smart Home & Building:
freddo, sicurezza in poli
prodotti, ridurre le risorse
gestione automatica degli
logistici complessi e gestione
utilizzate e l’impatto
impianti e dei sistemi
delle flotte;
ambientale;
dell’edificio (ad esempio quelli
› Smart Asset Management:
› Smart Retail: monitoraggio del
per l’illuminazione e la
gestione in remoto di asset di
comportamento del cliente
72
all’interno del negozio, con il
raccoglie il proprio wearable

Control and Data Acquisition),
fine di migliorare l’esperienza
device e di come vengano trattati
utilizzati per controllare e
utente e incrementare le
e immagazzinati. Quest’aspetto è
monitorare le attività su larga
vendite. Soluzioni che abilitano
spesso trascurato, ma può avere
scala e le infrastrutture critiche.
maggiore visibilità nelle
conseguenze importanti sulla
Ad esempio, i sistemi SCADA sono
operazioni di fornitura per
sicurezza e la privacy della vita di
ampiamente utilizzati per
ottimizzare la gestione delle
ogni persona. Basti pensare che
monitorare apparecchiature
scorte e ridurre la probabilità
molti oggetti offrono un servizio

elettriche (trasformatori),
che si verifichino stock-out in
di geolocalizzazione, quindi nel
strutture di telecomunicazione
negozio.
momento in cui si riesce a violare
(trasmettitori) e tubature per gas,
il dispositivo è possibile conoscere
acqua e petrolio (pompe e
Dimensioni del fenomeno
gli spostamenti della persona, i
valvole).
e rischi connessi
luoghi che frequenta
Queste tecnologie permettono
I campi di applicazione sono
abitualmente, gli orari in cui è a
di facilitare il monitoraggio delle
quindi innumerevoli ma per avere
casa o al lavoro.
attività in tempo reale e di

una stima di quanto gli oggetti
Gary Davis, Chief Consumer
prevenire eventuali danni agli
connessi siano diffusi è sufficiente
Security Evangelist di Intel
impianti che possono essere la
considerare i dati di mercato,
Security, afferma: “le
causa di un blocco di produzione
stimato intorno ai 2,8 miliardi di
informazioni immagazzinate nei
o di un calo di servizio con
Euro in Italia nel 2016, in
wearable device o negli
conseguenze gravi per l’azienda.
aumento del 40% rispetto all’anno
smartphone o in un servizio
precedente (Fonte: Osservatorio
Cloud valgono dieci volte più dei
I pericoli dell’Internet of Things
Internet of Things del Politecnico

dati della carta di credito sul
e la risposta delle aziende
di Milano).
mercato nero”. I dati personali
A fronte delle opportunità offerte
Analisti internazionali, in un
non possono essere modificati, al
da queste tecnologie, è necessario
articolo pubblicato all’inizio del
contrario di un pin, quindi una
prestare attenzione alle
2016, prevedevano che entro fine
volta persi diventano di grande
implicazioni sulla sicurezza,
anno il mercato dei soli wearable
valore per chi sa come sfruttarli
poiché aumentando il numero di
device si sarebbe attestato intorno
per scopi illeciti 2 .
dispositivi connessi alla rete
ai 274,6 milioni di dispositivi

Inoltre tali dispositivi sono
aumenta anche il numero di
venduti nel mondo, generando
spesso collegati ad uno
possibili punti di accesso per un
ricavi per 28,7 miliardi di dollari,
smartphone o direttamente alla
eventuale attacco al sistema
di cui 11,5 da smartwatch 1 .
rete domestica e questo può
informativo aziendale.
Questo testimonia l’importanza
rendere il device un ponte che
Un esempio importante è
del fenomeno per il mercato di
consente di entrare nella rete
rappresentato dall’attacco del 21
largo consumo che sempre più
stessa e infettare altri oggetti
ottobre 2016 subito da Dyn 3 ,
adotta dispositivi indossabili per

connessi, compresi strumenti di
azienda che ha il compito di
rispondere alle esigenze più
domotica e laptop, con tutte le
smistare e indirizzare il traffico
disparate, dal life style al
implicazioni di sicurezza che
Internet utilizzando il sistema dei
monitoraggio dell’attività fisica.
possono derivarne.
DNS (Domain Name System) per
Generalmente nei casi in cui il
Chiaramente nell’ambito più
molte importanti aziende tra cui
servizio offerto è considerato di
strettamente industriale i
Twitter, the Guardian, Netflix,
valore da parte del consumatore,
problemi sono analoghi. Vi è,
Reddit e CNN. Ad ottobre
l’utente non si preoccupa

difatti, un ampio impiego dei
l’azienda è stata vittima di un
eccessivamente di quali dati
sistemi SCADA (Supervisory
attacco DDoS (Distributed Denial-
1 . http://www.gartner.com/newsroom/id/3198018.
2 . http://www.techrepublic.com/article/thedarksideofwearableshowtheyre-
secretlyjeopardizingyoursecurityandprivacy/.
3 . http://www.ilpost.it/2016/10/24/attaccoinformaticovenerdi21ottobremirai-
dyn/.
73
FIGURA 11.2 – LA SECURITY E L’INTERNET OF THINGS
of-Service), cioè migliaia di

la maggior parte dei dispositivi
oggetti smart.
dispositivi hanno iniziato ad
che ogni giorno le persone
È evidente la mancanza di linee
inviare continue richieste che
portano con sé rilevano dati
guida da parte delle imprese
hanno sovraccaricato i sistemi
sensibili, come ad esempio le
anche per quanto riguarda il tema
fino a bloccarli. Questa tipologia
pulsazioni o gli spostamenti
della security by design, molto
di attacchi di per sé non è nuova,
effettuati. Tutte queste
importante soprattutto quando si
la novità viene dal fatto che il
informazioni possono facilitare la
parla di IoT. Con questa
punto di attacco non è un

vita di tutti i giorni, ma
espressione si intende un
computer ma un sistema IoT. In
espongono contestualmente gli
approccio per lo sviluppo software
particolare il malware utilizzato
individui a una potenziale perdita
e hardware che cerca di mettere i
per questo particolare attacco si
della propria privacy e le aziende
sistemi in sicurezza rispetto ad
chiama Mirai, molto noto con
a rischi legati alla perdita di dati o
attacchi e vulnerabilità impreviste,
riferimento ad attacchi a
all’esposizione a terzi di
attraverso misure come il
dispositivi di video sorveglianza.
informazioni sensibili
monitoraggio continuo, l’utilizzo
È quindi evidente come

(figura 11.2).
di credenziali e l’aderenza a
aumentando le potenzialità
Le rilevazioni dell’Osservatorio
pratiche di programmazione
offerte dall’Internet of Things
migliori.
crescano di pari passo anche le
evidenziano come il 47% delle
Si tratta di un approccio
vulnerabilità. I protocolli di
grandi organizzazioni non abbia
rivoluzionario, che capovolge
sicurezza per questi dispositivi, il
ancora messo in atto nessuna
completamente il punto di vista
più delle volte, non sono
azione per tutelarsi e il 40% stia
con cui si affronta un nuovo
sviluppati con la stessa attenzione

valutando delle possibili azioni. Il
progetto: se di solito la sicurezza è
con cui viene creato lo strumento.
12%, invece, ha adottato policy di
un problema che si valuta a lavoro
Questo è un tema rilevante per il
security by design nella
finito, con questa metodologia la
mondo del business to business,
progettazione di prodotti, il 10%
questione viene invece presa in
dove è possibile trovare sensori
utilizza soluzioni tecnologiche
considerazione fin da subito.
utilizzati per monitorare la
specifiche, il 9% possiede policy
Questo cambio di prospettiva è
produzione o tracciare il percorso
legate alla rilevazione di dati nel
fondamentale, poiché consente di
della merce, ma anche per il

perimetro aziendale e il 6% policy
sviluppare strategie più efficaci in
mercato di largo consumo, poiché
per la gestione di dati raccolti da
fase di progettazione,
74
permettendo quindi di identificare
comprensione del fenomeno.
sicuramente mettendo in luce il
le soluzioni migliori, anche in
Questo è dovuto, come succede
pericolo derivante da una scarsa
termini di sicurezza.
spesso quando si parla di
attenzione nei confronti dei temi
È quindi evidente come la
sicurezza, al fatto che è difficile
di sicurezza sia per chi ha un
sicurezza nell’Internet delle Cose
stimare ex ante il danno che si

mercato di riferimento composto
stia diventando un tema sempre
può subire a causa di un attacco
da aziende sia per chi si rivolge al
più importante. Sempre secondo
cyber. I danni possono però
mercato di largo consumo.
la Ricerca, il 44% delle aziende
essere innumerevoli e non si
Inoltre l’imminente entrata in
non ha un presidio di alcun tipo
limitano solamente ad un
vigore del GDPR, con tutte le
per le tematiche connesse
disservizio nei confronti dei
conseguenze legate alla gestione
all’Internet of Things, il 25% ha un
propri clienti, comunque grave.
del dato e all’obbligo di
presidio informale, il 17% ha un
Spesso, come nel caso Dyn, ci

comunicare un eventuale attacco
presidio formale e il 14% ha un
sono importanti conseguenze a
subito, sta sicuramente portando
presidio ma al di fuori delle
livello di immagine aziendale che
in luce l’importanza del tema
attività core dell’Information
possono causare importanti
soprattutto per l’Internet of
Security. I dati confermano
perdite dal punto di vista
Things, che suscita un grande
ancora una bassa sensibilità verso
economico.
interesse per le potenzialità che
questo tema, dovuta ad una scarsa
I fatti di cronaca stanno
offre. •
EL1
LA SECURITY E L'INTERNET OF THINGS (IOT), COMPETENZE E PROCESSI

CASO 10 BTICINO
BTicino S.p.A. è un’impresa italiana che si colloca tra i leader mondiali nel settore delle infras
L’azienda è attiva nel campo della domotica e da tempo si occupa della produzione di oggetti
Da qualche anno a questa parte la domotica ha subito un processo di trasformazione: BTicino,

nell’innovazione, ha lanciato un programma che prende il nome di Eliot (Electricity Internet o
L’intero sistema è poi governabile attraverso un app per smartphone.
La sicurezza interessa trasversalmente tutto l’ecosistema di oggetti connessi: si parla di sicurez

security che sta attualmente mettendo in atto. Il framework si basa su una serie di lin
ISO27001, che sono state riviste e completate con l’aggiunta di altri princìpi specifici sul mod
Dall’idea del prodotto fino alla sua messa in produzione, la sicurezza si articola nelle seguenti
› Definizione dei requisiti minimi da raggiungere –

I requisiti minimi individuati vengono declinati in una checklist e possono riguardare per esem
sui dati degli utenti, ecc.;
› Iniziative di sviluppo e conseguente coinvolgimento di team interni e consulenti esterni;
› Verifica interna –
Il team di security è chiamato in causa per verificare l’effettiva adozione dei requisiti minimi
› Esecuzione di penetration test;
› Rilascio in produzione.
Il processo adottato da BTicino adempie i requisiti imposti dal GDPR, poiché rispetta il princi
prevede la realizzazione di Privacy Impact Assessment (PIA). Vengono quindi valutati sia asp
aspetti più specifici sulla protezione dei dati personali, di natura legale e di compliance norma
75
ldwide, ed è pertanto necessario prestare attenzione alle differenze esistenti tra le varie legislaz
Un altro aspetto innovativo riguarda l’interazione con le terze parti. Mentre in passato il sistem
Nei rapporti con l’esterno la security è gestita differentemente a seconda dei casi: nei confront
requisiti di sicurezza sono definiti a livello tecnico e contrattuale attraverso un “agreement ad
per lo specifico progetto; negli altri casi, invece, viene creato un ambiente comune in cui una t
singolo sviluppatore o una piccola software house, può “accreditarsi” mediante la sottoscrizion
e alle policy aziendali, in base alle quali è libera di poter sviluppare servizi e nuove funzionali
Per garantire la sicurezza e un maggior livello di controllo dell’ambiente Cloud, BTicino ha ri
L’aspetto della sicurezza interessa tutta la filiera, dalla produzione aziendale, passando per gli
Le difficoltà più importanti riguardano la creazione di consapevolezza e quindi la formazione

al termine dei quali vengono rilasciate certificazioni.
Oltre ad essere produttore di oggetti di domotica, BTicino si sta avvicinando all’Internet of Th

sta progressivamente trasformando in una Smart Industry e dotando di macchinari connessi. L
essere analizzati in ottica di ottimizzazione del processo produttivo. Il macchinario può
l’esterno, per permettere ai fornitori di mantenere gli impianti e fornire assistenza da remoto.
76
PARTE II -
12. Le opportunità
e i rischi
della fabbrica connessa
Stefano Zanero*
La rivoluzione Industry 4.0 è un trend inarrestabile
che avrà implicazioni importanti per gli anni a venire.
Per tutelarsi nello scenario delle fabbriche intelligenti
è necessario uno sforzo da parte di tutti gli stakeholder,

per sviluppare una consapevolezza condivisa e soluzioni
all'altezza delle aspettative
Tutte le analisi e le fonti realizzare una gestione efficiente se in modo, sperabilmente,
concordano: la rivoluzione
e just-in-time di scorte,
intermediato). Sistemi moderni
di Industry 4.0 e la
magazzino e filiera produttiva. I
disposti sulle linee di produzione
“fabbrica intelligente” non
benefici di un unico processo
sono invece ormai pensati per
saranno né una moda passeggera,
automatizzato che aggrega gli
essere connessi.
né un’opzione. Saranno viceversa
ordini dei clienti, predispone i
Pensate, ad esempio, ai robot di
una necessità competitiva ed un
piani di produzione e l’acquisto
ultima generazione. La gran parte

cambio di paradigma che ci
dai fornitori, e infine riconfigura
di essi sono pensati e strutturati
accompagnerà per i prossimi anni
le linee di produzione e la
per essere connessi ad Internet:
e che potrebbe trasformare la
logistica sono evidenti e non
per ottenere informazioni dai
società prossima ventura nello
necessitano certo di essere
sistemi “Cloud” dei produttori o
stesso modo in cui il motore a
approfonditi.
per essere monitorati e
vapore ha cambiato il corso della
Tuttavia, nel momento in cui
riprogrammati (a volte anche
storia.
colleghiamo i sistemi informativi
mediante app per cellulari, o

La visione che accompagna
aziendali a quelli di gestione delle
mediante l’invio di messaggi e-
questa trasformazione è semplice,
macchine in produzione,
mail). Iniziano a diffondersi anche
attraente e allo stesso tempo
ampliamo in modo significativo
“App Store” simili a quelli dei
profondamente complessa
quella che viene definita in gergo
nostri cellulari… ma pensati per i
quando si scende dal livello di
“superficie d’attacco”. Sistemi
robot! Contemporaneamente,
scenario a quello di dettaglio. Ci si
(pensiamo alle macchine a
robot e macchine ad alta
propone di collegare i sistemi
controllo numerico magari
automazione rappresentano un
informativi aziendali (e i sistemi
acquistate dieci o venti anni or
elemento sempre più critico del
di e-commerce) ai sistemi di
sono) che mai erano stati pensati
nostro tessuto industriale. Alcune
controllo della produzione e di
per essere raggiungibili da
stime parlano di oltre 1,3 milioni
fabbrica, in modo da poter
Internet lo sono diventati (anche
di robot presenti nelle fabbriche
* Professore Associato Politecnico di Milano.
77
di tutto il mondo entro il 2018.
al gruppo FTR di Trend Micro, ha
teach pendant), senza che ciò
Questo li rende un bersaglio
rivelato come i robot industriali
fosse immediatamente visibile

molto appetibile per almeno due
possono essere compromessi,
all’operatore stesso.
grandi gruppi di avversari: da un
alterando in maniera decisiva la
Inoltre abbiamo dimostrato che
lato, cybercriminali in cerca di
normale funzionalità dei sistemi
esistono già robot che possono
guadagno; dall’altro, agenzie,
industriali e minando la sicurezza
addirittura essere raggiunti
eserciti e Stati che per varie
del personale e dei consumatori
direttamente da Internet o che
ragioni possono voler colpire
finali 2 .
sono protetti solo in modo molto
l’operatività dei settori critici di un
La Ricerca rivela che nel
semplice (mediante i cosiddetti

avversario. Se questo secondo
momento in cui robot e macchine
“router industriali”, spesso a loro
scenario si applica solo in certi
automatizzate divengono sempre
volta vulnerabili o collegati ad
settori industriali (energia,
più intelligenti e interconnesse,
Internet con configurazioni di
medicina, grande industria
cresce la loro superficie di attacco.
default non sicure).
pesante), il primo scenario è
Inoltre, servono numerose
Per tutelarsi nello scenario
veramente materia per tutti (si
modifiche architetturali per
Industry 4.0, è necessario uno
pensi al recente attacco
rendere capaci di resistere al
sforzo da parte di tutti gli

“WannaCry”, che dimostra come i
burrascoso oceano di Internet tali
stakeholder: produttori ed
criminali in cerca di profitto
macchine, progettate per reti
installatori in primis, ma anche
colpiscano veramente in modo
“scollegate”.
consulenti e ricercatori di
indiscriminato!).
Combinando tra loro
sicurezza, sviluppatori di software
Parlare di attacchi “cyber” che
vulnerabilità di vario tipo (in gran
indipendenti … e aziende
coinvolgono i robot fa
parte dei casi il risultato di errori
utilizzatrici. Dal suo canto,
immediatamente appello
di programmazione che rivelano
l’università sta iniziando a

all’incredulità, e suona come la
una certa vetustà del software
svolgere ricerche, come quella
trama di un libro di fantascienza.
usato a bordo dei robot), ci è stato
appena menzionata, anche nella
Tuttavia gli scenari sono
possibile creare vari scenari di
cornice di progetti industriali. Ad
innumerevoli, e possono variare
attacco specifici dei sistemi
esempio, il progetto
dal danno fisico, al sabotaggio di
robotici industriali. Ad esempio, è
“FilieraSicura”, finanziato da
prodotti, al blocco di linee di
stato possibile introdurre micro-
aziende private ed affidato ad un
produzione. Ognuno di questi
difetti nei processi eseguiti dal
gruppo di università del

potrebbe essere attuato
robot, senza che ciò fosse
Laboratorio Nazionale di
immediatamente o usato per una
rilevabile dai sistemi di
CyberSecurity del CINI, cerca di
richiesta di riscatto. Provate a
monitoraggio. In un altro
affrontare in un’ottica olistica la
pensare a quanto potrebbe
esempio, abbiamo potuto portare
sicurezza della filiera (o
estorcere un cyber-criminale ad
il robot nella modalità
“Procurement Chain”), sia dal
una azienda, minacciandola di
“automatica” (ovvero la modalità
punto di vista della sicurezza e
introdurre silenziosamente dei
in cui lo stesso si muove ad alta
genuinità dei prodotti elettronici

micro-difetti nella produzione.
velocità seguendo il programma)
ed informatici acquistati, sia (ed è
Recentemente, una Ricerca del
da quella “manuale” (usata
l’argomento di rilievo) per la
nostro gruppo al NECSTLab 1 del
dall’operatore per programmare il
sicurezza dei metodi produttivi e
Politecnico di Milano, unitamente
robot tramite un telecomando o
di logistica. •
1 . http://necst.it.
2 . La Ricerca può essere scaricata gratuitamente dal sito http://robosec.org.
78
PARTE II -
13. L'assicurazione
del rischio cyber,
scenari e mercato
Alessandro Piva*
La diffusione dell'innovazione digitale ha esteso in modo
significativo la superficie di attacco delle imprese. Nelle
organizzazioni emerge sempre di più l'esigenza di trovare
strumenti per mitigare il rischio cyber e per trasferirlo
verso terze parti. Il mercato dell'assicurazione del rischio
cyber è appena nato, ma promette di crescere in modo
inarrestabile nei prossimi anni
L’evoluzione del rischio cyber
Tuttavia la realtà dei fatti ci dice
Management le necessità e le
Secondo il recente report “The
che le aziende hanno difficoltà
implicazioni derivanti dalla
Global Risk” del World Economic
non solo a trovare le corrette
gestione della sicurezza
Forum 1 , che mappa annualmente
azioni di tutela e mitigazione dei
informatica, con la speranza di
i principali rischi ambientali,

rischi, ma anche a valutare le
non doverlo fare in occasione di
economici, geopolitici, tecnologici
conseguenze che possono
una situazione d’attacco.
e sociali, i rischi connessi
derivare da un eventuale attacco
Il progressivo superamento
all’information security, in
cyber o dalla perdita di dati
della gestione della sicurezza
particolare frodi, furti di dati e
riservati. Questo ritardo di
perimetrale, in favore della
attacchi cyber, risultano essere tra
sensibilità dipende dalla relativa
protezione del dato, richiede oggi
quelli a maggior probabilità di
novità e velocità di evoluzione del
di operare in un contesto incerto,
accadimento. In particolare gli

rischio cyber rispetto ad altre
caratterizzato dal rischio e dalla
attacchi cyber sono visti come
tipologie di rischio e dalla
necessità di mitigarlo. Gestire il
gravi minacce al pari di crisi
mancanza di competenze per
rischio cyber richiede al tempo
fiscali, perdite di biodiversità,
valutarne le implicazioni.
stesso competenze tecniche e di
disastri ambientali causati
Per lungo tempo – ed in parte
identificazione di scenari di
dall’uomo e di poco inferiori
ancora oggi – l’information
pericolosità: per questo motivo è
all’impatto di attacchi terroristici.
security è rimasta appannaggio di
importante passare ad una
Appare pertanto evidente come

una platea di addetti ai lavori,
gestione congiunta, che veda
sia necessario mettere in atto
costretti a far fronte a minacce
intorno al tavolo competenze del
azioni per tutelarsi dai pericoli
sempre più sofisticate e a portare
mondo cyber, così come figure
legati all’information security.
all’attenzione del Top
competenti di gestione del rischio.
1 . The Global Risks Report 2017 12th Edition.
79
Per il management diviene
une dalle altre. Tali elementi
dati, molto spesso non c’è la
importante poter misurare il
contribuiscono ad una scarsa
capacità di misurarne
rischio cyber e comprenderne
conoscenza delle opportunità
finanziariamente le implicazioni.
anche gli impatti economici, in
derivanti da strumenti di questo
Infine manca la conoscenza delle
modo da poter definire quali sono
tipo.
soluzioni offerte dal mercato, sia
le azioni da mettere in atto per
Inoltre alcuni importanti
in termini di tipologie di polizze,
mitigarlo o per trasferirlo ad una
aspetti, quali la perdita di
specifiche o integrate con altre
terza parte. Negli ultimi anni sta
reputazione legata ad una
coperture, sia dal punto di vista
nascendo una sempre maggiore
violazione della privacy o il danno
delle casistiche coperte e dei

attenzione alle tematiche di
legato alla perdita della proprietà
massimali ad esse correlate.
assicurazione del rischio cyber,
intellettuale, non sono
con un’offerta sempre più vasta.
generalmente coperti dalle polizze
Le possibili coperture cyber e la
e questo ne limita potenzialmente
sensibilità nelle aziende italiane
Il mercato della Cyber Insurance
gli ambiti di utilizzo.
Il mercato della Cyber Insurance è
Il mercato della Cyber Insurance,
Nel percorso di crescita del
in continua evoluzione, a titolo
benché immaturo se confrontato
mercato delle assicurazioni sul
esemplificativo si riportano alcuni
ad altri ambiti di servizi
rischio cyber esistono diverse

elementi che possono scatenare
assicurativi, mostra una crescita
sfide. Dal punto di vista
l’attivazione di una copertura:
interessante: secondo il report di
dell’offerta, vi è innanzitutto la
› una violazione dei dati
Allied Market Research 2 , il
questione relativa all’incertezza
personali, legata all’accesso o
mercato globale della Cyber
dell’esposizione, dovuta ad un
alla trasmissione dei dati stessi;
Insurance varrà 14 miliardi di
mercato relativamente giovane,
› difetti di sicurezza, legati ad
dollari nel 2022, con un tasso
alla reticenza dei clienti a
un’intrusione o ad una
medio di crescita vicino al 28%.
condividere informazioni
rivelazione di dati dovuta a
Sempre secondo lo stesso studio,
riservate sulla storia degli
furto;
tale mercato è però attualmente
incidenti subiti con i relativi
› difetti legati a una omissione
concentrato per la stragrande
impatti ed al quadro normativo in
negligente durante uso o
maggioranza nel Nord America,
continua evoluzione. Inoltre
manutenzione del sistema
che rappresenta l’87% della spesa.
sussiste la possibilità che si
informativo.
Tale sbilanciamento verso il
verifichino eventi correlati dalle
La copertura del rischio cyber
Nord America è dovuto alle
implicazioni difficilmente
riguarda i danni causati
regolamentazioni più stringenti
misurabili a priori: ne sono un
direttamente al sottoscrittore o a
sulla protezione dei dati che
esempio eventi legati alla
terze parti. Le principali aree di
hanno favorito la maturazione del
diffusione di una vulnerabilità in
copertura riguardano, a titolo
mercato. Per i prossimi anni ci si
un software molto diffuso,
esemplificativo:
aspetta tassi di crescita rilevanti
piuttosto che un attacco ad un
› investigazione e gestione degli
nell’area europea, in seguito
provider Cloud, che eroga
eventi. Comprende il
all’entrata in vigore del nuovo
tipicamente servizi ad un numero

coinvolgimento di esperti legali
Regolamento UE sulla Protezione
elevato di clienti o ad un provider
ed informatici e ha come
dei Dati Personali (GDPR) che
di infrastrutture critiche, come
obiettivo quello di coprire le
diverrà applicabile il prossimo
fornitori di servizi di pagamento,
spese relative alla
anno.
di energia elettrica, o di servizi di
comunicazione dell’attacco,
Ad eccezione del Nord America,
telecomunicazioni.
all’identificazione delle
la numerosità delle imprese
Dal punto di vista delle aziende
modalità che hanno portato al
assicurate contro eventi cyber è
utilizzatrici invece, nonostante sia

difetto di sicurezza o
ancora molto bassa e le coperture
diffusa la consapevolezza dei
negligenza, alla tutela della
offerte dai player di mercato sono
problemi derivanti da un possibile
reputazione e alla mitigazione
ancora notevolmente differenti le
attacco cyber o dalla perdita di
del danno;
2 . Cyber Insurance Market -

Global Opportunity Analysis and Industry Forecasts, 20142022.
80
FIGURA 13.1 – LA CYBER INSURANCE
› gestione istruttorie. Comprende
interruzione di servizio, perdita
rischio cyber, mentre nei restanti
le attività necessarie a produrre
di dati. Vi sono incluse
casi si tratta di coperture
una risposta ad un controllo
coperture anche ad azioni cyber
generaliste. Il 29% afferma di
ufficiale da parte di autorità –
di tipo estorsivo (es. attacchi
essere in valutazione di coperture
quale ad esempio il Garante
ransomware).
assicurative, mentre il 35% non
privacy – in merito a sospetto
La Ricerca sul mercato italiano
ritiene sufficientemente maturo il
utilizzo improprio di dati
condotta dall’Osservatorio
mercato Cyber Insurance e il 21%
personali;
non ritiene il problema rilevante.
› copertura danni in seguito a
mostra come le grandi
Tuttavia l’interesse verso questo
richieste di terze parti o di
organizzazioni siano ancora
tipo di coperture assicurative sta
danni subiti direttamente. Si
immature nell’utilizzo di
crescendo anche in Italia in modo
tratta di danni legati a
coperture assicurative del rischio
considerevole, soprattutto negli
violazioni di dati personali, a
cyber. Solamente il 15% delle
ultimi mesi, con l’avvicinarsi
intrusioni oppure
imprese ha infatti già attive

dell’entrata in vigore delle nuove
omesso/errato trattamento dei
coperture assicurative, sebbene
regolamentazioni europee e con il
dati, oppure a danni derivanti
solo nella metà dei casi si tratta di
crescente numero di attacchi che
da downtime di rete,
polizze espressamente orientate al
quotidianamente fanno notizia •
81
PARTE III -
IL QUADRO NORMATIVO DI RIFERIMENTO E I PERCORSI DI CERTIFICAZIO
14. Le novità introdotte
dal General Data Protection
Regulation (GDPR)
Gabriele Faggioli*
Il General Data Protection Regulation (GDPR) sta
Guglielmo Troiano**
introducendo importanti novità nella gestione dei dati

personali. Il focus passa da un sistema normativo di tipo
formalistico ad un sistema di governance basato
su un'alta responsabilizzazione sostanziale del Data
Controller
Il percorso legislativo che ha passato, quello della direttiva, che, di tale Direttiva. Il Regolame
portato all’emanazione del
necessitando di recepimento nei
Generale non abroga invece la
Regolamento Generale sulla
singoli Paesi, crea differenze
Direttiva 2002/58/CE (c.d.
Protezione dei Dati (n. 2016/679,
normative, a volte rilevanti, fra i
« Direttiva ePrivacy») che prevede
c.d. GDPR) è iniziato il 4
singoli Stati membri.
obblighi specifici per i fornitori di
novembre 2010, quando la
Il Regolamento Generale è
servizi di comunicazioni
Commissione europea ha
entrato in vigore il 24 maggio
elettroniche (e quindi, nel nostro
elaborato una proposta di riforma
2016 e diventerà applicabile a
ordinamento le disposizioni del
della normativa in materia di
partire dal 25 maggio 2018, dopo
Codice Privacy di attuazione della
protezione dei dati personali.
un periodo di transizione di due
stessa). Tale direttiva dovrebbe
Il GDPR persegue due obiettivi
anni.
essere sostituita da un ulteriore
fondamentali: da un lato,
Il GDPR abroga la precedente
Regolamento: il 10 gennaio 2017,
adeguare la normativa, ormai
normativa in materia, ossia la
infatti, la Commissione europea
risalente al 1995, alle nuove

Direttiva 95/46/CE del 24 ottobre
ha adottato una proposta di
tecnologie, dall’altro armonizzare
1995 , “relativa alla tutela delle
Regolamento (« Regulation on
ed uniformare la normativa stessa
persone fisiche con riguardo al
Privacy and Electronic
a livello europeo, creando un
trattamento dei dati personali,
Communications») volta ad
quadro normativo comune. Per
nonché alla libera circolazione di
allineare la normativa e-Privacy
perseguire questo secondo
tali dati”, con l’effetto di abrogare
con le nuove regole previste dal
obiettivo, lo strumento giuridico
anche le normative nazionali
GDPR. Nelle intenzioni della
prescelto dal legislatore europeo è

emanate in applicazione della
Commissione anche tale ulteriore
stato quello del Regolamento,
stessa, come il D.Lgs. 196/2003
Regolamento dovrebbe entrare in
direttamente applicabile in tutti
(c.d. “Codice Privacy”), almeno
vigore il 25 maggio 2018,
gli Stati membri, e non, come in
nelle parti di diretta trasposizione
contemporaneamente al GDPR, in
* Responsabile Scientifico Osservatorio Information Security & Privacy e Presidente CLUSIT
** Senior Advisor Osservatorio Information Security & Privacy, Politecnico di Milano.
82
modo che, entro tale data, possa
› protezione delle sole persone
grado di documentare il processo
aversi un quadro giuridico
fisiche.
che ha portato alla definizione del

completo in materia di protezione
Ciò che cambia radicalmente è
registro dei trattamenti, alla
dei dati personali in ambito
invece la filosofia della norma.
valutazione di un determinato
europeo. Sulla proposta di
Si passa, infatti, da un sistema
rischio in materia di sicurezza,
Regolamento e-privacy, il Gruppo
normativo di tipo formalistico
alla decisione di notificare o meno
di lavoro ex articolo 29, “Article 29
(basato sulla previsione di regole
agli interessati una violazione dei
Data Protection Working Party”
formali e su un elenco di
dati personali (c.d. «data breach»),
(c.d. “WP29” ) ha adottato il 4
adempimenti e misure minime di
di aver attuato in relazione ad un

aprile 2017, l’Opinion 01/2017,
sicurezza da adottare), ad un
nuovo trattamento le necessarie
proponendo miglioramenti e
sistema di governance dei dati
valutazioni legate alla privacy «by
suggerimenti per rendere il testo
personali basato su un’alta
design».
più chiaro. I provvedimenti
responsabilizzazione sostanziale
Viene inoltre introdotto un
dell’Autorità Garante non
(« accountability») del Data
nuovo approccio metodologico
decadranno fino a quando non
Controller, a cui è richiesta
completamente riskbased.
verranno modificati, sostituiti o
proattività, cioè capacità di
Pare quindi opportuno

abrogati, mentre le autorizzazioni
prevenire (e non solo di
sottolineare che la privacy non
generali sul trattamento dei dati
correggere) gli errori, nonché
potrà più essere considerata come
sensibili o giudiziari rimarranno
capacità di dimostrare, anche
una seccatura o al più come un
in vigore fino al 24 maggio 2018.
documentalmente e/o tramite
adempimento ancillare al
Da notare che l’ambito di
l’adozione di appropriate policy
business. Al contrario la tutela dei
applicazione della nuova
interne (da esibire in caso di
dati personali dovrà essere un
normativa è più ampio rispetto
richiesta da parte dell’Autorità), la
presupposto da considerare già

alla precedente (tanto che si è
conformità al GDPR e
nella fase di progettazione dei
parlato di “extraterritorialità” del
l’adeguatezza delle proprie
processi di trattamento degli
GDPR): il nuovo Regolamento
scelte/valutazioni.
stessi, dei servizi e dei prodotti, e
Generale si applica infatti non
La maggiore discrezionalità per
la tematica dovrà essere calata
solo alle organizzazioni stabilite
i Titolari del trattamento di
all’interno dei processi e
in UE (anche se il trattamento
decidere le modalità attraverso le
dell’organizzazione aziendale (c.d.
avviene fuori EU), ma anche ad
quali conformarsi alle disposizioni
«privacy by design»).
organizzazioni localizzate extra
del GDPR è gravata, inoltre,
Oltre al sostanziale
UE che offrono beni o servizi a
dall’onere di provare le ragioni
rovesciamento di prospettiva, il
interessati che “si trovano” in
che hanno portato a tali decisioni
GDPR ha introdotto anche
territorio comunitario o che
e le motivazioni alla base delle
ulteriori novità rilevanti:
monitorano il loro
scelte effettuate.
› Registro delle attività di
comportamento all’interno di esso
Nell’art. 5 del GDPR, infatti, non
trattamento (art. 30 del GDPR)
(art. 3).
solo si individua nel Titolare del
- Ai sensi dell’art. 30 del GDPR,

Rispetto al Codice Privacy, le
trattamento il soggetto
sia i Titolari che i Responsabili
definizioni e i principi generali in
responsabile di garantire il
dovranno tenere un registro dei
esso previsti rimangono
rispetto dei principi applicabili al
trattamenti (con la sola
sostanzialmente invariati. In
trattamento di dati personali
esclusione delle società e degli
particolare non sono variati o
(ovvero i principi di “liceità,
enti con meno di 250
sono variati in maniera marginale
correttezza e trasparenza”,
dipendenti). Tale deroga viene
i seguenti aspetti:
“limitazione della finalità”,
meno in alcuni casi specifici

› definizione di trattamento;
“minimizzazione dei dati”,
come per esempio lo
› definizione di dato personale;
“esattezza limitazione della
svolgimento di un trattamento
› principi relativi al trattamento
conservazione” e “integrità e
di dati personali a rischio per i
di dati;
riservatezza”), ma si stabilisce che
diritti e le libertà
› liceità del trattamento;
il medesimo debba essere altresì
dell’interessato e che risulti non
› obbligo di informativa;
“in grado di comprovarlo”. Sarà
occasionale o che includa
› obbligo di consenso;
necessario, per esempio, essere in
categorie particolari di dati

83
personali o dati relativi a
trasmessi/conservati o
compreso, ove applicabile,
condanne penali e a reati. Il
comunque trattati.
l’interesse legittimo perseguito
registro dei trattamenti dovrà
› Valutazione d’impatto (art. 35-
dal Titolare;
contenere almeno le
36 e considerando 75-77) -
› una valutazione delle necessità
indicazioni previste nel
Qualora un trattamento
e proporzionalità dei
suddetto art. 30 ed essere
presenti un rischio elevato per i
trattamenti in relazioni alle
redatto in forma scritta, anche

diritti e le libertà delle persone
finalità;
in formato elettronico. Inoltre,
fisiche, il Titolare (assieme al
› una valutazione dei rischi per i
dovrà essere esibito su richiesta
Data Protection Officer qualora
diritti e le libertà degli
dell’Autorità di Controllo.
designato) è chiamato ad
interessati.
Come precisato dal Garante per la
effettuare, prima di procedere
Qualora all’esito di tale
protezione dei dati personali nella
al trattamento dei dati, una
valutazione il Titolare ritenga che
Guida all’applicazione del
valutazione d’impatto sui
il trattamento presenti un rischio
Regolamento Generale del 28

trattamenti che intende porre
elevato per i diritti e le libertà
aprile 2017, il registro dei
in essere. Il Garante, nella
delle persone fisiche coinvolte,
trattamenti sarà uno strumento
Guida sopra citata, mette in
dovrà consultare l’Autorità di
fondamentale non soltanto ai fini
rilievo che per rischio si
controllo, secondo quanto
dell'eventuale verifica da parte del
intende il rischio di impatti
disposto dall’art. 36 del
Garante, ma anche allo scopo di
negativi sulle libertà e sui diritti
Regolamento (consultazione
disporre di un quadro aggiornato
degli interessati. Tali impatti
preventiva). All'esito di questa
dei trattamenti in essere

dovranno essere analizzati
valutazione d’impatto il Titolare
all'interno di un'azienda,
attraverso un apposito processo
potrà decidere in autonomia se
indispensabile per ogni
di valutazione tenendo conto
iniziare il trattamento (avendo
valutazione e analisi del rischio.
dei rischi noti o evidenziabili e
adottato le misure idonee a
Lo stesso, infatti, non costituisce
delle misure tecniche e
mitigare sufficientemente il
un adempimento formale, bensì
organizzative (anche di
rischio) ovvero consultare
parte integrante di un sistema di
sicurezza) che il Titolare ritiene
l'Autorità di controllo competente
corretta gestione dei dati

di dover adottare per mitigare
per ottenere indicazioni su come
personali. Per tale motivo, il
gli stessi. Ai sensi del GDPR, la
gestire il rischio residuale.
Garante invita tutti i Titolari di
valutazione d’impatto è
L'Autorità non avrà il compito di
trattamento e i Responsabili, a
richiesta in particolare qualora
"autorizzare" il trattamento, bensì
prescindere dalle loro dimensioni,
s’intenda effettuare una
di indicare le misure ulteriori
a dotarsi di tale registro (e, in ogni
valutazione sistematica e
eventualmente da implementare a
caso, a compiere un'accurata
globale di aspetti personali
cura del Titolare e potrà, ove
ricognizione dei trattamenti svolti

relativi a persone fisiche, basata
necessario, adottare tutte le
e delle rispettive caratteristiche),
su un trattamento
misure correttive ai sensi dell'art.
inserendo, se opportuno, ulteriori
automatizzato oppure quando
58: dall'ammonimento del
informazioni rispetto a quelle
si tratti di un trattamento su
Titolare fino alla limitazione o al
prescritte dall’art. 30.
larga scala di categorie
divieto di procedere al
› Analisi dei rischi (art. 32 del
particolari di dati o dati relativi
trattamento. Dunque, l'intervento
GDPR) - Nel valutare l’adeguato
a condanne penali e a reati,
delle Autorità di controllo sarà
livello di sicurezza, il Titolare

ovvero in caso di sorveglianza
principalmente "ex post", ossia si
ed il Responsabile devono
sistematica ad ampio raggio di
collocherà successivamente alle
effettuare un’analisi dei rischi
una zona accessibile al
determinazioni assunte
derivanti dal tipo di
pubblico.
autonomamente dal Titolare; ciò
trattamento che intendono
La valutazione d’impatto deve
spiega l'abolizione a partire dal 25
porre in essere, quali quelli di
contenere almeno i seguenti
maggio 2018 di alcuni istituti
distruzione, perdita, modifica,
elementi:
previsti dalla direttiva del 1995 e
divulgazione non autorizzata e

› una descrizione sistematica dei
dal Codice italiano, come la
accesso, in modo accidentale o
trattamenti previsti e delle
notifica preventiva dei trattamenti
illegale, ai dati personali
finalità di trattamento,
all'Autorità di controllo e il
84
cosiddetto prior checking (o
regolarmente l’efficacia delle
dell'organizzazione del Titolare.
verifica preliminare ex art. 17
misure tecniche ed
Il WP29 ha anche specificato che
Codice), sostituiti dall’obbligo di
organizzative al fine di
il DPO non è personalmente
tenuta di un registro dei
garantire la sicurezza del

responsabile in caso di mancato
trattamenti da parte del
trattamento). La valutazione
rispetto del GDPR. Infatti sono il
Titolare/Responsabile e, appunto,
sarà rimessa, caso per caso, al
Titolare e il Responsabile ad
di effettuazione della valutazione
Titolare e al Responsabile in
essere tenuti a garantire (e
di impatto in piena autonomia.
rapporto ai rischi
dimostrare) che il trattamento
Peraltro, alle Autorità di
specificamente individuati e
venga effettuato in conformità
controllo, e in particolare al
tenuto conto non solo della
con il Regolamento Generale sulla
"Comitato europeo della
natura, ambito, contesto e

Protezione dei Dati. Il DPO non
protezione dei dati" (l'erede
finalità del trattamento, ma
sarebbe, dunque, responsabile in
dell'attuale Gruppo "Articolo 29")
anche dello stato dell’arte
prima persona
spetterà un ruolo fondamentale al
(evoluzione tecnologica) e dei
dell’implementazione della
fine di garantire uniformità di
costi di attuazione.
privacy in azienda, ma una figura
approccio e di fornire ausili
› Responsabile della protezione
di controllo priva di responsabilità
interpretativi e analitici: il
dei dati - c.d. DPO - (artt. 37-
esecutive. Egli esprime solo
Comitato sarà chiamato infatti a
39) - Il GDPR introduce la

pareri, ma le decisioni (anche
produrre linee-guida e altri
figura del Data Protection
eventualmente in contrasto con il
documenti di indirizzo su queste e
Officer (DPO). Si tratta di una
suo parere) sono assunte da altri.
altre tematiche connesse, anche
figura con compiti eterogenei,
Per tale motivo non deve quindi
per garantire quegli adattamenti
alcuni di natura ispettiva
avere un ruolo all’interno
che si renderanno necessari alla
interna (sorvegliare), altri
dell’organizzazione che gli
luce dello sviluppo delle
consulenziali (dare pareri),
consenta di determinare finalità e
tecnologie e dei sistemi di
alcuni interni
modalità del trattamento, fra cui,
trattamento dati.
all’organizzazione del Titolare,
ad esempio, quello di
› Misure tecniche organizzative
altri esterni (rapporto con gli
“amministratore delegato, direttore
adeguate (art.32) - Come sopra
interessati e con l’autorità di
generale, direttore finanziario,
anticipato, non sono più
controllo). La sua figura è di
direttore sanitario, direttore
previste misure "minime" di
fondamentale importanza in
marketing, risorse umane e IT” o
sicurezza (ex art. 33 Codice), ma
quanto è volta a facilitare il
anche di altre figure non apicali,
è prescritto, in capo al Titolare
rispetto, da parte delle singole

se tali posizioni portano alla
ed ai Responsabili, l’obbligo di
organizzazioni, delle
determinazione delle finalità e
adottare misure tecniche ed
disposizioni dettate dalla nuova
modalità del trattamento. Inoltre,
organizzative “adeguate al
disciplina. I requisiti soggettivi
il GDPR prevede che il Titolare e il
rischio.” Al riguardo quelle
e oggettivi di questa figura
Responsabile del trattamento
elencate nell’art. 32 del GDPR
sono stati specificati, in
debbano assicurarsi che il DPO
sono indicate a titolo
particolare, nelle Linee Guida
non riceva alcuna istruzione in
esemplificativo e non esaustivo
sul DPO adottate dal WP29 il 5

merito all’esecuzione dei suoi
(pseudonimizzazione; cifratura;
aprile 2017 (WP243), illustrando
compiti e che non debba essere
capacità di assicurare la
(anche attraverso esempi
rimosso o depenalizzato, da parte
continua riservatezza, integrità,
concreti) le competenze
del Titolare o del Responsabile,
disponibilità e resilienza dei
professionali (conoscenza
per aver adempiuto ai propri
sistemi e dei servizi che
specialistica della normativa e
compiti.
trattano i dati personali;
delle prassi in materia di
La sua designazione è
capacità di ripristinare
protezione dei dati) e le

obbligatoria nei seguenti casi:
tempestivamente la
garanzie di indipendenza e
› il trattamento è effettuato da
disponibilità e l’accesso dei dati
inamovibilità di cui il DPO deve
un’Autorità pubblica o da un
in caso di incidente fisico o
godere nello svolgimento delle
organismo pubblico;
tecnico; una procedura per
proprie attività di indirizzo e
provare, verificare e valutare
controllo all'interno
consiste in attività che
85
richiedono il monitoraggio
Garante sia l'autorità giudiziaria
› Entità delle sanzioni (artt. 83 -

regolare e sistematico di dati
sono libere di valutare. Infatti
84) – Il GDPR prevede la
degli interessati su larga scala;
rimangono impregiudicati i
possibilità per le Autorità
compiti e i poteri delle autorità di
nazionali di irrogare sanzioni
consiste nel trattamento su
controllo competenti.
fino a € 20.000.000 o, in caso
larga scala di dati “sensibili” e
› Maggiore responsabilità dei
di imprese, al 4% del fatturato
giudiziari”.
“Responsabili” (art. 82) - Il
globale annuo, a seconda di
Nelle suddette Linee Guida sul
GDPR sancisce una maggiore
quale risulti la sanzione più

DPO, il WP29 ha precisato che se
responsabilità del Data
elevata.
un ente non è tenuto a nominare
Processor che:
Le sanzioni più alte si applicano
un DPO e decide di designarlo su
› può ricevere direttamente
nel caso di:
base volontaria, si applicheranno
richieste da parte dell’Autorità
› violazioni dei principi del
comunque gli stessi requisiti di
Garante;
trattamento, incluse le
cui agli artt. da 37 a 39 sulla sua
› è direttamente passibile di
condizioni per il consenso;
designazione, ruolo e compiti,
sanzioni amministrative;
› violazione dei diritti degli

come se la nomina fosse stata
› può rispondere direttamente
interessati;
obbligatoria. In ogni caso, un ente
per il danno causato dal
› inosservanza delle norme in
che non è obbligato a nominare il
trattamento non solo se non ha
tema di trasferimento
DPO e non desidera nemmeno
rispettato le istruzioni del
internazionale dei dati;
farlo su basi volontarie, può
Titolare, ma anche se non ha
› violazione di obblighi previsti
comunque utilizzare staff o
adempiuto agli obblighi del
dalle legislazioni degli Stati
consulenti esterni con compiti
GDPR specificamente diretti ai
membri;
relativi al trattamento dei dati
Responsabili.
› inosservanza di un ordine, di
personali.
I trattamenti effettuati dal
una limitazione provvisoria, o
› Certificazione dei trattamenti
Responsabile, ai sensi dell’art. 28,
definitiva di trattamento o di
(artt. 42 – 43) – Il GDPR
devono essere disciplinati
un ordine di sospensione dei
promuove l'istituzione di
all’interno di un contratto o di un
flussi dei dati dell’autorità di
meccanismi di certificazione
altro atto giuridico a norma del
controllo, o il negato accesso.
della protezione dei dati allo
diritto dell’Unione o degli Stati
Le sanzioni più basse (fino a €.

scopo di dimostrare la
membri, che vincoli il
10.000.000 o al 2% del fatturato
conformità al Regolamento dei
Responsabile al Titolare. In
globale annuo) si applicano in
trattamenti effettuati dai
particolare dovranno essere
caso di violazione degli obblighi
Titolari e dai Responsabili.
indicati la materia disciplinata, la
previsti in capo al Titolare e al
La certificazione è volontaria ed
durata, la natura e la finalità del
Responsabile, all’organismo di
accessibile tramite una procedura
trattamento, il tipo di dati
certificazione e all’organismo di
trasparente che dovrà essere
personali e le categorie di dati
controllo.
basata su criteri previamente
degli interessati, gli obblighi e i
Non potendo fissare
approvati dalle Autorità di
diritti del Titolare.
direttamente, per difetto di
controllo competenti.
Inoltre, se il Titolare e il
competenza, le sanzioni penali,
L’ottenimento della
Responsabile sono coinvolti nel
l’UE demanda ai singoli Stati
certificazione non riduce le
medesimo trattamento saranno
membri l’individuazione delle
responsabilità in capo al Titolare e
chiamati a rispondere in solido
stesse. Pertanto, sotto questo
al Responsabile del trattamento
per l’intero ammontare del danno
aspetto, non vi sarà concreta

ma offre una mera presunzione
causato dallo stesso, ai sensi
uniformità e armonizzazione a
relativa di conformità che sia il
dell’art. 82.
livello europeo. •
86
PARTE III -
15. General Data Protection
Regulation (GDPR),
la roadmap di adeguamento
Gabriele Faggioli*
Il General Data Protection Regulation (GDPR) richiede
la definizione di una roadmap di adeguamento nelle
organizzazioni. Lo scopo di un progetto in tal senso
è quello di assicurare un'applicazione coerente
e omogenea delle norme, di valutare le implicazioni
su processi e sistemi già esistenti e di stabilire l'impatto
delle disposizioni, per arrivare pronti al momento

di entrata in vigore della normativa
Il 25 maggio del 2018 il
trattamento dei dati personali;
significa che le attività devono
Regolamento Generale sulla
› valutare le implicazioni che le
essere necessariamente
Protezione dei Dati (n.
nuove disposizioni determinano
conseguenziali, posto che, per
2016/679), attualmente in vigore,
sui processi/sistemi già
esempio, la Fase 5 inerente alla
diverrà finalmente applicabile.
esistenti;
definizione delle politiche di
Alla luce delle normative
› stabilire quali disposizioni
sicurezza e la valutazione dei rischi
esistenti, il Regolamento andrà ad
presentano un maggiore impatto

e la fase 7 inerente alla valutazione
abrogare la Direttiva 1995/46 e le
per le imprese dal punto di vista
di impatto devono essere svolte
Autorizzazioni Generali
delle azioni che le stesse devono
tipicamente in modo contiguo a
dell’Autorità Garante (italiana). Al
intraprendere per adeguarsi al
valle del registro dei trattamenti.
contrario, non decadranno i
Regolamento.
Ciò detto, le principali
Provvedimenti dell’Autorità
Da un punto di vista generale, è
caratteristiche delle singole fasi
Garante, gli Accordi internazionali
necessario seguire un modello di
sopra indicate sono:
sul trasferimento di dati e le
funzionamento della Data

› analisi dell’organizzazione
Decisioni della Commissione UE.
Protection quale quello di seguito
aziendale e studio della
Lo scopo di un progetto di
rappresentato in figura 15.1.
documentazione, volta a
adeguamento al nuovo
Ciò detto, è possibile suddividere
comprendere l’organizzazione
Regolamento Europeo deve essere
da un punto di vista pratico il
stessa e a mappare gli eventuali
quello di:
modello di adeguamento al
gap da colmare;
› assicurare un’applicazione
Regolamento Europeo in 9 fasi,
› predisposizione del piano di
coerente e omogenea delle
come rappresentato in figura 15.2.

intervento per l’adeguamento al
norme a protezione del
La numerazione progressiva non
GDPR (tabellazione della
* Responsabile scientifico Osservatorio Information Security & Privacy e Presidente CLUSIT
87
FIGURA 15.1 – IL MODELLO GDPR
normativa applicabile in ragione
Regolamento stesso, monitorando
titolare e degli eventuali
delle specificità dei singoli
costantemente l’uscita di
responsabili, le finalità del

settori e stesura di un piano di
disposizioni e linee guida emanate
trattamento stesso, una
intervento).
dalle diverse Autorità competenti
descrizione delle categorie di
› Fase 1 – Valutazione della
(es. Guidelines on DPOs, WP29, del
interessati e dei dati personali, i
compliance: le singole imprese,
5 aprile 2017).
destinatari, gli eventuali
per conformarsi ai nuovi
È necessario quindi compiere
trasferimenti verso Paesi terzi e
obblighi previsti dal GDPR,
un’analisi del contesto di
una descrizione generale delle
dovranno preliminarmente
riferimento in cui opera la società
misure di sicurezza. Questa

raccogliere tutte le informazioni
oggetto di adeguamento (es.
attività ha una duplice finalità:
sull’organizzazione aziendale
peculiarità del settore di business,
› il registro dei trattamenti deve
analizzando e valutando la
anche sotto il profilo del
essere uno strumento operativo
documentazione in uso e le
trattamento di dati personali),
di lavoro mediante il quale
scelte di adeguamento
raccogliere e analizzare la
censire in maniera ordinata i
normativo effettuate in passato.
documentazione organizzativa,
trattamenti e gli altri elementi
Qualora, a seguito di tale
tecnologica e legale disponibile (es.
rilevanti per assicurare una

valutazione, emerga una non
informative, moduli di consenso,
corretta gestione dei dati
conformità alle nuove
mappatura applicazioni e servizi
personali;
disposizioni, sarà necessario per
utilizzati, censimento data
› il registro dei trattamenti deve
l’impresa predisporre un piano
processor, ecc.). In figura 15.3 sono
essere anche un documento con
di intervento volto a definire le
indicati i macro passaggi
valore probatorio mediante il
procedure interne da
fondamentali dell’assessment del
quale il Titolare del trattamento
implementare al fine di evitare
modello AS-IS.
deve poter dimostrare di aver

di incorrere in sanzioni. Questo
› Fase 2 – Creazione del registro
adempiuto alle prescrizioni del
attraverso due fasi:
dei trattamenti: il registro dei
GDPR nell’ottica del generale
In pratica, per poter adempiere al
trattamenti, disciplinato dall’art
principio di accountability.
GDPR, occorre prima di tutto
30 del Regolamento, è un
Il registro dei trattamenti deve
svolgere una identificazione,
documento volto a tenere traccia
contenere una serie di dati
comprensione e classificazione dei
delle operazioni di trattamento
obbligatori imposti dal GDPR ma
requisiti normativi indicati nel
effettuate e contenente i dati del
può comprendere anche elementi

88
aggiuntivi che risulteranno utili sia
aggiornata secondo le
Titolare del trattamento deve
per lo svolgimento delle fasi
prescrizioni del nuovo
mettere in atto misure tecniche
successive del piano di
Regolamento (solo come
e organizzative adeguate per
adeguamento al GDPR sia per il

esempio è bene ricordare che il
garantire e dimostrare la
lavoro di chi si dovrà occupare
GDPR impone che le informative
conformità del trattamento
della materia privacy, compreso il
abbiano un contenuto più ampio
stesso al Regolamento. Tale
Data Protection Officer (come
rispetto a quanto stabilito dalla
condotta, espressione del
esplicitato in figura 15.4).
vigente normativa).
principio di
È bene ricordare che l’art. 30 co.
› Fase 4 – Individuazione dei
responsabilizzazione contenuto
V del GDPR esonera le imprese con
ruoli e delle responsabilità: è
nell’art. 5, comma II, e nell’art.
meno di 250 dipendenti

tassativamente necessario, sulla
24 (accountability), nasce dalla
dall’obbligo di tenere il registro dei
base della nuova normativa,
volontà del Legislatore Europeo
trattamenti, fatta eccezione per
individuare e contrattualizzare
di lasciare maggiore
alcune specifiche ipotesi (ad
tutti i responsabili del
discrezionalità ai titolari del
esempio, qualora il trattamento
trattamento; per molti settori di
trattamento:
possa presentare un rischio per i
mercato, anche alla luce delle
Tale fase consta di
diritti e le libertà dell’interessato).
linee guida specifiche del WP
3 macro-attività:
› nella definizione delle politiche

Article 29, è inoltre
› Definizione della metodologia di
da adottare;
indispensabile provvedere alla
analisi dei rischi: il GDPR
› nell’individuazione della
nomina di un Data Protection
contiene continui richiami al
metodologia più compatibile con
Officer.
concetto di rischio (es.: artt. 25,
l’organizzazione aziendale;
› Fase 5 – Definizione delle
32 e 35) e, dunque, alla necessità
› nell’analisi e valutazione dei
politiche di sicurezza e
di definire le azioni da adottare
rischi che potrebbero sorgere in
valutazione dei rischi: tenuto
prendendo in considerazione
relazione alla violazione del

conto della natura, dell'ambito di
l’origine, la natura e la gravità
trattamento dei dati personali.
applicazione e delle finalità del
del rischio stesso;
› Fase 3 – Stesura/Modifica della
trattamento, nonché dei diversi
› Effettuazione dell’analisi del
documentazione: è importante
rischi per i diritti e le libertà
rischio e gap analysis;
che essa risulti completa ed
delle persone fisiche, ogni
› Definizione del piano di

89
FIGURA 15.3 – L’ASSESSMENT DEL MODELLO AS-IS
intervento: una volta effettuata
comunque trattati». Pertanto, ai
esempio, qualora detta
l’analisi dei rischi in base alla
sensi dell’art. 33 del
comunicazione richiederebbe
metodologia individuata in
Regolamento, nel caso in cui si
sforzi sproporzionati). È quindi
precedenza, dovrà essere

verifichino violazioni di dati
necessario che la gestione dei
predisposto un piano di
personali, il Titolare ne deve
casi di violazione dei dati venga
intervento contenente le misure
dare comunicazione all’Autorità
formalizzata in apposita
tecniche ed organizzative più
di Controllo (entro 72 ore
procedura adottata da ciascuna
opportune da adottare per
dall’avvenuta conoscenza della
impresa.
garantire un livello di sicurezza
violazione) e, nei casi più gravi,
› Fase 7 – Valutazione d’impatto
adeguato al rischio stesso (art.
anche agli interessati. I Titolari
sulla protezione dei dati
32).
del trattamento dovranno
personali: la necessità di
› Fase 6 – Processo di Data
assicurare di aver adottato
assicurare trasparenza nelle
Breach: con il termine “Data
procedure idonee a scoprire
operazioni di trattamento dei
Breach” si intende il complesso
eventuali violazioni, generare
dati personali e adeguata
di adempimenti, attribuiti al
adeguata reportistica e
protezione agli stessi, implica
Titolare del trattamento, da
indagarne le cause nonché gli
che il Titolare effettui precise e
porre in essere a seguito della
effetti. Qualora la violazione dei
adeguate valutazioni d'impatto.
violazione dei dati personali,

dati presenti un rischio elevato
Anche sulla base di tali
intesa come « la violazione di
per i diritti e le libertà delle
valutazioni, egli identifica le
sicurezza che comporta
persone fisiche, il Titolare
misure di sicurezza fisiche,
accidentalmente o in modo illecito
comunica la violazione
logiche e organizzative adeguate
la distruzione, la perdita, la
all’interessato senza
per minimizzare i rischi dei
modifica, la divulgazione non
ingiustificato ritardo (art. 34),
singoli trattamenti. La
autorizzata o l’accesso ai dati
fatta eccezione per alcune
valutazione d'impatto assume
personali trasmessi, conservati o

ipotesi previste dalla norma (ad
un'utilità e una centralità ancor
90
FIGURA 15.4 – IL REGISTRO DEI TRATTAMENTI
più evidente alla luce delle più
qualora le attività principali del
› abbia precise competenze
recenti strumentazioni
Titolare/Responsabile del
giuridiche, informatiche, di risk
informatiche e telematiche e dei
trattamento consistano nel
management e di analisi dei

trattamenti di dati che possono
trattamento su larga scala di
processi;
essere svolti tramite le
categorie particolari di dati
› goda di indipendenza e
tecnologie avanzate.
personali.
autonomia;
› Fase 8 – Implementazione dei
Trattasi di una figura la cui
› possa interfacciarsi con le figure
processi per l’esercizio dei
responsabilità principale è quella di
chiave dell’azienda, al fine di
diritti dell’interessato: il GDPR,
osservare, valutare e organizzare la
valutare i rischi connessi ai
oltre a ribadire le prerogative
gestione del trattamento di dati
trattamenti e suggerire quali

concesse agli interessati dalla
personali (e dunque la loro
misure adottare.
attuale normativa, introduce in
protezione) all’interno di
In conclusione, sebbene il GDPR
modo puntuale il diritto alla
un’azienda, affinché questi siano
diventerà applicabile solo a
portabilità dei dati e il diritto
regolati nel rispetto delle
decorrere dal 25 maggio 2018, le
all’oblio. È fondamentale quindi
normative sulla privacy europee e
aziende e le pubbliche
che nel progetto di adeguamento
nazionali. Il Data Protection Officer
amministrazioni devono
al GDPR il processo di gestione
deve svolgere le attività a lui
immediatamente preoccuparsi di
dell’eventuale attivazione di tali
demandate dal GDPR tra cui le
porre la tematica del trattamento e
diritti da parte di uno o più
seguenti funzioni: informare e
della sicurezza dei dati tra le
interessati del trattamento sia
consigliare il Titolare o il
priorità del management.
oggetto di apposita procedura di
Responsabile in merito agli
Inoltre, le imprese e le pubbliche
dettaglio.
obblighi del Regolamento,
amministrazioni non devono
› Fase 9 – Data Protection Officer
verificarne l’applicazione e
sottovalutare che la conformazione
(DPO): il GDPR prevede la nuova
l’attuazione, fornire pareri
alle nuove disposizioni potrebbe

figura del Data Protection
e fungere da punto di contatto sia
richiedere tempi lunghi e rilevanti
Officer o Responsabile della
con gli interessati che con il
impegni di spesa anche sotto un
Protezione dei Dati, la cui
Garante.
profilo tecnologico implicando, il
nomina è obbligatoria in una
Perché il DPO possa svolgere le
GDPR, interventi sul comparto IT,
serie di ipotesi previste dall’art.
proprie funzioni in modo efficace,
sul personale e sulla
37 del Regolamento, ad esempio
è necessario che:
governance. •
91
EL-
XX GENERAL DATA PROTECTION REGULATION (GDPR), LA ROADMAP DI AD
CASO 11: EUROPCAR
Nata in Francia oltre 65 anni fa, Europcar è leader europeo nel noleggio di autoveicoli, oltre ch
mercato della mobilità. Il Gruppo Europcar, attivo in oltre 140 Paesi con i marchi Europcar ed
dei più grandi network di autonoleggio del mondo tramite società interamente controllate, non
all'attività core del noleggio di auto, furgoni e scooter, il Gruppo Europcar ha ampliato negli u
Europcar, che vanta numerosi premi “World Travel Awards” relativi all’offerta di mobilità ed
consta di 6000 dipendenti e nel 2016 ha fatturato 2,151 miliardi di Euro.
Da un punto di vista organizzativo, la società operante sul territorio nazionale Europcar Italia S
sia di adeguamenti tecnologici sia di compliance dei processi verso gli standard di settore, ven
direttamente dalla casa madre in Francia e messi in atto dalle singole Country.
Sin dalla pubblicazione del General Data Protection Regulation ed in vista della sua prossima
immediatamente attivata per strutturare il processo di adeguamento alla normativa in materia d
percorso è iniziato conducendo una gap analysis e proseguirà con una serie di investimenti stra
propri clienti, ma anche perfettamente rispondente ai requisiti imposti dalla nuova normativa.
Il GDPR è un tema che diventa particolarmente complesso in contesti multinazionali: è

membro dell’Unione europea, infatti, risponde in maniera differente a determinati stimoli lega
europeo in modo efficace, sia in termini di tempi che di modalità, a differenza di altri Paesi la
Volgendo lo sguardo ad uno dei principali compiti che le aziende facenti parte di un gruppo de
in vigore della nuova normativa, ovvero quello di definire il perimetro di responsabilità rispett
esigenze tipiche del mercato italiano, ma allo stesso tempo fa riferimento a diversi mezzi e stru
Una ulteriore criticità introdotta dal GDPR riguarda l’applicazione del meccanismo dello “spo
quanto previsto dalla normativa, qualora un’organizzazione vantasse più stabilimenti all’intern
avere un'unica Autorità sovrintendente riconosciuta come "Autorità principale" (o capofila), su
proprio "stabilimento principale" (ossia il luogo dove avvengono le più significative attività di
Parigi, se si adottasse tale meccanismo, l’Authority di riferimento (in merito alla maggior part
esclude che per i casi regolati specificatamente dalla normativa locale (come ad esempio i dive
sempre confrontare con l’Autorità di Controllo nazionale, dovendo quindi sostenere i processi
i due “canali”, quello locale e quello internazionale.
Un ulteriore punto di attenzione è relativo all’applicazione del principio della “Data Protection
richiede l’attuazione di misure tecniche ed organizzative adeguate al fine di proteggere efficac
un periodico censimento dei dati personali; dovranno inoltre definire i tempi di conservazione
92
posite procedure che permettano, in automatico, di cancellarli quando non sono più necessari.
Infine, in Europcar, particolare attenzione è dedicata al processo di sensibilizzazione del fattor

da rendere edotti i dipendenti sulla nuova normativa europea; la seconda mette a fuoco aspetti
phishing, diffusione di malware e ransomware).
Europcar Italia si sta impegnando molto per far sì che la formazione raggiunga ogni dipendent
disseminati sul territorio.
CASO 12: GRUPPO BOSCH ITALIA
La Robert Bosch GmbH nasce nel 1886 a Stoccarda come "Officina di meccanica di precision
In Italia e Grecia conta una ventina di entità legali, tra sedi commerciali, sedi produttive (powe
idraulica, attrezzatura d’officina) ed entità di Ricerca e Sviluppo, per un totale di circa 6000 co
Il Board di Bosch è particolarmente attento e sensibile alle implicazioni del General Data Prot
prevede sanzioni consistenti – fino al 4% del fatturato globale annuo –
in caso di mancato adempimento.
Nell’ambito Sicurezza Dati e Informazioni, l’organizzazione prevede, a livello di Regione, un

che hanno direttamente a che fare con i vari collaboratori sul territorio e si occupano di sensib
Dal momento della pubblicazione del GDPR, la funzione Sicurezza Dati e Informazioni si è im
Il primo passo effettuato è stato chiedersi quanto la situazione dell’azienda fosse “lontana” dai
Regolamento. Il documento è stato analizzato nel dettaglio per arrivare alla stesura di una lista
GDPR (informative, notifiche, registro dei trattamenti, implementazione TOMs (Technic
analisi dei rischi, Data Protection Impact Assessment, misure IT, ecc.) composta da 70 punti.
A seguito della redazione della lista, si è passati all’individuazione delle persone coinvolte. So
riferimento: società di consulenza informatica, supporto informatico interno all’azienda, suppo
di vari enti commerciali, di servizi e di produzione.
Successivamente, l’azienda si è dedicata alla valutazione dell’impegno connesso ad ognuna de
in termini di tempistiche, per ogni categoria di persone coinvolte, seguita da un censimento su
Per rendersi effettivamente conto del gap esistente e misurare l’impatto e l’impegno che il per
Questo impegno è stato poi tradotto in costi, per definire l’ammontare del budget necessario a
entità legali italiane e greche. Al costo per lo svolgimento delle attività per le 4 categorie di re
costo della formazione, ottenendo una stima complessiva che è stata poi suddivisa sui 2 anni d
Il budget calcolato ammonta in totale a circa 2 milioni di Euro, ovvero in media intorno a 10.0
Il percorso di formazione delle risorse all’interno dell’organizzazione è un passaggio fondame

funzioni (come per esempio l’HR), di tutti i collaboratori per sensibilizzare a tutti i livelli l’org
Per assicurare che la formazione fosse adeguata al target dei diversi soggetti, sono state definit
› Trattamento dati dei collaboratori
93
› Trattamento dati personali con applicazioni IT
› Trattamento dati di clienti/fornitori
› Trattamento dati personali tramite prodotti
In Italia attualmente non vengono realizzati prodotti che raccolgono dati personali, a differenz
nazioni. Questa tipologia di prodotti viene però commercializzata anche sul territorio it
venga affrontato anche questo ambito.
Ogni sessione di formazione è tenuta da un legale esterno e ha una durata di mezza giornata.
Una volta terminata la formazione ai Responsabili, per tutti gli altri collaboratori che trattano d
sessioni di aggiornamento da un’ora ciascuna, in cui verranno illustrate le novità introdotte da
rispetto all’attuale legge vigente. La formazione specifica sulla nuova regolamentazione si affi
relative al tema della privacy che vengono veicolate da anni agli utenti dell’organizzazione.
A seguito della formazione verrà effettuata una revisione dell’analisi preliminare. Infatti quand
a conoscenza dei requisiti del GDPR, potrebbero emergere trattamenti non considerati precede
A valle della rifinitura, verranno stabilite con l‘ausilio del supporto legale le priorità d’azione
ai rischi ad essi connessi.
L’attività entrerà poi nel vivo e sarà coordinata a livello globale, attraverso incontri per temati
nella documentazione, ottimizzando così i costi di consulenza esterna.
Le maggiori difficoltà incontrate ad oggi riguardano la raccolta dei dati, poiché spesso le infor
tutto coerenti e richiedono un continuo coordinamento, la definizione in dettaglio delle attività
La mole di lavoro derivante dal percorso di adeguamento è molto consistente, ma rappresenta

e aumentare l’efficienza.
94
PARTE III -
16. Protezione
dei dati personali
e PMI verso gli anni ‘20
Sergio Fumagalli*
In Italia oltre il 99% del tessuto industriale
è rappresentato da piccole e medie imprese che avranno
intrinsecamente difficoltà ad adeguarsi al General Data
Protection Regulation (GDPR). I codici di condotta sono
strumenti pensati espressamente alle PMI e possono
rappresentare una possibile via di soluzione per garantire

sostenibilità ed efficacia dello sforzo di adeguamento
e applicazione del Regolamento
Leggendo il testo del
giurisdizioni nazionali;
Ne è nato un testo che cerca di
Regolamento UE 2016/679
› la dipendenza crescente dalla
tutelare le persone in continuità
(GDPR, General, Data
tecnologia non solo
con la normativa vigente,
Protection Regulation), approvato
nell’organizzazione e nella
introducendo, però, nuovi diritti
nel maggio dell’anno scorso e
gestione delle relazioni di
per gli interessati e nuovi obblighi
pienamente operativo in tutta
business, ma anche in aspetti
per i Titolari, tra cui un approccio
l’Unione dal 25 maggio 2018, ci si

intimi della vita delle persone;
alla sicurezza basato sull’analisi
rende conto subito di quanto
› la prospettiva, ormai concreta,
dei rischi e uno alla innovazione
l’attenzione del legislatore sia
dell’ingresso massiccio nella
basato sull’analisi di impatto.
stata assorbita dai grandi
nostra vita di dispositivi anche
Un testo con il chiaro obiettivo
fenomeni che caratterizzano
a basso costo, intelligenti e
di superare i limiti territoriali di
questi primi anni del XXI secolo:
connessi in rete (IoT), in grado
applicabilità della legislazione e di
› la concentrazione di quantità di
di rilevare, automaticamente e
obbligare anche operatori di
dati personali, enormi e in

continuamente, informazioni
dimensioni assimilabili a quelle di
continua crescita, nei computer
dettagliate sui nostri
uno Stato a doversi preoccupare
di un numero ridotto di
comportamenti e sul nostro
di applicare la norma, a causa di
imprese multinazionali o, per
corpo: un’esplosione di
sanzioni potenzialmente assai
dir meglio, sovranazionali e,
informazioni personali, in
rilevanti.
dunque, difficilmente
quegli stessi server ubicati
Una legge moderna che,
riconducibili a legislazioni e
chissà dove.
dovendo regolare un fenomeno in
* Membro del direttivo di CLUSIT e del coordinamento di Europrivacy.info.

95
continua, frenetica e
contesto che si ribalta ogni sei
monetario: servono una cultura
imprevedibile mutazione, affronta
mesi con un testo che ha
aziendale evoluta e
la sfida scegliendo un approccio
impiegato quattro anni per essere
un’organizzazione articolata per
basato sulla responsabilizzazione
approvato e ne richiederebbe altri
corrispondere all’impostazione del

dei soggetti tenuti alla sua
quattro per essere aggiornato.
GDPR, non solo una capacità di
applicazione, tra cui anche PMI,
Una filosofia che, però, per
spesa adeguata.
invece del tradizionale approccio
essere tradotta in fatti concreti – e
Certo, il risultato alla fine sarà
prescrittivo e autorizzativo che
una sanzione che potenzialmente
probabilmente molto più efficace,
enfatizza il ruolo del regolatore.
può raggiungere il 4% del
ma quante organizzazioni, oggi,
Non una lista di adempimenti a
fatturato richiede un’attenzione
in Italia, sono in grado di
cui uniformarsi, dunque, ma un
molto concreta – si trascina una
assumersi questo onere?

insieme di regole generali da cui
grande complessità.
La platea dei destinatari, infatti,
derivare un modello di gestione
Prendiamo, ad esempio, il tema
non annovera solo grandissimi
specifico per il proprio contesto,
quanto mai attuale della sicurezza
operatori multinazionali. Il
mediante analisi, valutazioni,
dei dati personali: il Codice
quadro, in particolare in Italia, ha
scelte che devono poi essere
Privacy attualmente vigente
caratteristiche del tutto diverse,
documentate per poter assolvere
prevede delle misure minime che
come si evince dalla figura 16.1.
all’obbligo di saper dimostrare di
il Titolare deve rispettare.
Oltre il 99% delle imprese, in

aver adempiuto al meglio.
Il GDPR invece cancella il
Italia, ha meno di 250 addetti e
“Il titolare del trattamento è
concetto di misure minime: dovrà
una struttura organizzativa
competente per il rispetto del
essere una valutazione del
magrissima e del tutto
paragrafo 1 (che riassume i
contesto e dei rischi a guidare le
concentrata sul business. Nascono
principi generali da applicare al
scelte del Titolare nel determinare
allora due domande, cruciali per il
trattamento dei dati personali) e
le misure di sicurezza da
successo del GDPR ma anche per
in grado di comprovarlo
applicare.
le nostre vite quotidiane, se è

(«responsabilizzazione»)”: questa
Nel primo caso c’è solo un costo
vero, come personalmente
breve frase, che chiude l’articolo 5,
di attuazione, nel secondo anche
ritengo, che il GDPR affronta un
dedicato ai principi di liceità dei
un costo di analisi e valutazione e
tema centrale del nostro tempo:
trattamenti, riassume in sé tutta la
un costo di documentazione delle
1) Quante delle imprese con
filosofia del GDPR.
scelte, di controllo e di revisione
meno di 250 addetti (4.438.850
Una filosofia moderna e forse
periodica.
imprese) saranno in grado di
l’unica in grado di reggere la sfida
Il termine “costo” qui non sta
applicare e applicheranno in
di cui sopra: governare un
ad indicare un mero dato
modo efficace il Regolamento?
96
2) Se decidessero di non far
dell’operato dei suoi subfornitori
liberalizzazione dell’accesso al
nulla, ci sarebbero conseguenze
(si faccia riferimento al box per il
grande pubblico.
significative o no, al di là di
testo dell’articolo).
Dall’altro, molti studi
qualche sanzione per i più
professionali – commercialisti,
sfortunati?
Articolo 82
avvocati, consulenti del lavoro,
Realisticamente, senza
…
medici, laboratori di analisi –
interventi specifici, non è difficile
4. Qualora più titolari del trattamento
trattano volumi di dati personali
prevedere che gran parte delle
o responsabili del trattamento oppure
che non sono grandi se confrontati
imprese non farà nulla o quasi,
entrambi il titolare del trattamento e
con Facebook o con la GDO ma lo
perché non è in grado di farsi
il responsabile del trattamento siano
sono, invece, se rapportati al
carico della complessità e perché
coinvolti nello stesso trattamento e
contesto territoriale di pertinenza.
ha priorità di spesa del tutto
siano, ai sensi dei paragrafi 2 e 3,
Tra l’altro spesso si tratta di dati
diverse. Il GDPR troverà attuazione
responsabili dell'eventuale danno

assai delicati, quando non
solamente nelle grandi imprese e
causato dal trattamento, ogni titolare
rientrano fra i dati particolari ai
nelle grandi Amministrazioni,
del trattamento o responsabile del
sensi dell’art. 9 o 10 del GDPR.
come è successo con la normativa
trattamento è responsabile in solido
In tutti questi casi il rapporto tra
attuale, dopo il 2003.
per l'intero ammontare del danno, al
la PMI e l’interessato (la persona,
Non è, però, una prospettiva
fine di garantire il risarcimento
cioè, i cui dati vengono utilizzati) è
tranquillizzante. Il contesto di
effettivo dell'interessato.
diretto, così come il rischio che ne
allora (2003) era infatti molto
deriva: la violazione del

diverso dall’attuale: oggi il sistema
Questo, per molte PMI, pone il
Regolamento può comportare
delle PMI è profondamente
Regolamento sotto una luce assai
sanzioni rilevanti o cause civili
interconnesso al proprio interno e
diversa: chi non sarà in grado di
potenzialmente molto onerose.
con i propri clienti, effettivi e
assumersi
Certamente alcuni settori e
potenziali, e le tecnologie digitali
contrattualmente questo rischio
alcune tipologie di imprese sono
sono alla base di questa
con i suoi clienti (che lo
meno esposte e, dunque, esistono
interconnessione. Le grandi
richiederanno per sgravarsi di
PMI che potranno ignorare il GDPR

imprese tendono a esternalizzare
parte dei rischi propri), sarà
e vivere felici: probabilmente una
processi e produzioni anche
fatalmente spinto a diventare sub
parte significativa di quei 4 milioni
rilevanti e le piccole imprese
fornitore, a essere cioè mediato da
e passa di imprese della figura
sempre più spesso vivono e
un soggetto più grande e più
16.1. Un atteggiamento
prosperano all’interno di catene di
strutturato (o più irresponsabile)
minimalista è però sconsigliato per
fornitura complesse che sfruttano
con conseguente erosione dei
moltissime PMI: non è il mero
in modo intensivo le potenzialità
margini.
criterio dimensionale a definire il

del digitale per trovare sempre più
Per un’altra larga fetta di PMI
livello di esposizione dell’azienda.
avanzati livelli di efficienza.
che operano secondo schemi B2C,
Detto tutto ciò, il rischio che
Come può, però, una grande
il tema si pone in maniera
molte PMI non riescano ad
impresa garantire, ad esempio, la
differente.
applicare il GDPR o si sottraggano,
protezione dei dati personali dei
Senza la pretesa di essere
a torto o a ragione, a questo
suoi clienti se quello stesso livello
esaustivi, si possono riconoscere
obbligo rimane significativo e,
di sicurezza non è garantito da
situazioni molto diverse fra loro.
senza correttivi, questo

tutta la catena di fornitura che è
Da un lato, tutte le PMI che
costituirebbe un parziale
coinvolta nel loro trattamento?
mantengono relazioni dirette con i
fallimento anche del legislatore e
Per questa ragione il GDPR
consumatori e con i clienti stanno
delle Autorità preposte nonché un
introduce, a certe condizioni, la
utilizzando modalità e strumenti
rischio per la collettività.
responsabilità solidale del
simili a quelli dei grandi operatori:
Basti pensare che uno dei
committente e del fornitore:
non è infatti vero che solo le
principali casi di violazione della
entrambi potranno essere
grandi imprese trattano ingenti
sicurezza a fini criminali avvenuto

chiamati a rispondere in solido
quantità di dati personali. Anzi,
in USA tra il 2013 e il 2014 ai danni
dell’intero danno causato e il
una delle principali innovazioni di
di un grandissimo operatore della
fornitore risponderà anche
Internet è stata proprio la
GDO è stato originato dalla
97
FIGURA 16.2 – IL MODELLO DI CDC E SERVIZI COLLEGATI
violazione delle credenziali di un
Codici di condotta
Dove il GDPR indica obiettivi e
tecnico dell’impianto di
1. Gli Stati membri, le autorità di
criteri generali, dovendo regolare
manutenzione, impiegato in una
controllo, il comitato e la
tutti i casi e tutte le tecnologie
piccola società di servizi tecnici alle
Commissione incoraggiano
possibili, il Codice di Condotta
imprese, operante su base
l'elaborazione di codici di condotta
(CdC) può dettare modelli precisi e
regionale: i danni riportati a
destinati a contribuire alla corretta
regole chiare, espresse nel
bilancio sono stati di 162 milioni di
applicazione del presente
linguaggio proprio del settore a cui
dollari!
Regolamento, in funzione delle

è rivolto.
Per questa ragione il Legislatore
specificità dei vari settori di
Il Titolare, cioè l’azienda, a quel
ha inserito nel testo del
trattamento e delle esigenze specifiche
punto dovrà solo aderire al CdC,
Regolamento articoli specifici
delle micro, piccole e medie imprese.
adattarlo alla propria realtà e
dedicati a tracciare una possibile
applicarlo. Rimane il costo
via di soluzione che consenta
Di che cosa si tratta? I Codici di
dell’attuazione ma non più l’onere
anche alle PMI la sostenibilità e
Condotta sono strumenti
dell’analisi e l’incertezza della
l’efficacia dello sforzo necessario
espressamente rivolti alle PMI (si
valutazione.
per l’adeguamento al GDPR e la
faccia riferimento al box per il
Ci sono, poi, altri aspetti
sua applicazione nell’operatività
testo dell’articolo); in sintesi, sono
interessanti.
quotidiana.
dei modelli applicativi del
I soggetti a cui è affidato il
Gli articoli 40 e 41, in particolare,
Regolamento, specializzati per una
compito di redigere i Codici di
introducono e regolano la
determinata categoria di imprese
Condotta non sono Istituzioni
possibilità di redigere specifici
che si possono considerare
pubbliche ma attori privati: le
Codici di Condotta finalizzati a
omogenee fra loro, per quanto
associazioni di impresa. Non vi è,

ridurre l’onere a carico delle
riguarda il trattamento di dati
dunque, un ostacolo procedurale o
imprese per l’applicazione del
personali: stessa tipologia di dati,
burocratico alla loro redazione. I
Regolamento.
stesse modalità di trattamento,
CdC sono una forma di soft law
strutture organizzative
che riporta agli utenti il potere di
Articolo 40
confrontabili.
iniziativa.
98
Naturalmente, il Codice, una
committente e può essere opposta
affidato il compito di redigere i
volta redatto, deve essere approvato
in caso di contestazioni o di
CdC.
dall’Autorità di controllo (Il Garante
ispezioni, riducendo l’esposizione
È una tipologia di attività del
Privacy) a livello nazionale (in tal
di entrambi.
tutto nuova che apre la prospettiva
caso il codice avrà validità solo
Analoghe considerazioni
di una nuova gamma di servizi
locale) o europeo (e sarà pertanto
possono essere fatte sulla
(come rappresentato in figura 16.2)
applicabile in tutta la UE).
sicurezza.
per i propri associati, nel momento
Il controllo della corretta
Anche sui criteri per la
in cui quelli tradizionali, su cui
applicazione dei Codici di Condotta
determinazione dell’entità delle

l’associazionismo d’impresa si è
è, di nuovo, affidato a soggetti
sanzioni, l’adesione ad un Codice
costituito, sono resi sempre meno
privati accreditati dall’Autorità di
di Condotta è individuata come un
interessanti proprio dalla spinta
controllo, analogamente a quanto
elemento a discolpa e quindi può
alla disintermediazione insita nelle
avviene per le certificazioni
influenzare positivamente la
nuove tecnologie digitali.
ISO9000.
determinazione dell’ammontare
Insomma, i Codici di condotta
della stessa.
sono una sfida anche per le
Articolo 28
Vi è poi un ulteriore beneficio
Associazioni e per la loro capacità

Responsabile del trattamento
che può derivare indirettamente
di rinnovare l’offerta di servizi agli
5. L'adesione da parte del responsabile
dalla disponibilità, per un certo
associati, radicandola nel nuovo
del trattamento a un codice di
settore, di un Codice di Condotta.
contesto economico e competitivo
condotta approvato di cui all'articolo
Le aziende che aderiscono al
determinato dalla trasformazione
40 o a un meccanismo di
Codice adottano, di conseguenza,
digitale delle relazioni e del
certificazione approvato di cui
un modello di gestione della
business.
all'articolo 42 può essere utilizzata
protezione dei dati personali simile
Sanzioni fino al 4% del fatturato

come elemento per dimostrare le
fra loro. Questo facilita la loro
globale o fino a 20 milioni di Euro
garanzie sufficienti di cui ai paragrafi 1
predisposizione a condividere i
testimoniano l’importanza che le
e 4 del presente articolo.
servizi necessari a gestire
Istituzioni europee hanno
correttamente la materia: un unico
attribuito a questi temi, che non
L’adesione di un Titolare al
Data Protection Officer (DPO) potrà
possono essere elusi. La
Codice di Condotta è individuata,
svolgere, con più facilità, il proprio
complessità dell’attuazione del
da diversi articoli del GDPR, come
ruolo per diverse aziende, che ne
GDPR e la rilevanza delle sanzioni
un elemento che contribuisce ad

condivideranno per esempio il
previste in caso di inadempienza
attestare il soddisfacimento dei
costo e così via anche per la
riflettono però anche la
requisiti normativi. È il caso, ad
formazione o per servizi
complessità della sfida competitiva
esempio, dell’articolo che regola i
tecnologici spesso molto onerosi.
che le PMI dovranno comunque
rapporti fra Titolare e Responsabile
La conformità alla legge è una
affrontare, con o senza il
(Committente e Fornitore) a cui fa
attività pre-competitiva:
Regolamento.
riferimento il box.
condividerne e ridurne i costi è un
Il testo del GDPR indica delle
Riallacciandoci alle
obiettivo che può interessare anche
strade di soluzione, non facili ma
considerazioni svolte sopra
aziende che, per tutto il resto, sono
possibili, per una compliance
sull’impatto del GDPR sulle PMI
fra loro in competizione.
contemporaneamente sostenibile
che operano all’interno di catene di
Peraltro, la sicurezza e la
ed efficace. La capacità di
fornitura complesse, è evidente
protezione dei dati sono cruciali
percorrerle segnerà il successo o il
come, per queste aziende, la
anche per la sostenibilità del
parziale fallimento del GDPR ed è
disponibilità di un Codice di
business: condividerne i costi
figlia dell’impegno collettivo di un
Condotta possa rappresentare una

significa poter accedere ad un
insieme di attori pubblici e privati:
opportunità importante per
livello di qualità altrimenti
dall’Autorità Garante, alle
risolvere positivamente e a costi
inaccessibile e dunque ad una
Associazioni di impresa, alle
sostenibili le questioni poste dal
maggiore efficacia degli
imprese stesse. Per il Paese dei
GDPR.
investimenti.
distretti industriali e delle PMI si
L’adesione del fornitore al CdC
L’ultima considerazione riguarda
tratta di un pezzo obbligato della
del suo settore garantisce il
le Associazioni di impresa a cui è
strada verso il futuro digitale. •

99
PARTE III -
17. Le certificazioni
per la sicurezza
e la protezione dei dati
Fabio Guasconi*
La certificazione è una procedura condotta da un ente
Luciano Quartarone**
terzo indipendente e specificatamente designato e
accreditato, che attesta il rispetto effettivo, oggettivo
e documentato, di un prodotto, di un processo o di un
servizio ai requisiti di una norma di riferimento.
La norma internazionale di riferimento per la sicurezza
delle informazioni è la ISO/IEC 27001, quella per la
sicurezza dei prodotti informatici la ISO/IEC 15408
Sicurezza cibernetica, privacy,
offrire in Italia, ma anche nella
In un contesto in cui neanche i
sicurezza dei dati e delle
gran parte dei Paesi

più qualificati esperti sono in
informazioni, di cosa parliamo?
industrializzati, con una
grado di mettersi d’accordo su
Fino agli anni ‘90 si parlava di
conseguente diffusa
cosa significhi esattamente la
sicurezza informatica per lo più in
improvvisazione costruita più
parola “cybersecurity”, da cui
contesti dedicati a pochi intimi e
sulla pratica che sullo studio.
deriva la discutibile locuzione
gli incidenti più evidenti erano
Mentre questo può essere
“sicurezza cibernetica”, né su
soprattutto scherzi goliardici.
accettabile in un momento di
come debba essere scritta (tutto
Oggi il contesto è profondamente
emergenza, lo è molto meno se si

attaccato, con un trattino in
cambiato: i sistemi informatici
protrae nel tempo come sta
mezzo o in due parole separate),
governano le nostre reti elettriche,
succedendo invece dalla fine degli
in cui i governi – quando lo fanno
guidano gli aerei su cui viaggiamo
anni ‘90 ad oggi.
– legiferano in modo compulsivo
tranne in pochi momenti di
In futuro questi trend
e incoerente l’uno dall’altro, in cui
comando manuale, controllano il
aumenteranno inevitabilmente
alcuni eventi come un recente
nostro denaro, permettono
man mano che la componente
ransomware hanno una copertura
delicati interventi medici a
tecnologica aumenterà,
mediatica tale da indurre a
distanza e molto altro.
espandendosi ad ambiti in cui
pensare di essere sull’orlo del
Il numero di esperti in materia
ancora oggi l’intervento dell’uomo
giorno del giudizio e altri, ben più
richiesto dal mercato è di molto
è dominante, quali, per fare un
gravi, passano sotto silenzio,
superiore all’offerta che le poche
esempio sotto gli occhi di tutti, la
rischia di essere sempre più
università specializzate possono
guida dei veicoli.
difficile comunicare esattamente
* Membro direttivo CLUSIT e UNINFO.
** Esperto UNINFO CT 510.
100
cosa vuol dire occuparsi di

evitare di confondere i non
suo processo di produzione
sicurezza delle informazioni, di
addetti ai lavori.
basato sul consenso e per essere
protezione dei dati e della loro
La protezione dei dati personali,
emessa da un ente di normazione
certificazione.
inserendosi nella sfera di quella
che la pubblica come strumento di
Partiamo suddividendo i due
che, sempre negli anni ‘90, veniva
trasferimento tecnologico,
temi principali: la sicurezza delle
più genericamente definita
dall’altro l’adeguamento ad una
informazioni e la protezione dei
“privacy”, rientra in questo
“regola tecnica” è obbligatorio per
dati personali. La sicurezza delle

contesto, ma si carica di ulteriori
legge. La “regola tecnica” nasce da
informazioni è universalmente
significati. Non a caso anche il
un processo basato sul concetto di
definita e riconosciuta come
nuovo Regolamento Europeo in
rappresentanza, è uno strumento
qualcosa che va oltre la semplice
materia non contiene più la parola
di regolamentazione del mercato
sicurezza informatica, ampliando
“privacy” e prevede un’esplicita
che viene pubblicato da un
il suo campo di intervento dai soli
commistione tra sicurezza e
organismo governativo in
sistemi IT a tutti i processi che
protezione dei dati personali,
Gazzetta Ufficiale o in altro atto
prevedono un qualsiasi tipo di

coniugando aspetti tecnologici e
legislativo. Le norme di legge o
trattamento delle informazioni,
organizzativi a quelli più
giuridiche sono invece regole
anche in formato non digitale,
squisitamente legali.
emanate dallo Stato che talvolta
valutandone principalmente le
includono “regole tecniche” o
proprietà di riservatezza, integrità
Cos’è una certificazione
rimandano a specifiche tecniche.
e disponibilità. Vi rientrano quindi
e perché serve
Se norme e normazione dettano
tutte le attività per la protezione
Quando si parla di norme o
e producono delle regole, la
delle informazioni su supporto
standard, capita spesso di sentir

certificazione è invece una
cartaceo, analogico o anche non
confondere la normazione che
procedura condotta da un ente
persistenti, in un quadro più
regola un determinato processo
terzo (certificazione di terza
allargato in cui il bene da tutelare
aziendale o prodotto, con la sua
parte), indipendente e
non è il sistema informativo ma il
certificazione. Norma (standard),
specificatamente designato e
dato in esso contenuto o da esso
normazione e certificazione non
accreditato, che attesta il rispetto
elaborato. Quando si è iniziato a
sono sinonimi e indicano cose ben
effettivo, oggettivo e
parlare di cybersecurity si è più
distinte.
documentato, di un prodotto, di
che altro trovato un modo più
Mentre una norma definisce i
un processo o di un servizio ai
“alla moda” di chiamare la
requisiti da rispettare nella
requisiti di una norma di
sicurezza informatica (IT security
realizzazione di un prodotto, di
riferimento.
o computer security in inglese),
un processo o di un servizio,
In questo senso la certificazione
per ricomprendere anche gli
secondo lo stato dell’arte di
serve a fornire un’assicurazione
oggetti tecnologici ma non
settore, con il termine
diretta della rispondenza di un
strettamente informatici che
“normazione” si indica il processo

prodotto, processo o servizio ad
stanno sempre più entrando nelle
condotto da un ente riconosciuto
un insieme di requisiti applicabili.
nostre vite di tutti i giorni, dagli
a tal fine detto di “normazione”
Con questa prospettiva,
smartphone all’Internet of Things
(in Italia UNI in generale e
un’azienda può pensare di
(IoT) solo per citare gli esempi più
UNINFO per la parte ICT), teso
conseguire una certificazione per
noti così come anche i sistemi
alla produzione di una norma o
dare una garanzia, spendibile sul
informatici industriali. La
“specifica tecnica” (secondo il
mercato, della sua capacità di
Regolamento europeo UE 1025 del

strutturarsi e gestire sia le proprie
rimane tuttavia un elemento di
25/10/2012), alla quale non è
risorse, sia i propri processi e
più ampio respiro. Ovviamente
obbligatorio conformarsi. Il
prodotti. In genere queste
quanto scritto si riferisce al punto
termine “specifica tecnica” non è
certificazioni aziendali possono
di vista degli autori dato che,
da confondere con il termine
riguardare i sistemi di gestione
soprattutto in campo governativo,
“regola tecnica” che si basa su
per la qualità (ISO 9001), per
la cybersecurity ha una sua
concetti differenti. Se da un lato
l'ambiente (ISO 14001), per la
precisa ragione d’essere, ma non
una norma, è caratterizzabile per

tratteremo l’argomento per
la sua adozione volontaria, per il
(ISO/IEC 27001), di fiducia delle
101
funzioni di sicurezza di un
organismi di certificazione di
impostare, attuare, utilizzare,
prodotto o sistema (ISO/IEC
prodotti, di sistemi di gestione,
monitorare, mantenere e
15408, comunemente detta
del personale, di ispezione e per i
migliorare un SGSI (Sistema di
“Common Criteria”), per la
laboratori di prova e taratura.
Gestione della Sicurezza delle
sicurezza alimentare (ISO 22000)
Vale la pena ricordare che
Informazioni o ISMS dall’inglese

e molti altri.
esistono diverse tipologie di audit:
Information Security Management
Anche le competenze delle
esistono audit di prima, seconda e
System), e, in estrema sintesi,
persone possono essere
terza parte che producono
definisce i requisiti per un
certificate, dando quindi garanzia
risultati differenti anche dal punto
processo che porti alla selezione
che determinate figure
di vista legale. Questi tre diversi
di controlli di sicurezza adeguati.
professionali siano in possesso
audit possono essere messi in
La norma ISO/IEC 27001 è
della necessaria competenza,
relazione con altrettanti distinti
applicabile a tutte le tipologie di

intesa come somma di
livelli di maturità ed efficacia
organizzazioni, pubbliche e
conoscenze elementari e delle
probatoria del risultato della
private, a prescindere dal loro
abilità richieste per i compiti
valutazione che producono.
specifico settore di appartenenza:
assegnati.
L’audit di prima parte produce
finanza, assicurazioni,
Quanto il possesso di una
sostanzialmente una
telecomunicazioni, trasporti e
certificazione, aziendale o
dichiarazione della conformità del
molti altri che, pur molto diversi
personale, sia realmente credibile
prodotto, processo o servizio, che
tra loro, possono ugualmente

e dia valore aggiunto, dipende in
può anche essere rilasciata da chi
beneficiare di un SGSI conforme
primo luogo dall’organizzazione
ha realizzato l’oggetto di
alla ISO/IEC 27001.
che emette la certificazione e che
valutazione. Un audit di seconda
In ogni organizzazione
mantiene la supervisione degli
parte è richiesto, ad esempio, da
l’informazione aggiunge valore.
organismi di valutazione, ovvero
chi ha un interesse diretto verso
Ormai la pressoché totalità delle
di chi, operativamente, svolge sul
l'oggetto della valutazione e può
informazioni sono custodite e
richiedente la certificazione un
essere eseguito anche da
transitano da supporti informatici,

insieme diversificato di
un’azienda non accreditata. È il
ed ogni organizzazione è
valutazioni. Organismi di
caso, ad esempio, di un cliente che
chiamata a garantire la sicurezza
certificazione e di valutazione
intende verificare la rispondenza
dei propri dati e di quelli che
devono essere a loro volta
del prodotto o servizio del proprio
tratta, in un contesto dove le
“accreditati” presso un ente di
fornitore alle specifiche richieste
minacce e gli scenari di rischio a
accreditamento, ovvero presso
oppure ad una norma specifica.
cui occorre saper rispondere sono
chi, autorizzato dallo Stato, può
Solo con un audit di terza parte si
in continua evoluzione. Uno degli

svolgere l’attività che consiste nell’
può raggiungere una
obiettivi della ISO/IEC 27001 è
attestare il possesso delle
certificazione, la quale
proprio quello di definire i
competenze per valutare la
rappresenta il livello massimo di
requisiti minimi di protezione
conformità di prodotti, processi e
garanzia del rispetto di una
delle informazioni (aziendali) da
servizi alle norme applicabili. In
norma specifica: può essere
minacce di ogni tipo, al fine di
Italia l'ente di accreditamento
richiesta, ad esempio, in bandi di
preservarne l'integrità, la
nazionale è Accredia 1 .
gara pubblici, per fornire
riservatezza e la disponibilità.
La definizione dei criteri in base
adeguate garanzie della bontà dei
Queste tre proprietà concorrono,
ai quali è condotto il processo di
propri prodotti, processi e servizi.
assieme ad altre, a definire quella
accreditamento è armonizzato a
che la ISO/IEC 27000, norma
livello mondiale tramite la serie di
La norma internazionale
“glossario” complementare,
norme ISO/IEC 17000 che
di riferimento per la sicurezza
identifica come “Information
rappresentano il quadro
delle informazioni: ISO/IEC 27001
Security”.
normativo di riferimento per gli
La norma internazionale ISO/IEC
Nel corso degli anni le aziende
enti di accreditamento, per gli

27001 definisce i requisiti per
hanno fatto maggior ricorso alla
1 . http://www.accredia.it.
102
FIGURA 17.1 – IL TREND DELLE CERTIFICAZIONI ISO/IEC 27001
certificazione ISO/IEC 27001,
specifico ai prodotti IT attraverso
richiesto per la valutazione del
probabilmente anche per
la quale è possibile specificare i
prodotto IT. Nella ISO/IEC 15408
affermare un loro valore distintivo
requisiti funzionali e di garanzia

questi livelli di garanzia (detti EAL
rispetto alla massa. Nella figura
che questi devono rispettare. La
– Evaluation Assurance Level)
17.1 è riportato il trend delle
ISO/IEC 15408 “Evaluation
definiscono una scala crescente di
organizzazioni certificate ISO/IEC
criteria for IT security”, nota
sette valori, ognuno
27001 in Italia registrato da
anche come “Common Criteria” è
corrispondente ad un pacchetto di
Accredia dal 2006 ad oggi.
una norma che definisce i principi
requisiti di sicurezza e alla
Come anticipato in precedenza,
ed i concetti generali di sicurezza
profondità ed al rigore della
la certificazione ISO/IEC 27001 è
IT specificando anche un modello

valutazione. Questo non implica
applicabile a diversi settori: la
generale attraverso il quale
necessariamente che ad un EAL
figura 17.2 mostra la distribuzione
valutare le proprietà di un
più alto corrisponda un livello di
delle organizzazioni certificate
prodotto o sistema IT.
sicurezza maggiore, ma solo che il
presenti in ogni settore in Italia.
Le valutazioni condotte tramite
prodotto o il servizio è stato
questa norma si basano su due
verificato in modo più estensivo, e
La norma internazionale
elementi fondamentali che
pertanto, il livello di fiducia che è
di riferimento per la sicurezza
rispettivamente specificano in
lecito riporre nel prodotto o

dei prodotti informatici:
modo rigoroso i requisiti (i
sistema. Una certificazione
ISO/IEC 15408
“Protection Profile”) e
ISO/IEC 15408 garantisce che il
Fino ad ora abbiamo parlato di
documentano come gli stessi sono
prodotto o il servizio certificato ha
norme e certificazioni applicabili a
stati soddisfatti
subito un processo di specifica,
prodotti, processi e servizi.
nell’implementazione del prodotto
sviluppo e valutazione, in modo
Abbiamo visto come la ISO/IEC
(i “Security Target”). Il livello di
rigoroso e standard.
27001 sia utilizzabile per definire
dettaglio di questi documenti,
In Italia l’ente per la

un SGSI a protezione delle
oltre all’insieme delle prove a
certificazione della sicurezza
informazioni aziendali. Esiste una
supporto di questa
informatica è l’OCSI (Organismo
norma, ed anche una
documentazione, aumenta al
di Certificazione della Sicurezza
certificazione, applicabile in modo
crescere del livello di garanzia
Informatica 2 ), il quale gestisce lo

103
schema nazionale per la
emessi, ISO/IEC dichiara a inizio
Le certificazioni citate nei
valutazione e la certificazione
2016 la presenza di 27.536
precedenti paragrafi sono nate per
della sicurezza dei prodotti e dei
certificati attivi rispetto a ISO/IEC
dare evidenza della sicurezza dei
sistemi nel campo della tecnologia

27001 nel mondo e bisogna
prodotti e servizi IT sviluppati e
dell’informazione. In una
considerare che un singolo
dare evidenza ai propri clienti e
graduatoria di 17 nazioni che
prodotto spesso viene certificato
partner dell’impegno profuso nel
adottano uno schema di
per diverse versioni del suo
creare e commercializzare
valutazione ISO/IEC 15408, l’Italia
software.
prodotti o servizi di cui avere
risulta al 14° posto con 23 prodotti
È da notare come la maggior
fiducia. Uno dei problemi
certificati, mentre la Germania è
parte dei prodotti certificati
principali della sicurezza delle
al primo posto con 636 prodotti

riguardano le smart card, le reti di
informazioni è quello di essere
certificati, la Francia è seconda
computer ed i sistemi ed apparati
una caratteristica non facilmente
con 624 e terzo il Canada con 153
ad essi collegati, seguiti dai
valutabile prima dell’acquisto se
prodotti. Se guardiamo a livello
dispositivi di autenticazione a più
non da soggetti particolarmente
mondiale il trend di crescita delle
fattori, dai sistemi operativi per
esperti che dovrebbero dedicare
certificazioni ISO/IEC 15408,
computer e dai prodotti di firma
un tempo significativo per la sua
rappresentato in figura 17.3,
digitale. A chiudere la lista dei
verifica, entrando in dettagli
notiamo a partire dal 2006 un

prodotti attualmente in possesso
potenzialmente molto interessanti
decisivo e costante aumento nel
di una certificazione ISO/IEC
per i concorrenti del fornitore e
numero dei prodotti certificati: si
15408, vi sono i sistemi ed i
che, pertanto, non sarebbero
passa infatti da 34 certificati
dispositivi biometrici: proprio
praticamente mai forniti. Le
emessi dal 1999 al 2006 a 318
quelli che rappresentano uno dei
certificazioni mirano appunto ad
certificati emessi nel solo 2007
più promettenti meccanismi di
alleviare questa difficoltà,
fino ad arrivare a 2.182 prodotti
autenticazione.
fornendo in un tempo limitato e
certificati alla data odierna. Per

in un linguaggio semplice una
fare un paragone allo stesso
Impatti economici
“garanzia” positiva rispetto a un
livello sulla quantità di certificati
di uno schema di certificazione
tema così complesso che tuteli sia
2 . http://www.ocsi.isticom.it.
104
FIGURA 17.3 – IL TREND DELLE CERTIFICAZIONI ISO/IEC 15408
l’offerente sia l’acquirente.
dei tempi più significativi
Naturalmente il rischio è che,

Come già citato in precedenza,
necessari, alla ISO/IEC 15408, sia
allargando in modo rapido e
una norma giuridica può
a livello nazionale sia in particolar
improvviso le basi di una
richiamare una norma tecnica
modo a livello internazionale. La
certificazione volontaria
come riferimento per delle regole
tendenza principale è richiedere la
rendendola obbligatoria, si porti il
tecniche o anche, in caso di
certificazione oppure offrire la
mercato verso un’adozione più
certificazione, come elemento
semplificazione di obblighi in
formale che sostanziale della
esimente o alternativo al rispetto
carico alle imprese certificate in
norma tecnica. Adottando invece

di parte di esse. Questo approccio
ambiti dove la sicurezza delle
un approccio più graduale o
facilita sia l’estensore della norma
informazioni è particolarmente
basato su incentivi per i soggetti
giuridica sia il mercato, in quanto
rilevante, come ad esempio il
certificati si possono ottenere
il primo non deve elaborare degli
settore bancario, quello sanitario,
benefici che vanno al di là del
schemi tecnici di dettaglio con
quello energetico o quello dei
semplice ambito regolato,
l’annessa necessità di ingaggiare
trasporti. L’ambito della tutela
aiutando le aziende a maturare
comitati di esperti ed effettuare
delle informazioni classificate (e.g.
una sensibilità maggiore su questi

studi specifici (dal risultato non
NATO) e bancario sono quelli che
temi e rendendo più forte l’intero
certo garantito in termini di
si concentrano di più sulla
tessuto economico di un settore o
qualità) e il secondo può già
certificazione dei prodotti.
di un Paese rispetto alle sempre
usufruire di schemi, prodotti e
In Germania, per fare qualche
più crescenti minacce alla
competenze diffuse.
esempio, gli operatori del settore
sicurezza delle informazioni sia
Considerati i vantaggi in
energetico dovranno certificarsi
da parte della criminalità
termini di costi e di efficacia
secondo la ISO/IEC 27001 entro la
organizzata sia da parte dello

dell’uso di norme tecniche
fine di gennaio 2018; gli organismi
spionaggio industriale e
all’interno di norme giuridiche,
pagatori di cui al Regolamento UE
dell’attenzione di intelligence
questo approccio si sta
907/2014 devono certificarsi anche
straniere.
gradualmente estendendo nel
loro rispetto alla norma ma già dal
settore della sicurezza delle
2016 e diversi operatori di settori
Sviluppi futuri,
informazioni con numerosi
specifici in Svezia devono
cosa bolle in pentola in Europa?
richiami alla ISO/IEC 27001 e, in
certificarsi secondo la ISO/IEC
Il futuro in materia di sicurezza
minor misura a causa dei costi e

27001.
delle informazioni appare in
105
questo momento più ricco di
una finalizzata alla certificazione
hanno definito o stanno
iniziative che mai.
di processi o servizi e l’altra alla
definendo uno schema articolato
Dall’Europa arrivano il nuovo
certificazione di prodotti. Questo
su misure di sicurezza informatica
Regolamento UE 2016/679 (detto
dualismo è già stato
da applicare a diversi soggetti di
anche “GDPR”) in materia di
contestualizzato in precedenza
particolare importanza per gli
protezione dei dati personali e la
mettendo a fianco le ISO/IEC

interessi strategici di uno Stato.
Direttiva UE 2017/1148 (detta
27001 e 15408 e attualmente è in
Mentre gli USA si sono affidati al
“NIS”) per la sicurezza delle reti e
forte discussione in ambito
NIST, ente dotato di forti
dei sistemi informativi. Anche per
europeo, contestualmente alla
competenze in materia e coinvolto
le sue caratteristiche di entrata in
nascente entità di un comitato
nell’ambito della normazione,
vigore immediata in tutti i Paesi
CEN (l’ente di normazione
l’Italia non si è affidata agli enti di
dell’Unione, il GDPR sarà l’oggetto
europeo) in materia di sicurezza
normazione, prediligendo
più impattante, portando al suo
delle informazioni e protezione

un’iniziativa che ha coinvolto un
interno un interessante Articolo
dei dati personali che finora,
numero ristretto di soggetti e che
42 dedicato alle certificazioni,
inspiegabilmente, mancava.
ha confezionato una copia
considerate come elemento
Naturalmente la cosa migliore
purtroppo non migliorativa del
funzionale a dimostrare il rispetto
sarebbe sintetizzare gli approcci
lavoro americano. In Paesi dove
degli obblighi o la conformità ai
in uno solo ma non è affatto
questo tipo di lavoro è stato
requisiti del Regolamento. Il fatto
banale. A complicare questo
correttamente affidato agli enti di
che nel GDPR non sia citato uno
ragionamento si potrebbe anche

normazione, si sta già discutendo
schema di certificazione specifico
aggiungere a ragion veduta il
della possibilità di applicare
ha dato il via ad una serie di
tema delle certificazioni
logiche di certificazione di
iniziative private, nazionali o
professionali. Avere infatti a
mercato per facilitare l’adozione e
internazionali, per definirlo e in
disposizione un eccellente
l’implementazione di questi
Italia vi sono già numerose
prodotto o servizio e collocarlo in
schemi che saranno in futuro
proposte in materia, delle quali
un ambiente controllato ma
regolati anche a livello
tuttavia vale la pena sottolineare
affidarlo a chi non è in possesso

internazionale.
che nessuna ha attualmente alcun
di competenze adeguate potrà
In questo contesto,
valore legale in quanto le autorità
comunque rischiare di produrre
considerando che il tema della
competenti (i Garanti dei Paesi
un risultato poco soddisfacente.
sicurezza delle informazioni sarà
UE) non hanno ancora definito i
Questo aspetto richiederebbe
sempre più spesso portato
requisiti aggiuntivi previsti dal
tuttavia un’ampia trattazione a sé
all’attenzione dei vertici delle
Regolamento stesso,
stante per ricomprendere le
organizzazioni (si veda il peso del
indispensabili per l’applicazione
principali iniziative, nazionali e

tema nella recente acquisizione di
dell’articolo 42. Degna di nota in
internazionali, in essere.
Yahoo!), le certificazioni saranno
tal senso è l’iniziativa del già
Altre iniziative europee rivolte
sempre più importanti come
citato comitato ISO/IEC JTC 1 SC
al difficile ambito delle PMI
oggetto di garanzia. Questo
27, che sta definendo uno schema
stanno prendendo forma, ma un
mercato, oggi in una fase ancora
di certificazione “specifico” della
tema di forte interesse, collegato
acerba, crescerà
famiglia 27000 a tal fine. Sarà
anche alla Direttiva NIS, è quello
significativamente nei prossimi
interessante vedere se e come si
legato ai cybersecurity
anni. Come tale crescita avverrà è,
affermeranno le due “linee di
frameworks. Molti Paesi,
almeno in parte, ancora nelle
pensiero” attualmente presenti,
seguendo l’approccio degli USA,
nostre mani. •
106
ELXX
IL GRUPPO DI LAVORO
Il team dell’Osservatorio Information Security & Privacy
Mariano Corso – Co-

fondatore Osservatori Digital Innovation e Responsabile Scientifico Osservatorio-
Gabriele Faggioli –
Responsabile Scientifico Osservatorio Information Security & Privacy e Presidente CLUSIT
Alessandro Piva – Direttore Osservatorio Information Security & Privacy
Giorgia Dragoni –
Ricercatrice Senior Osservatorio Information Security & Privacy
Luca Dozio – Ricercatore Osservatorio Information Security & Privacy
Andrea Antonielli – Ricercatore Osservatorio Information Security & Privacy
Guglielmo Troiano –
Senior Advisor Osservatorio Information Security & Privacy
Si ringraziano inoltre:
Cefriel
Raoul Brenna – Responsabile della Practice Information Security, Cefriel
Roberto Puricelli – Senior Information Security Specialist, Cefriel
DEIB
Stefano Zanero – Professore Associato Politecnico di Milano
CLUSIT ed esperti di dominio
Sergio Fumagalli –
Membro direttivo CLUSIT e coordinamento Europrivacy.info
Fabio Guasconi – Membro direttivo CLUSIT e UNINFO
Luciano Quartarone – Esperto UNINFO CT 510
Osservatori Digital Innovation
Angela Tumino – Direttore Osservatorio Internet of Things
Giulio Salvadori – Ricercatore Senior Osservatorio Internet of Things
Giorgia De Bernardi – Ricercatrice Osservatorio Internet of Things
Ilaria Guindani –
Ricercatrice Osservatorio Big Data Analytics & Business Intelligence
Marina Natalucci – Ricercatrice Osservatorio Cloud & ICT as a Service
Le aziende che hanno contribuito alla realizzazione dei casi di studio
Andrea Chittaro – Head of Security, Snam
Alessandro Cosenza – Chief Information Security Officer, BTicino

Massimo Cottafavi –
Information Security & Business Continuity Manager, Snam
Piergiorgio Grossi –
Chief Information & Digital Transformation Officer, Ducati Motor Holding
Salvatore Mafodda –
CFE (Certified Fraud Examiner) ed Amministratore, Lending Solution
Sergio Mattioli –
Information Security and Data privacy Director, Gruppo Bosch Italia
Giuseppe Morimondi – Head of IT Infrastructure & IT Security, Bayer
Stefano Pastori –
Information Security & Data Privacy Specialist / Risk & Compliance, IKEA Italia Retail
Raffaele Regni – Responsabile Cyber Security, Infracom Italia
Riccardo Roncon – Responsabile Sicurezza IT, Gruppo ITAS Assicurazioni
Corrado Salvemini –
Responsabile della Sicurezza delle Informazioni, Carrefour Italia
Giampaolo Tacchini – CISO ed ICT service Manager, Edison
Ileana Vanzini – Information Security Expert, Bayer
Maria Gaia Vinciguerra Frezza –

Data Protection, Security & Compliance Manager, Europcar
Le aziende che sostengono la Ricerca dell’Osservatorio Information Security & Privacy:
Accenture AlmavivA Marsh & McLennan Nest2 Poste Italiane Spike Reply -
Symantec Tesisquare
BT Fastweb Grant Thornton Financial Advisory Services Horizon Security -

Sinergy
BDO Italia Generali Italia XL Catlin
Per entrare in contatto con l’Osservatorio potete scrivere a: Alessandro Piva: alessandro.piva@
Giorgia Dragoni: giorgia.dragoni@polimi.it
Document Outline
InstantEdicola ... 23/06/2017
LAVORO
3 - sommario
4 - sommario
5 - prefazione
6 - prefazione
7 - introduzione
8 - introduzione
9 - capitolo3
10 - capitolo3
11 - capitolo3
12 - capitolo3
13 - capitolo3
14 - capitolo4
15 - capitolo4
16 - capitolo4
17 - capitolo4
18 - capitolo5
19 - capitolo5
20 - capitolo5
21 - capitolo5
22 - capitolo5
23 - capitolo5
24 - capitolo5
25 - capitolo5
26 - capitolo6
27 - capitolo6
28 - capitolo6
29 - capitolo6
30 - capitolo6
31 - capitolo6
32 - capitolo6
33 - capitolo6
34 - capitolo6
35 - capitolo7
36 - capitolo7
37 - capitolo7
38 - capitolo7
39 - capitolo7
40 - capitolo7
41 - capitolo7
42 - capitolo8
43 - capitolo8
44 - capitolo8
45 - capitolo8
46 - capitolo8
47 - capitolo8
48 - capitolo8
49 - capitolo9
50 - capitolo9
51 - capitolo9
52 - capitolo9
53 - capitolo10
54 - capitolo10
55 - capitolo10
56 - capitolo10
57 - capitolo10
58 - capitolo11
59 - capitolo11
60 - capitolo11
61 - capitolo11
62 - capitolo11
63 - capitolo11
64 - capitolo11
65 - capitolo11
66 - capitolo11
67 - capitolo12
68 - capitolo12
69 - capitolo12
70 - capitolo13
71 - capitolo13
72 - capitolo13
73 - capitolo13
74 - capitolo13
75 - capitolo13
76 - capitolo14
77 - capitolo14
78 - capitolo15
79 - capitolo15
80 - capitolo15
81 - capitolo16
82 - capitolo16
83 - capitolo16
84 - capitolo16
85 - capitolo16
86 - capitolo17
87 - capitolo17
88 - capitolo17
89 - capitolo17
90 - capitolo17
91 - capitolo17
92 - capitolo17
93 - capitolo17
94 - capitolo18
95 - capitolo18
96 - capitolo18
97 - capitolo18
98 - capitolo18
99 - capitolo19
100 - capitolo19
101 - capitolo19
102 - capitolo19
103 - capitolo19
104 - capitolo19
105 - capitolo19
106 - gruppo_lavoro

20170623-Instant - Edicola - Dinfla00

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

20170623-Instant - Edicola - Dinfla00

Caricato da

Copyright:

Formati disponibili

1708_INFORMATION

SECURITY & PRIVACY.pdf 1 14/06/2017

IL SOLE 24 ORE | Giugno 2017 | Numero 3

La difesa del dato,

per il Cloud Computing

caso 4 CARREFOUR ITALIA

caso 9 LENDING SOLUTION

del "fattore umano",

La guida per un corretto

10. La Mobile Security,

della gestione dell'information

11. La Security e l'Internet

PARTE I LO STATO ATTUALE

security & privacy

1. I trend per il 2017, le sfide

caso 6 IKEA ITALIA RETAIL

della sicurezza informatica

nelle piccole e medie imprese

di gestire l'information security

della fabbrica connessa

caso 1 DUCATI MOTOR HOLDING

del rischio cyber,

8. I Big Data e la Cyber

caso 2 GRUPPO ITAS

Intelligence: raccolta e utilizzo

INFORMATION SECURITY & PRIVACY |

PARTE III IL QUADRO

15. General Data Protection

16. Protezione dei dati

Regulation (GDPR), la roadmap

personali e PMI verso gli anni ‘20

14. Le novità introdotte

dal General Data Protection

caso 12 GRUPPO BOSCH ITALIA

e la protezione dei dati

Company di cui è socio e amministratore).

INFORMATION SECURITY & PRIVACY

La difesa del dato,

Cofondatore Osservatori Digital

Innovation e Responsabile Scientifico

Security & Privacy, Politecnico di Milano

Il digitale sta cambiando la nostra vita, i nostri stili di

comunicazione e consumo, trasformando, spesso in modo radicale,

sempre più settori della nostra economia. Nuove opportunità e

consapevolezza, che nasce dal

nuove sfide di cui, finalmente anche in Italia, sta crescendo la

dibattito mediatico che si è creato

consapevolezza da parte di imprese, Pubbliche Amministrazioni, Policy

in seguito ai continui episodi di

attacchi informatici e dalla

Osservatori Digital Innovation della School of Management del

Politecnico di Milano cercano di rispondere alla necessità di creare e

diffondere cultura, strumenti decisionali e modelli di riferimento, per

sulla nostra vita quotidiana, sulle

accompagnare il Paese a una piena comprensione e valorizzazione delle

prestazioni delle aziende e

opportunità della rivoluzione digitale.

persino sulle elezioni politiche e

gli equilibri internazionali.

Security & Privacy, promosso dalla School of Management del

Politecnico di Milano, in collaborazione con CEFRIEL, il Dipartimento

di Elettronica Informazione e Bioingegneria (DEIB) e con il patrocinio

di CLUSIT (Associazione Italiana per la Sicurezza Informatica).