Sei sulla pagina 1di 488

1708_INFORMATION

SECURITY & PRIVACY.pdf 1 14/06/2017


16:28:04

CM

MY

CY

CMY

IL SOLE 24 ORE | Giugno 2017 | Numero 3


3

Sommario

PREFAZIONE

4. Il fattore umano,

e Ilaria Guindani

importanza e gestione

» PAG 53

Giorgia Dragoni

La difesa del dato,

9. I modelli di sicurezza

asset fondamentale

caso 3 BAYER

per il Cloud Computing

delle organizzazioni

caso 4 CARREFOUR ITALIA

Luca Dozio

Mariano Corso

caso 5 EDISON

e Marina Natalucci

» PAG 5

» PAG 26
caso 8 INFRACOM

5. Il ruolo

caso 9 LENDING SOLUTION

INTRODUZIONE

del "fattore umano",

» PAG 58

un rischio percepito

La guida per un corretto

ma spesso sottovalutato

10. La Mobile Security,

approccio all'information

Raoul Brenna

rilevanza e modelli

security

e Roberto Puricelli

comportamentali

Gabriele Faggioli

» PAG 35

Luca Dozio

» PAG 7

» PAG 67
6. Le competenze e i ruoli

della gestione dell'information

11. La Security e l'Internet

PARTE I LO STATO ATTUALE

security & privacy

of Things (IoT),

E LE LEVE DI PROGETTAZIONE

Alessandro Piva

competenze e processi

Luca Dozio,

1. I trend per il 2017, le sfide

caso 6 IKEA ITALIA RETAIL

Angela Tumino,

della sicurezza informatica

caso 7 SNAM

Giulio Salvadori

Alessandro Piva

» PAG 42

Giorgia De Bernardi

» PAG 9

7. L'information security
caso 10 BTICINO

2. La rilevanza

nelle piccole e medie imprese

» PAG 70

di gestire l'information security

Luca Dozio

Alessandro Piva

» PAG 49

12. Le opportunità

» PAG 14

e i rischi

3. Lo stato attuale

della fabbrica connessa

dell'information security

Parte II L'INNOVAZIONE

Stefano Zanero

Andrea Antonielli

DIGITALE E LE IMPLICAZIONI

» PAG 76

e Giorgia Dragoni

SULLA SECURITY
13. L'assicurazione

caso 1 DUCATI MOTOR HOLDING

del rischio cyber,

8. I Big Data e la Cyber

caso 2 GRUPPO ITAS

scenari e mercato

Intelligence: raccolta e utilizzo

ASSICURAZIONI

Alessandro Piva

Giorgia Dragoni

» PAG 18

» PAG 78

INFORMATION SECURITY & PRIVACY |

PARTE III IL QUADRO

15. General Data Protection

16. Protezione dei dati

NORMATIVO DI RIFERIMENTO

Regulation (GDPR), la roadmap

personali e PMI verso gli anni ‘20

E I PERCORSI DI CERTIFICAZIONE
di adeguamento

Sergio Fumagalli

Gabriele Faggioli

» PAG 94

14. Le novità introdotte

» PAG 86

dal General Data Protection

17. Le certificazioni

Regulation (GDPR)

caso 11 EUROPCAR

per la sicurezza

Gabriele Faggioli

caso 12 GRUPPO BOSCH ITALIA

e la protezione dei dati

e Guglielmo Troiano

Fabio Guasconi

» PAG 81

e Luciano Quartarone

» PAG 99

ELXX

GLI AUTORI
Mariano Corso è Professore Ordinario di “Leadership and Innovation” al Politecnico di Mila
fondatore degli “Osservatori Digital Innovation” del Politecnico di Milano e responsabile di n
in Sanità”, “Agenda Digitale”, “Smart Working”, “HR Innovation Practice” e “Information Se
fondatore e direttore scientifico di P4I -
Partners for Innovation società di Advisory del gruppo Digital 360. È autore o coautore di num

Gabriele Faggioli, legale, è Presidente del Clusit (Associazione Italiana per la Sicurezza Infor
Politecnico di Milano. È

stato membro del Gruppo di Esperti sui contratti di cloud computing della Commissione Euro
cloud computing” (Franco Angeli), “I contratti per l’acquisto di servizi informatici

Company di cui è socio e amministratore).

Alessandro Piva si occupa da oltre dieci anni di ricerca sui temi dell’innovazione digitale. Do
Milano, quali l’Osservatorio Information Security & Privacy, l’Osservatorio Cloud & ICT as a
Analytics & Business Intelligence, l’Osservatorio Enterprise Application Governance e l’Osse

INFORMATION SECURITY & PRIVACY

PREFAZIONE

La difesa del dato,

Mariano Corso

Cofondatore Osservatori Digital

asset fondamentale

Innovation e Responsabile Scientifico

Osservatorio Information

delle organizzazioni

Security & Privacy, Politecnico di Milano

ABSTRACT
Oggi vi è una nuova

Il digitale sta cambiando la nostra vita, i nostri stili di

comunicazione e consumo, trasformando, spesso in modo radicale,

sempre più settori della nostra economia. Nuove opportunità e

consapevolezza, che nasce dal

nuove sfide di cui, finalmente anche in Italia, sta crescendo la

dibattito mediatico che si è creato

consapevolezza da parte di imprese, Pubbliche Amministrazioni, Policy

in seguito ai continui episodi di

Makers e degli stessi cittadini. Sin dalla loro fondazione nel 1999, gli

attacchi informatici e dalla

Osservatori Digital Innovation della School of Management del

possibilità dell’influenza di

Politecnico di Milano cercano di rispondere alla necessità di creare e

operazioni di cyberspionaggio

diffondere cultura, strumenti decisionali e modelli di riferimento, per

sulla nostra vita quotidiana, sulle

accompagnare il Paese a una piena comprensione e valorizzazione delle

prestazioni delle aziende e

opportunità della rivoluzione digitale.

persino sulle elezioni politiche e


In questo contesto si colloca l’attività dell’Osservatorio Information

gli equilibri internazionali.

Security & Privacy, promosso dalla School of Management del

Politecnico di Milano, in collaborazione con CEFRIEL, il Dipartimento

di Elettronica Informazione e Bioingegneria (DEIB) e con il patrocinio

di CLUSIT (Associazione Italiana per la Sicurezza Informatica).

L’Osservatorio si pone l’obiettivo di interpretare quali sono le

tecnologie, i modelli organizzativi, le competenze e le regole per

garantire insieme l’innovazione e la protezione degli asset informativi

aziendali. La trasformazione digitale, guidata dai trend emergenti come

i Big Data, il Cloud, l’Internet of Things, il Mobile e la diffusione dei

Social, permette oggi infatti di poter ridisegnare i processi aziendali ed

innovare servizi e prodotti con un ritmo impensabile solo qualche anno

fa, ma al tempo stesso amplia notevolmente la “superficie di attacco” a

cui è esposta l’organizzazione. Il concetto di difesa del perimetro

aziendale è oggi sorpassato, l’attenzione si sposta verso la difesa del

dato, asset fondamentale delle organizzazioni.

Come sempre, l’adozione matura di nuove tecnologie digitali richiede

la consapevolezza organizzativa e la sensibilità del Management. Per

molti anni, tuttavia, il tema dell’information security è rimasto un

ambito ad appannaggio di una ristretta community di addetti ai lavori,


impegnata nel difficile compito di comunicare al vertice aziendale e ai

colleghi l’importanza e le implicazioni di una corretta gestione della

sicurezza.

Oggi vi è una nuova consapevolezza, che nasce dal dibattito

mediatico che si è creato in seguito ai continui episodi di attacchi

informatici e dalla possibilità dell’influenza di operazioni di

cyberspionaggio sulla nostra vita quotidiana, sulle prestazioni delle

aziende e persino sulle elezioni politiche e gli equilibri internazionali.

Vi è poi una grossa spinta dal punto di vista normativo, con

INFORMATION SECURITY & PRIVACY |

l’introduzione del nuovo Regolamento europeo sulla protezione dei dati

(GDPR, General Data Protection Regulation), che diventerà applicabile il

prossimo anno e che sta scuotendo il mercato, con ingenti investimenti

in tecnologia e riprogettazione dei processi.

Senza una visione strategica e proattiva del fenomeno la sicurezza

informatica rischia di essere un enorme limite allo sviluppo, il vero

“tallone di Achille” del nostro modello economico e sociale. Viceversa,

proprio grazie a questa crescente attenzione e consapevolezza, vi è la

possibilità di avviare un nuovo corso per l’information security, con

l’opportunità di un ridisegno del ruolo stesso della gestione della


sicurezza, della creazione di nuove professionalità e dello sviluppo di

nuove competenze.

Con un’attenzione specifica al nostro Paese, ma sempre mantenendo

stretta integrazione con lo sviluppo di fenomeni ormai globali,

l’Osservatorio intende fornire una fotografia continuamente aggiornata

dello stato attuale e delineare le principali sfide e priorità di azione, con

riferimento specifico alle implicazioni per le realtà che operano in Italia.

La Ricerca si basa su un’analisi sul campo estensiva che, solo

nell’ultimo anno, ha coinvolto oltre 950 Chief Information Officer (CIO),

Chief Information Security Officer (CISO) ed executive IT e di Line di

organizzazioni di tutte le dimensioni. Accanto alla Ricerca empirica,

l’Osservatorio ha inoltre attivato un tavolo di confronto permanente,

dedicato alle grandi aziende operanti in Italia (prime 1000

organizzazioni per fatturato) con l’obiettivo di confrontarsi su approcci

e sfide emergenti e di indirizzare, monitorare e validare i risultati della

Ricerca.

Proprietario ed editore

diretti o indiretti causati da/connessi alle

Il Sole 24 ORE S.p.A.

informazioni contenute nella Guida e/o

all'eventuale utilizzo delle stesse per qualsiasi


Presidente

Sede legale e direzione

finalità.

GIORGIO FOSSA

Via Monte Rosa 91 20149 Milano

Tutti i diritti sono riservati. Nessuna parte di questa

Servizio clienti

Vice Presidente

pubblicazione può essere riprodotta con mezzi

CARLO ROBIGLIO

Tel. 02.30300600

grafici e meccanici quali la fotoriproduzione e la

registrazione. L'Editore e gli Autori non potranno in

servizioclienti.periodici@ilsole24ore.com

Amministratore Delegato

alcun caso essere ritenuti responsabili, a qualsiasi

Questa pubblicazione è stata chiusa in redazione in

FRANCO MOSCETTI

titolo, nei confronti di qualsiasi terzo, per danni

data 7 giugno 2017

INFORMATION SECURITY & PRIVACY


7

INTRODUZIONE

La guida

Gabriele Faggioli

Responsabile Scientifico Osservatorio

per un corretto approccio

Information Security & Privacy,

Politecnico di Milano

all'information security

e Presidente CLUSIT

ABSTRACT

Il tema dell’information security e

Isistemi connessi in rete e la crescita senza sosta del digitale, che permea

ormai ogni momento della nostra vita, rendono il tema della protezione dei

dati personali e della gestione della sicurezza sempre più attuale.

della gestione della privacy è

L’Osservatorio Information Security & Privacy, che si occupa da anni delle

sempre più attuale e non potrà

tematiche relative a questo tema, porta il suo contributo in questa

che esserlo ulteriormente nel

pubblicazione, da un punto di vista privilegiato di osservazione del mercato.


futuro.

Il tema della gestione della sicurezza informatica e della privacy è

Quello che speriamo di aver

intrinsecamente complesso e richiede competenze multidisciplinari per essere

traguardato con questa

affrontato in modo esaustivo. La struttura della pubblicazione prova a

pubblicazione è una collezione di

rispondere ad entrambe le istanze, cercando di introdurre alcuni concetti di

contributi e stimoli che portino ad

base nei primi capitoli, per poi entrare in modo più approfondito e verticale su

una riflessione più approfondita e

specifici aspetti progettuali e normativi. Il contributo si avvale della presenza di

matura sul tema.

svariati esperti del settore, che collaborano con l’Osservatorio per portare la

propria esperienza.

La pubblicazione è suddivisa in tre parti, che toccano rispettivamente i

seguenti argomenti: lo stato attuale e le leve di progettazione, le implicazioni

dell’innovazione digitale sulla security, il quadro normativo e le linee guida di

riferimento. I capitoli sono corredati da numerosi studi di caso relativi ad

aziende utente che hanno voluto condividere le progettualità messe in campo,

permettendo di completare le nozioni con esperienze concrete.


La prima parte, sullo stato attuale e le leve di progettazione, vuole essere

un’introduzione alla tematica della gestione della sicurezza. Vengono dapprima

delineati nel capitolo uno i principali trend che influenzeranno l’evoluzione del

panorama della sicurezza nei prossimi mesi, in accordo con quanto emerso

dalla Ricerca e identificato dai principali player del mercato dell’offerta. Nel

secondo capitolo si introducono i principi di gestione della sicurezza

informatica, interpretando lo stato di maturità delle organizzazioni italiane

nell’approccio strategico al tema. Nel terzo capitolo si fornisce una fotografia

dello stato attuale del mercato italiano, con una panoramica sulle scelte delle

organizzazioni in termini di adozione di soluzioni tecnologiche e definizione di

policy aziendali. Il quarto capitolo è dedicato ad un tema centrale nella gestione

della sicurezza, quello del fattore umano, dal punto di vista delle azioni da

intraprendere per garantire una corretta cultura delle persone nell’utilizzo dei

servizi digitali. Il quinto capitolo approfondisce ulteriormente la tematica

portando, a sostegno di quanto presentato nel capitolo precedente, evidenze sul

tema delle campagne di phishing simulato. Il sesto capitolo tocca il ruolo del

Chief Information Security Officer, le competenze necessarie ed i nuovi profili

professionali per la gestione della sicurezza. Il settimo parla infine dello stato di

attenzione delle piccole-medie imprese italiane, evidenziando elementi di

ritardo e punti di miglioramento.

INFORMATION SECURITY & PRIVACY |


8

La seconda parte si occupa di indagare le implicazioni dell’innovazione

digitale sulla gestione della sicurezza. L’ottavo capitolo analizza le opportunità

derivanti dalla disponibilità di enormi moli di dati, i cosiddetti Big Data, ed il

cambio di approccio nelle modalità di difesa delle aziende. Il nono capitolo

indaga i modelli di sicurezza necessari a gestire il cambiamento di paradigma

introdotto dal Cloud Computing, che negli ultimi anni ha progressivamente

portato all’esternalizzazione di parte dei sistemi informativi aziendali. Il decimo

capitolo si occupa delle vulnerabilità introdotte dall’utilizzo di device mobili e

del cambiamento nei nuovi modelli di lavoro dello smart working.

L’undicesimo capitolo racconta le nuove sfide introdotte dal mondo dei

dispositivi connessi dell’Internet of Things, che stanno cambiando intere filiere

di mercato. Il dodicesimo porta un contributo alla discussione sul tema

dell’Industry 4.0, la fabbrica sempre più connessa e dotata di robot intelligenti,

che richiede una sensibilità crescente nella progettazione di sistemi di sicurezza.

Il tredicesimo indaga il mercato emergente legato all’assicurazione del rischio

cyber, che risponde all’esigenza delle organizzazioni di dotarsi di strumenti di

mitigazione e trasferimento del rischio in un mondo in cui l’innovazione

digitale rende complesso identificare i punti di vulnerabilità aziendale.

La terza parte è dedicata al quadro normativo di riferimento con particolare

attenzione rivolta alla nuova regolamentazione europea in materia di


protezione dei dati (GDPR - General Data Protection Regulation). In particolare,

l’analisi è rivolta alle grandi imprese e alle PMI e alle principali certificazioni che

sarà possibile ottenere. Il capitolo quattordici indaga le principali novità

introdotte dal GDPR e il cambiamento di filosofia orientato alla creazione di un

sistema di governance dei dati personali, rispetto all’approccio normativo di

tipo formalistico del passato. Il quindicesimo capitolo traccia una roadmap di

adeguamento al Regolamento europeo, identificando le singole fasi ed entrando

nel merito dei punti di attenzione e delle implicazioni organizzative e di

processo. Il sedicesimo capitolo rilegge le novità normative dalla prospettiva del

mondo delle piccole e medie imprese, analizzando i meccanismi che possono

garantire la sostenibilità e l’efficacia dello sforzo necessario per l’adeguamento e

la sua applicazione nell’operatività quotidiana. Il capitolo diciassette, infine,

offre una panoramica delle certificazioni per le aziende, delle norme

internazionali di riferimento per la sicurezza dei prodotti informatici, degli

impatti economici di uno schema di certificazione e dei nuovi sviluppi a livello

internazionale.

Il tema dell’information security e della gestione della privacy è sempre più

attuale e non potrà che esserlo ulteriormente nel futuro. Quello che speriamo di

aver traguardato con questa pubblicazione è una collezione di contributi e

stimoli che portino ad una riflessione più approfondita e matura sul tema, che

porti le organizzazioni a poter governare in modo proattivo le sfide che si


presenteranno nei prossimi anni e, in definitiva, a aumentare l’attenzione, la

cultura e la sensibilità sul tema.

È doveroso ringraziare i soggetti che a vario titolo permettono la

realizzazione delle attività dell’Osservatorio: la community di aziende utente,

che ci segue continuativamente nelle attività; i sostenitori della Ricerca, che ci

permettono di poter esplorare ed analizzare questo mercato con una

prospettiva vicina al mondo dell’offerta; i numerosi esperti che mettono a

disposizione le proprie competenze per arricchire la discussione.

Infine ringraziamo il Gruppo Sole 24 Ore che ha pensato a noi per questa

pubblicazione.

INFORMATION SECURITY & PRIVACY

PARTE I LO STATO ATTUALE E LE LEVE DI PROGETTAZIONE

1. I trend per il 2017, le sfide

della sicurezza informatica

Alessandro Piva*

L'innovazione digitale offre grandi opportunità alle

organizzazioni, ma sono richiesti modelli differenti

di gestione della sicurezza per fronteggiare le nuove

minacce. I trend per il 2017 mostrano uno scenario

allarmante, ma che può essere uno stimolo importante


per la crescita di questo settore

L’anno degli attacchi

minaccia che richiede il

rilevante è stato compiuto in

Il 2016 verrà con buona

pagamento di una somma per

Finlandia, dove i sistemi di

probabilità ricordato come l’anno

rientrare in possesso dei propri

automazione di due edifici sono

dell’Hack. In primis le rivelazioni

dati – che si sono diffusi in

stati messi fuori uso, impendendo

di Yahoo, che ha prima reso

differenti varianti, in grado di

di controllare da remoto sistemi

pubblico di aver scoperto solo nel

colpire anche dispositivi mobile.

quali il riscaldamento e la

corso dell’anno una violazione

Gli stessi device smart connessi


ventilazione.

risalente al 2014 che ha

all’Internet of Things sono

Per fornire un ulteriore esempio

interessato 500 milioni di

diventati veicolo di possibili

di violazione è opportuno citare

account, poi ammesso di aver

minacce; è il caso dell’attacco

anche l’attacco condotto ai danni

subito un attacco ancora più grave

DDoS (Distributed Denial of

di Tesco Bank, che ha comportato

nell’agosto 2013, che ha coinvolto

Service) di ottobre che ha colpito

la perdita di alcune centinaia di

oltre un miliardo di utenti.

Dyn 1 , uno dei principali DNS

sterline dal proprio conto per

Gli ultimi mesi hanno visto

(Domain Name System) provider,


9000 clienti. Questo incidente è

aumentare drasticamente

causando l’impossibilità di

particolarmente rilevante in

l’attenzione al cybercrime in

accedere a servizi quali, ad

quanto sono concretamente

seguito a quanto emerso durante

esempio, Netflix e Twitter. In

evidenti i danni al consumatore,

le elezioni presidenziali

questo caso, infatti, l’attacco è

che solitamente viene tenuto

americane, dove si ritiene che vi

stato causato dalla breccia in

all’oscuro del fatto che i propri

possano essere state azioni di

decine di migliaia di device di

dati siano stati trafugati.

cyberspionaggio in grado di

videosorveglianza che, infettati da


Anche il 2017 si è

influenzare l’esito delle

un malware, sono diventati agenti

preannunciato come un anno

consultazioni.

in grado di mettere fuori uso i

nero per la sicurezza informatica.

Vi è stata inoltre una continua e

server del vendor.

Tra i diversi incidenti che si sono

progressiva crescita dei

Solo un mese dopo, in

susseguiti durante i primi mesi

ransomware – una particolare

novembre, un altro attacco DDoS

dell’anno va sicuramente

* Direttore Osservatorio Information Security & Privacy, Politecnico di Milano.

1 . http://www.pcworld.com/article/3133847/internet/ddosattackondynknocks-
spotifytwittergithubetsyandmoreoffline.html.

INFORMATION SECURITY & PRIVACY |

10
menzionato il caso “WannaCry”,

lavoro dei millennials, sta

dell’Information Technology è

avvenuto a maggio. L’attacco, di

comportando anche nell’ambiente

sempre più caratterizzato da

portata mondiale, ha colpito i

business un cambiamento

fenomeni di consolidamento, di

sistemi di organizzazioni, aziende

radicale nell’approccio delle

fusione e acquisizione, elementi

e istituzioni pubbliche in oltre 150

persone all’uso delle informazioni

necessari per rispondere a un

Paesi, infettandoli tramite un

personali. Rispetto al passato c’è

mercato che si muove a velocità

ransomware, che ha reso

uno shift culturale importante

vorticose. Questi cambiamenti


inaccessibili i dati richiedendo il

verso l’uso degli strumenti digitali

significano però anche tecnologie

pagamento di un riscatto da

e l’impiego sempre più pervasivo

non più supportate o sviluppate

effettuare in Bitcoin.

di strumenti social che richiede

che, nell’ambito della sicurezza,

policy di utilizzo differenti, più

comportano sistemi non protetti e

I fattori macroeconomici

permissive e coerenti con quello

più esposti all’attacco di terze

Vi sono diversi fattori

che è il normale modo di

parti.

macroeconomici che influenzano

relazionarsi e di vivere delle

il cambiamento di approccio al

persone.
Le implicazioni del digitale

tema della sicurezza informatica

In un mondo caratterizzato dal

sulla gestione della sicurezza

all’interno del mondo delle

dato come nuova valuta, che apre

nelle imprese

imprese. Diversi analisti parlano

ad utilizzi talvolta impropri delle

Negli ultimi anni le

oggi di una nuova guerra fredda,

informazioni a disposizione,

organizzazioni stanno vivendo un

che vede protagonisti Stati

crescono i casi di abuso da parte

processo di trasformazione

nazionali e hacker.

di dipendenti che fanno leva su

digitale (digital transformation)

Organizzazioni statali possono

dati riservati legati all’azienda o a


importante, che spesso prescinde

oggi utilizzare gli strumenti

clienti per massimizzare

da logiche di evoluzione

informatici per condurre azioni di

performance o obiettivi personali,

incrementale per abbracciare

spionaggio nei confronti di

in modo noncurante degli effettivi

logiche di cambiamento

cittadini o altri Stati, così come

diritti di sfruttamento in loro

disruptive. I trend

finanziare operazioni illegali

possesso.

dell’innovazione digitale che

grazie ad attacchi hacker a scopo

Un ulteriore trend rilevante

guidano questa transizione sono

di estorsione. Scenari futuristici

vede l’emergere di
principalmente il Cloud

immaginano inoltre l’utilizzo di

regolamentazioni più dure ed

Computing, l’Internet of Things, il

droni hackerati per operazioni di

esigenti in termini di raccolta ed

Mobile, i Big Data Analytics, i Social

spionaggio. L’attribuzione stessa

utilizzo dei dati personali. La

(figura 1.1) .

degli attacchi a matrice statale

nuova regolamentazione UE in

La diffusione di servizi di Cloud

diventa complessa, offrendo il

materia di trattamento dei dati

Computing, ormai nell’uso

fianco a possibili manipolazioni

personali, nota come GDPR

quotidiano di persone ed

da parte di hacker o, peggio

(General Data Protection


organizzazioni, ha permesso alle

ancora, da parte di organizzazioni

Regulation), pone l’accento su una

imprese di disporre di sistemi

terroristiche.

maggiore strutturazione dei

informativi flessibili e

Le informazioni trafugate a

processi di gestione dei dati, sulla

riconfigurabili, in grado di

cittadini ed organizzazioni

creazione di nuovi ruoli

rispondere in modo rapido alle

possono diventare inoltre oggetto

organizzativi e sulla messa in atto

nuove esigenze del business.

di azioni di cyber propaganda,

di pratiche e strumenti più

L’adozione di modelli ibridi, in cui

ovvero essere utilizzate per

complessi rispetto al passato.


i dati spesso risiedono al di fuori

fornire informazioni riservate su

La stratificazione di tecnologie,

dei confini aziendali, richiede

uno specifico tema per

applicazioni e servizi che negli

nuovi processi e nuove regole di

influenzare l’opinione pubblica. Si

ultimi venti anni ha caratterizzato

gestione della sicurezza del dato e

pensi a titolo esemplificativo a

l’evoluzione dell’informatica fino

nuove modalità di relazione con i

quanto avvenuto con il caso

a come la conosciamo oggi ha

provider di servizi. I fornitori, in

Wikileaks.

portato, come in altri mercati,

grado di gestire una grande

Il cambiamento generazionale,

all’entrata ed uscita di player,


numerosità di clienti con esigenze

con l’ingresso nel mondo del

anche rilevanti. Il mercato

differenti, sono generalmente


IL SOLE 24 ORE | Giugno 2017 | Numero 3

11

portato svariati manufacturer ad

inserire nella propria offerta

progressivamente prodotti

intelligenti per cogliere, ed


anticipare, le nuove richieste dei

consumatori. Spesso però

mancano le competenze

necessarie al disegno delle

corrette misure di sicurezza, che

richiedono, dopo il lancio dei

prodotti, il richiamo o la creazione

di update, con un grande esborso

economico da parte dei

produttori. Diviene quindi

necessario, durante la

progettazione, simulare attacchi

per esplorare e comprendere

potenziali vulnerabilità insite nei

prodotti stessi, tramite

Vulnerability Assessment e

Penetration Test. La raccolta di

dati massiva, permessa dai

dispositivi dell’Internet of Things,

nelle condizioni di offrire

negli ultimi anni un’esplosione


oltre ad ampliare la possibilità di

standard di sicurezza allo stato

inarrestabile. Analisti

riduzione della privacy degli

dell’arte, superiori nella maggior

internazionali stimano che

utenti, apre le porte a nuovi

parte dei casi a quelli messi in

attualmente siano presenti nel

potenziali punti di attacco, legati

campo dalla singola

mondo interconnesso oltre 8

ai sistemi di raccolta dei dati e alle

organizzazione, a maggior

miliardi di sensori 2 , che rendono

piattaforme di controllo dei

ragione se parliamo di realtà di

intelligenti le nostre case, le auto,

device.

medie o piccole dimensioni. Per

gli impianti di videosorveglianza,


Le applicazioni di Internet of

contro, la centralizzazione di dati

gli smartphone ed i wearable.

Things interessano sempre più

nelle infrastrutture di grandi

Quando parliamo di sicurezza di

anche l’ambito industriale, dove si

fornitori, rende questi ultimi

dispositivi connessi, il tema della

assiste ad una progressiva

preda appetibile per gli hacker,

security by design assume un ruolo

convergenza dell’Information

che vedono la possibilità di

fondamentale. Sicurezza by

Technology e dell’Operational

raggiungere, con un singolo

design significa progettazione dei

Technology. In particolare

attacco, una platea di soggetti

prodotti orientata a limitare, fin


l’utilizzo più ampio di sistema

molto ampia. L’attenzione dei

dalla prima fase di creazione, le

SCADA (Supervisory Control And

criminali informatici può essere

possibili vulnerabilità del sistema.

Data Acquisition), ovvero sistemi

orientata sia al furto di dati degli

Sono principi che valgono in

informatici distribuiti per il

utenti, sia alla realizzazione di

qualsiasi contesto, ma che hanno

monitoraggio elettronico di

eclatanti attacchi di tipo Denial of

implicazioni maggiori nell’ambito

sistemi fisici, espone a

Service (DoS), finalizzati a rendere

dei dispositivi connessi, che sono

vulnerabilità maggiori dato

irraggiungibili per un periodo di

naturalmente esposti alle minacce


l’utilizzo più diffuso di sensori.

tempo servizi Cloud di grandi

provenienti dalla rete. L’Internet

I device mobili accompagnano le

player.

of Things, per la sua pervasività in

persone nella vita quotidiana, a

L’Internet of Things ha avuto

differenti settori di impresa, ha

supporto delle nuove modalità di

2 . http://www.gartner.com/newsroom/id/3598917.

INFORMATION SECURITY & PRIVACY |

12

smart working. I device mobili

informazioni potenzialmente per

complessi algoritmi, suggerendo

sono sempre più diventati

un periodo lungo di tempo. I Big

comportamenti o azioni che

strumenti di lavoro e naturale

Data Analytics rappresentano una


potrebbero compromettere la

canale di accesso alle

grande opportunità per le

sicurezza dell’utente. Inoltre,

informazioni personali e

imprese, ma gli scenari di utilizzo,

nuove modalità di autentificazione

aziendali. In ambito business, la

le competenze ed i modelli

adattativa e basata sul

definizione di policy e

organizzativi per governarli non

comportamento, come per

l’introduzione di strumenti di

sono ancora del tutto chiari e

l’appunto la voce o la biometria,

MDM (Mobile Device

codificati, aumentando i punti di

possono aprire a nuove possibili

Management) orientati al

attacco e le vulnerabilità. Infine è


vulnerabilità.

monitoraggio dell’accesso alle

necessario codificare i permessi di

Anche i droni, che nel futuro

informazioni raccolte sui

accesso alle informazioni, per

potrebbero diventare la

dispositivi sono diventati sempre

limitare i possibili utilizzi

quotidianità nelle consegne a casa

più necessari per garantire il

fraudolenti.

e che vengono impiegati

corretto trattamento dei dati.

I social network sono entrati

nell’ambito della realizzazione di

Sono nate tuttavia nuove forme di

ormai da anni nelle nostre vite,

video di qualità, sono un

attacco orientate specificatamente

ridefinendo implicitamente i
potenziale destinatario di attacchi

al mondo mobile, che puntano per

confini della privacy, di ciò che è

hacker (fenomeno noto come

esempio a bloccare i dispositivi

corretto condividere in termini di

dronejacking). Potrebbe essere

per ottenere le credenziali

gusti e di episodi della propria

possibile tracciare i percorsi, con

bancarie. Inoltre gli stessi

vita quotidiana. Il modo di vivere

l’obiettivo di sottrarre il contenuto

dispositivi divengono l’obiettivo di

social, sospeso tra narcisismo,

della consegna, oppure

strumenti di RAT (Remote Access

personal branding e nuove

comprometterli e prenderne il

Tools), che mirano ad utilizzare i

opportunità di conoscenza ha
controllo laddove si tratti di droni

device mobili come strumento per

aperto la strada a nuovi canali e

di alta qualità utilizzati in ambito

controllare gli utenti tramite

modelli di marketing. Tuttavia, la

video o, estremizzando, in ambito

l’utilizzo di videocamera o

disponibilità di un numero così

militare.

applicazioni social.

elevato di informazioni personali

La crescita dei dati a

offre possibilità di attacco nuove,

L’evoluzione degli attacchi

disposizione, dai sensori così

basate sul profilo dell’attaccato. La

I nuovi trend dell’innovazione

come dai social, i cosiddetti Big

diffusione di sistemi di

digitale pongono nuove sfide in


Data, offrono oggi alle imprese

apprendimento automatico ha

termini di sicurezza, ma allo

possibilità di far leva sui dati

permesso la nascita di sistemi di

stesso tempo cambiano le

stessi per ottimizzare i processi

Social Intelligence, in grado di

modalità stesse con cui vengono

aziendali e creare nuovi prodotti e

delineare in modo dettagliato i

condotti gli attacchi e l’oggetto

servizi. I Big Data Analytics

comportamenti degli utenti su

degli attacchi stessi.

rappresentano la capacità di

Internet e di sferrare, quindi,

In particolare aumenta

interpretare i dati, con modelli e

attacchi mirati e profilati.

l’interesse da parte di
algoritmi predittivi, utilizzando

Oltre a questi grandi trend

cybercriminali verso infrastrutture

tecnologie che permettono di

dell’evoluzione digitale, vi sono

critiche, come reti di

individuare i pattern nascosti in

altre tendenze emergenti che

telecomunicazioni, impianti

essi. Per fare questo le

richiedono attenzione dal punto

nucleari, reti idriche, che possono

organizzazioni sono chiamate a

di vista della gestione della

arrecare blocchi sistemici ad

raccogliere grandi moli di dati, a

sicurezza.

intere comunità o Paesi.

digitalizzare tutti i processi, senza

Le nuove modalità di interazione

Crescono gli attacchi di tipo


necessariamente conoscerne a

tra essere umani e device (si pensi

ransomware, ovvero orientati

priori l’utilizzo. Questo approccio,

a titolo esemplificativo alle

all’estorsione di denaro in cambio

oltre a richiedere particolare

piattaforme che pongono

della possibilità di rientrare in

accortezza nel trattamento dei

l’attenzione sull’interazione vocale

possesso dei propri dati. Per il

dati dei consumatori, implica di

come Cortana o Siri), indirizzano

futuro si pensa che tali attacchi

raccogliere e custodire molte

le scelte degli utenti sulla base di

possano interessare sempre più


IL SOLE 24 ORE | Giugno 2017 | Numero 3

13

spesso device dell’Internet of

in particolare focalizzati sul


legati a una omissione negligente

Things.

settore bancario, come ad

durante l’uso o la manutenzione

Accanto ai ransomware cresce

esempio sui sistemi di

del sistema informativo.

l’attrattività di attacchi di tipo BEC

pagamento, per reindirizzare beni

Il mercato dell’assicurazione del

(Business Email Compromise),

su altre destinazioni.

rischio cyber è ancora immaturo e

che permettono di ottenere cifre

lo scenario è in continuo

maggiori rispetto ai primi. Questa

L’assicurazione

cambiamento. La copertura del

tipologia di attacco, che sfrutta

del rischio cyber

rischio cyber riguarda i danni


come punto di accesso un errore

La crescente complessità nella

causati direttamente al

umano, tende ad essere

gestione della sicurezza e della

sottoscrittore o a terze parti. Le

targettizzata su soggetti di

mitigazione del rischio rende di

principali aree di copertura

particolare interesse, ai quali

particolare interesse il tema

riguardano, a titolo

possono essere estorte quantità di

dell’assicurazione del rischio

esemplificativo, l’investigazione e

denaro maggiori o informazioni

cyber. L’attivazione di una

gestione degli eventi, la gestione

di elevato valore (es. CEO Scam).

copertura può essere scatenata da

delle istruttorie e la copertura


Si diffonderanno inoltre

diversi fattori, quali una

danni in seguito a richieste di

attacchi basati sulla

violazione dei dati personali,

terze parti o a danni subiti

compromissione di un processo,

difetti di sicurezza, problemi

direttamente. •

CODICE CIVILE

ANNOTATO CON LA NORMATIVA

TRIBUTARIA 2017

a cura di Michele Brusaterra

Il Codice Civile corredato di tutti i rimandi alla norma-

tiva fi scale vigente offre al professionista contabile e

all’avvocato tributarista uno strumento agile e di im-

mediata consultazione. La normativa civilistica è

sempre più strettamente connessa con le disposizio-

ni fi scali: da qui la necessità per professionisti e im-

prese di poter disporre di un Codice aggiornato, che

racchiuda tutte le correlazioni tra i due corpi norma-


tivi. Aggiornato con le ultime novità normative (L.

76/2016, D.L. 59/2016, conv. con L. 119/2016 e

D.Lgs. 202/2016).

Pagg. 528 – e 36,00

ACQUISTA SUBITO IL VOLUME:

SERVIZIO CLIENTI LIBRI

NELLE LIBRERIE

tel. 02/30.300.600

ON LINE

PROFESSIONALI

servizioclienti.libri@ilsole24ore.com

www.shopping24.it

www.librerie.ilsole24ore.com

INFORMATION SECURITY & PRIVACY

14

PARTE I LO STATO ATTUALE E LE LEVE DI PROGETTAZIONE

2. La rilevanza di gestire

l'information security

Alessandro Piva*

La gestione dell'information security si basa su tre

principi fondamentali: la confidenzialità, l'integrità


e la disponibilità. La consapevolezza di questi principi

si esplicita nella realizzazione di una strategia concreta,

di un piano operativo basato su scelte tecnologiche

e modelli organizzativi coerenti

I principi di gestione

confidenzialità possono essere

non è univoco, essendo diversi gli

della sicurezza informatica

imputabili ad un attacco malevolo

elementi che devono essere presi

Gli obiettivi di una strategia di

oppure ad un errore umano. Le

in considerazione dalla singola

information security si basano su

modalità di attacco possono

organizzazione in relazione al

tre principi fondamentali:

essere molteplici, e passare ad

proprio business, ad esempio il

confidenzialità, integrità e

esempio dalla sottrazione di


grado di sensibilità delle

disponibilità (detta anche triade

password, dall’intercettazione di

informazioni che vengono trattate

CIA – Confidentiality, Integrity

dati su una rete, oppure da azioni

e il livello di criticità e di

and Availability). Tali principi

di social engineering solo per

segretezza che le caratterizzano.

devono essere ricercati in ogni

citarne alcune. Gli errori delle

Il secondo principio della

soluzione di sicurezza, tenendo

persone in grado di

sicurezza riguarda l’ integrità,

conto anche delle implicazioni

compromettere la confidenzialità

ovvero la capacità di mantenere la

introdotte dalle vulnerabilità e dai

delle informazioni riguardano ad


veridicità dei dati e delle risorse e

rischi (figura 2.1).

esempio lo scorretto utilizzo di

garantire che non siano in alcun

Un meccanismo di sicurezza

strumenti e regole di

modo modificate o cancellate, se

deve in prima battuta offrire

autentificazione e il libero accesso

non ad opera di soggetti

confidenzialità, ovvero garantire

a dispositivi a terze parti non

autorizzati. Parlare di integrità

che i dati e le risorse siano

autorizzate.

significa prendere in

preservati dal possibile utilizzo o

Vi sono svariati strumenti che

considerazione differenti scenari:

accesso da parte di soggetti non

possono essere utilizzati per


prevenire modifiche non

autorizzati. La confidenzialità

garantire la confidenzialità delle

autorizzate ad informazioni da

deve essere assicurata lungo tutte

informazioni: la criptazione delle

parte degli utenti, ma anche

le fasi di vita del dato, a partire

comunicazioni, le procedure di

garantire che le informazioni

dal suo immagazzinamento,

autentificazione, la creazione di

stesse siano univocamente

durante il suo utilizzo o il suo

modelli di data governance ben

identificabili e verificabili in tutti i

transito lungo una rete di

definiti e le azioni di awareness

contesti in cui vengono utilizzate.

connessione.

sugli utenti.
Per assicurare l’integrità è

Le cause di violazione della

Il concetto di confidenzialità

necessario mettere in atto policy

* Direttore Osservatorio Information Security & Privacy, Politecnico di Milano.

IL SOLE 24 ORE | Giugno 2017 | Numero 3

15

FIGURA 2.1 – I PRINCIPI DI GESTIONE DELLA SICUREZZA


INFORMATICA

di autentificazione chiare e

alla possibilità, per i soggetti

dell’energia elettrica, inondazioni,

monitorare costantemente

autorizzati, di poter accedere alle


terremoti. Vi sono anche azioni

l’effettivo accesso ed utilizzo delle

risorse di cui hanno bisogno per

malevole finalizzate nello

risorse, con strumenti in grado di

un tempo stabilito ed in modo

specifico a rendere irraggiungibili

creare log di controllo. Controllo

ininterrotto. Rendere un servizio

i servizi: è il caso degli attacchi

degli accessi (per esempio tramite

disponibile significa impedire che

DoS/DDos (Denial of

sistemi di Identity & Access

durante l’intervallo di tempo

Service/Distributed Denial of

Management), procedure di

definito avvengano interruzioni di

Service) o delle interruzioni di

autentificazione, sistemi di

servizio e garantire che le risorse


comunicazione. Accanto alle

Intrusion Detection, restrizioni di

infrastrutturali siano pronte per la

motivazioni imputabili ad

accesso e, ancora una volta,

corretta erogazione di quanto

un’azione dolosa, esistono altre

formazione degli utenti

richiesto. Devono quindi essere

ragioni che possono generare una

rappresentano soluzioni utili per

messi in atto meccanismi in grado

violazione di disponibilità, come

rispettare questo principio.

di mantenere i livelli di servizio

ad esempio il sovrautilizzo di

Le violazioni all’integrità dei

definiti, avvalendosi di strumenti

componenti hardware e software

dati possono avvenire a diversi

di Disaster Recovery, back up e


o l’accidentale rimozione di dati.

livelli, dal semplice utente fino

Business Continuity, in grado di

Le contromisure che si possono

agli amministratori e possono

limitare gli effetti di possibili

mettere in atto in questo caso

essere legate ad un utilizzo non

indisponibilità di servizio o

riguardano ad esempio il disegno

conforme alle policy definite o ad

perdita di dati.

di infrastrutture di rete in grado

un sistema di security progettato

Le minacce che mettono a

di garantire la ridondanza dei

in modo scorretto; vi sono anche

rischio la disponibilità di un

sistemi e di offrire i servizi

vulnerabilità insite nel codice

servizio possono riguardare errori


richiesti anche in caso di guasto o

stesso che espongono applicazioni

software, rotture di device, fattori

incidente, sistemi firewall in

e risorse a potenziali usi

ambientali ed eventi catastrofici

grado di proteggere le reti interne

fraudolenti, mettendo a rischio

che mettono fuorigioco le

e sistemi di monitoraggio

l’integrità delle informazioni.

infrastrutture, come ad esempio

continuo del traffico. Le policy di

Infine, la disponibilità si riferisce

interruzioni dell’erogazione

Business Continuity garantiscono

INFORMATION SECURITY & PRIVACY |

16

inoltre l’implementazione di

revisionato continuativamente,

delle performance serve poi a


soluzioni in grado di limitare i

per identificare la coerenza con il

identificare azioni correttive e a

possibili punti di attacco.

piano strategico e l’individuazione

mettere in atto miglioramenti nei

I concetti di confidenzialità,

di aree di intervento. La capacità

processi di governo della security

integrità e disponibilità sono

di circoscrivere processi e

e nella revisione del piano nel suo

strettamente correlati tra loro ed il

procedure di valutazione del

complesso. Infine, l’approvazione

disegno di un sistema di gestione

rischio, che sappiano localizzare e

della nuova regolamentazione

della sicurezza informatica

analizzare le diverse minacce

europea sulla privacy (General


necessita che vengano tenuti in

basate sul profilo di rischio

Data Protection Regulation –

considerazione in modo unitario.

dell’organizzazione, diventa

GDPR) richiede di analizzare le

fondamentale per mettere in atto

implicazioni per la sicurezza e di

Dalla consapevolezza

misure efficaci in grado di

mettere in atto conseguentemente

alla realizzazione di una strategia

mantenere i rischi all’interno di

misure tecnologiche,

di gestione della sicurezza

limiti accettabili.

organizzative e di processo.

e della privacy

Il paradigma di gestione della

Con riferimento al campione di

La possibilità di mettere in campo


sicurezza sta cambiando nel corso

analisi di grandi organizzazioni 1

piani ed azioni concrete, con uno

del tempo, passando

analizzato dall’Osservatorio

scope che non si limiti al solo

progressivamente da una gestione

Information Security & Privacy,

ambito tecnologico, richiede una

perimetrale ad un approccio

solo il 18% delle imprese operanti

consapevolezza organizzativa

maggiormente incentrato sul

in Italia ha messo in campo un

chiara rispetto alla necessità di un

dato. La maggior consapevolezza

piano di investimento con

approccio di lungo periodo alla

della complessità intrinseca in un

orizzonte pluriennale con

gestione dell’information security


mondo dove il digitale è sempre

inserimento di riferimenti espliciti

e privacy. Da questa presa di

più pervasivo nei processi

nel piano industriale (nelle

coscienza discende la necessità di

aziendali conduce ad una

aziende quotate con maggiore

strutturare un’organizzazione con

trasformazione: da una visione

capitalizzazione si arriva al 58%).

ruoli di governance ed indirizzo

legata alla mera compliance si

Un ulteriore 21% ha sempre un

che sia in grado di sviluppare una

passa alla gestione del rischio e

piano pluriennale, senza però

strategia ben delineata e di

della sua mitigazione, tramite il

nessun richiamo nel piano

allinearla alle esigenze del


controllo dell’intero ciclo di vita

industriale. Nel 34% dei casi vi è

business.

dell’informazione. Cambia

un piano con orizzonte annuale,

Il piano strategico, definito e

l’approccio al fattore umano, alla

mentre nel 27% restante il budget

concordato con il Top

persona da sensibilizzare ed

viene stanziato solo

Management aziendale, esplicita

incoraggiare a comportamenti

all’occorrenza. Rispetto allo scorso

ad alto livello come

responsabili.

anno il quadro mostra una

l’organizzazione intende

I progetti e le azioni messe in

maggiore consapevolezza, con un

governare le minacce e come si


campo possono essere di svariato

7% in più di organizzazioni che

propone di garantire la sicurezza

tipo e possono orientarsi ad

hanno predisposto un piano

delle informazioni aziendali

anticipare possibili minacce o a

pluriennale.

sensibili. Una volta stabilite le

mitigarne gli effetti. Oggi, accanto

linee di indirizzo si identifica un

alla capacità di prevenire e

La roadmap evolutiva

framework, sulla base di modelli

contrastare gli attacchi, è sempre

Per far fronte a modelli di

di riferimento e specificità del

più richiesto di saperli predire,

innovazione sempre più rapidi e

settore dell’impresa. Il piano

monitorare e di saper rispondere


dirompenti, l’approccio delle

necessita di essere comunicato in

in modo tempestivo ed efficace.

aziende verso l’information

modo chiaro all’interno

L’identificazione di metriche di

security deve maturare lungo due

dell’organizzazione e di essere

monitoraggio e di misurazione

direzioni principali: da una parte

1
. Nella trattazione si fa riferimento a grandi organizzazioni identificando imprese con più di 2
aziende più piccole.
IL SOLE 24 ORE | Giugno 2017 | Numero 3

17

diviene basilare sviluppare

consapevolezza strategica e vision


però a tenere il passo

consapevolezza strategica e vision,

prevalgano (25%) sulla definizione

dell’evoluzione delle tecnologie

dall’altra mettere in campo azioni

di ruoli organizzativi e approcci

digitali e delle gravi minacce alla

e piani concreti, dal punto di vista

tecnologici chiari (8%). Come si

sicurezza che da queste possono

dei ruoli organizzativi e degli

vedrà in seguito, a fronte di

derivare. Lo si nota chiaramente

approcci tecnologici. Le aziende che

questa situazione a macchia di

osservando le aree di

si possono definire mature su

leopardo emerge in ogni caso una

investimento delle aziende in

entrambe le direzioni sono il 19%

crescita progressiva della maturità


security: aspetti fondamentali

del campione mentre, all’opposto,

da parte delle imprese. La velocità

nell’evoluzione digitale delle

vi è un 48% che risulta ad uno

di adozione delle strategie e di

imprese come il Cloud e la

stadio iniziale di questo percorso.

implementazione di progetti volti

Mobility rimangono ancora di

Nelle restanti organizzazioni è

ad incrementare la sicurezza nella

nicchia, benché rilevanti in

interessante notare come

gestione delle informazioni fatica

prospettiva futura. •

GUIDA PRATICA FISCALE

TRIBUTI LOCALI

Giuseppe Debenedetto

La Guida Pratica Fiscale Tributi Locali illustra, con l’operatività

e la chiarezza tipica del «Sistema Frizzera 24», la disciplina di


Imu, Tasi, Tari e delle altre entrate comunali (Tosap, pubblicità

e Cosap, imposte di soggiorno, di scopo e di sbarco e addi-

zionali Irpef), corredate della relativa normativa sostanziale,

sanzionatoria e di riscossione del tributo.

Aggiornato con tutte le novità di prassi e di giurisprudenza.

Pagg. 432 – e 32,00

ACQUISTA SUBITO IL VOLUME:

NELLE LIBRERIE

SERVIZIO CLIENTI LIBRI

ON LINE

PROFESSIONALI

tel. 02/30.300.600

www.shopping24.it

www.librerie.ilsole24ore.com

servizioclienti.libri@ilsole24ore.com

INFORMATION SECURITY & PRIVACY

18

PARTE I LO STATO ATTUALE E LE LEVE DI PROGETTAZIONE

3. Lo stato attuale

dell'information security

Andrea Antonielli*
L'investimento in information security richiede

Giorgia Dragoni**

attenzione a differenti aspetti: l'identificazione, la

protezione, la rilevazione, la risposta e il ripristino.

In Italia la spesa in information security è ancora limitata

e orientata a proteggere l'azienda, meno ad identificare

le corrette misure per rilevare attacchi e mettere in atto

opportune azioni di mitigazione

Le principali minacce

determinati obiettivi sociali e

attuali (indicati dal 49% delle

e vulnerabilità che mettono

politici attraverso la pirateria

organizzazioni intervistate) ed i

in pericolo la sicurezza

informatica.

collaboratori e consulenti

Le più rilevanti minacce alla

Secondo i dati del Rapporto

aziendali (30%).

sicurezza delle informazioni


CLUSIT, nel 2016 il cybercrime si

Le principali minacce

provengono nella maggior parte

è confermato la prima causa di

riscontrate negli ultimi anni dalle

dei casi da agenti che operano

attacchi gravi a livello globale,

aziende sono state:

all’esterno del perimetro

interessando il 72% del totale dei

› Infezioni da malware: il termine

aziendale e sono collegate

casi analizzati. Gli attacchi

“malware” identifica

principalmente a fenomeni legati

compiuti da cybercriminali

applicazioni dannose finalizzate

a “cybercrime” e “hacktivism”.

registrano un aumento di quasi il

ad arrecare danno alla vittima,

Viene definito “cybercriminale”


10%, confermando un trend che

per esempio tentando di

un soggetto che, spinto da

dura ormai da diversi anni 1 .

accedere segretamente a un

motivazioni criminose, effettua,

Dalla Ricerca dell’Osservatorio

particolare dispositivo senza

singolarmente o tramite una vera

Information Security & Privacy

che l’utente ne sia a conoscenza

e propria associazione, attacchi

emerge però come le fonti di

per raccogliere informazioni,

informatici attraverso l’uso di

attacco siano spesso anche

creare malfunzionamenti o

Internet (ad esempio al fine di

interne all’azienda: tra i soggetti

criptarne i dati.

estorcere denaro o trafugare


che rappresentano un pericolo per

› Attacchi di phishing: per

informazioni vitali per

la sicurezza spiccano infatti anche

“phishing” si intendono i tentativi

l’organizzazione).

categorie di persone che hanno

di frode informatica volti a

Un “hacktivist” invece è colui

rapporti più stretti e continuativi

carpire i dati sensibili degli utenti.

che mira alla realizzazione di

con l’azienda, come i lavoratori

Generalmente un attacco di

* Ricercatore Osservatorio Information Security Privacy, Politecnico di Milano

** Ricercatrice Senior Osservatorio Information Security Privacy, Politecnico di Milano

1 . Rapporto Clusit 2017 sulla sicurezza ICT in Italia, Clusit, marzo 2017.
IL SOLE 24 ORE | Giugno 2017 | Numero 3

19

FIGURA 3.1 – I DATI OGGETTO DI ATTACCO

phishing si traduce nell’invio di e-

monetaria relativamente

rispetto alle policy e alle buone

mail, contenenti indicazioni e

contenuta per le vittime, le

pratiche di comportamento

loghi “familiari”, con cui si invita

quali pertanto sono

introdotte in azienda, la

la vittima a fornire informazioni

maggiormente inclini a pagare


distrazione degli utenti, l’accesso

riservate (ad esempio password,

il riscatto al fine di rientrare in

in mobilità alle informazioni

codici di accesso o dati della carta

possesso del proprio dispositivo

aziendali e la sempre più diffusa

di credito).

e dei propri dati.

presenza di dispositivi mobili

› Spamming: con tale espressione

› Attacchi DoS/DDos: gli attacchi

personali, spesso utilizzati anche

si intende normalmente l’invio

di tipo DoS (Denial of Service)

per scopi lavorativi. Accanto alle

imponente e indiscriminato di

sono finalizzati a interrompere

vulnerabilità di tipo tecnologico,

messaggi di posta elettronica


la continuità di servizio,

dovute per esempio

senza il consenso del

rendendo inaccessibili i servizi

all’obsolescenza dell’architettura

destinatario. Si tratta

presi di mira. Possono essere

IT o al mancato aggiornamento

solitamente di e-mail aventi

messi in atto generando un

dei sistemi, che possono essere

contenuto pubblicitario.

numero eccessivo di richieste al

prese di mira da hacker per

› Attacchi ransomware: un

server o un volume di traffico

perseguire i propri scopi malevoli,

“ransomware” è un particolare

maggiore rispetto alla banda

si stima che una percentuale

tipo di malware che, dopo aver


disponibile, saturando le risorse

cospicua degli attacchi informatici

limitato o impedito del tutto

a disposizione. Gli attacchi di

siano causati dal comportamento

l’accesso al sistema infettato,

tipo distribuito (DDoS) vengono

umano. I dipendenti spesso

per esempio criptando i file

generalmente veicolati tramite

agiscono in maniera ingenua o

presenti su un dispositivo,

un insieme di dispositivi

inconsapevole, facilitando i

richiede una somma di denaro

connessi alla rete (botnet).

cybercriminali nel bypassare le

da pagare per la sua rimozione.

I tipi di vulnerabilità che

misure di sicurezza messe in atto

Tale tipologia di attacco offre


maggiormente impattano in

dall’azienda.

un importante vantaggio ai

maniera negativa sulla sicurezza

Sono numerose le

cybercriminali, in quanto

aziendale riguardano la scarsa

organizzazioni che hanno subito,

comporta una perdita

consapevolezza dei dipendenti

a causa di tali vulnerabilità,

INFORMATION SECURITY & PRIVACY |

20

FIGURA 3.2 – IL MERCATO DELL’INFORMATION SECURITY IN


ITALIA
perdite o furti di dati.

Il mercato dell’information security

patrimonio informativo delle

Secondo quanto dichiarato dalle

in Italia

organizzazioni.

aziende coinvolte nella Ricerca

L’Osservatorio Information

La spesa è concentrata nelle

(figura 3.1), gli attacchi sono

Security & Privacy ha coinvolto

grandi imprese, che catalizzano il

indirizzati nella maggior parte dei

nella rilevazione 951

74% della cifra complessiva. Il

casi a trafugare informazioni

organizzazioni italiane di

valore del mercato imputabile alle

operative interne (36%),

differenti dimensioni, 148 grandi

PMI, invece, è pari a 162 milioni di


informazioni price sensitive 2 (21%),

imprese (sopra i 249 addetti) e

Euro per le imprese di media

dati sui clienti (21%) e sui pagamenti

803 PMI (tra 10 e 249 addetti).

dimensione (tra 50 e 249 addetti) e

(15%), informazioni aziendali,

L’analisi di un ampio campione

a 95 milioni di Euro per le aziende

credenziali di accesso e

di imprese e il coinvolgimento

più piccole (tra 10 e 49 addetti).

informazioni relative alla proprietà

delle principali aziende

Il mercato preso in

intellettuale industriale (12%). In

dell’offerta di sicurezza ha

considerazione si riferisce alla

misura minore, le perdite

permesso di stimare il mercato

spesa in information security


riguardano informazioni inerenti a

delle soluzioni e dei servizi di

delle organizzazioni con almeno

gare o informazioni di mercato e

information security in Italia, che

dieci addetti ed è suddivisibile in

competition.

nel 2016 valeva 972 milioni di

tecnologia (28%), servizi di

I dati ritenuti maggiormente

Euro, con tasso di crescita del 5%

integrazione IT e consulenza

critici dalle organizzazioni sono le

sul 2015, sostanzialmente

(29%), software (28%) e Managed

informazioni che riguardano i

allineato a ciò che avviene a livello

Services (15%) (figura 3.2).

clienti e le informazioni sul

internazionale 3 . Questo dato

personale aziendale, indicati


tuttavia non rassicura, la crescita

Le progettualità e le policy messe

rispettivamente dal 59% e dal 49%

esponenziale delle minacce

in campo dalle organizzazioni

delle imprese intervistate, così come

richiede infatti una spinta molto

Come evidenziano diversi

le informazioni finanziarie (38%).

più decisa verso la tutela del

framework di

2
. Le informazioni price sensitive sono informazioni riguardanti una società oppure un titolo su

3
. Gartner stima per il mercato globale dell’information security nel 2016 un valore di 81,6 mi
IL SOLE 24 ORE | Giugno 2017 | Numero 3

21

FIGURA 3.3 – I PROGETTI E LE POLICY

DATA

SECURITY

NETWORK

APPLICATION

SECURITY

SECURITY

REGOLAM.

POLICY

ENDPOINT

SECURITY
WEB

BYOD

SECURITY

PENETRATION

SIEM

TEST

SOCIAL

MEDIA TEST

ACCESSI

MESSAGING

LOGICI

IDENTITY

SECURITY

THREAT

GOVERNANCE

INTELLIGENCE

CLASSIFICAZ.

DATI

TRANSACTION

CICLO DI VITA

SECURITY
CRIPTAZIONE

DEL DATO

DATI

SOCIAL

MEDIA

UTILIZZO

CLOUD

BACKUP

INCIDENT

RESPONSE

riferimento 4 , esistono diffenti

resilienza dei sistemi e la

della rilevazione, risposta e

aspetti da considerare per una

facoltà di ristabilire i servizi in

ripristino.

gestione consapevole

seguito ad un incidente.

Secondo quanto emerso dalla

dell’information security:

Tali aspetti non richiedono


Ricerca 2016 dell’Osservatorio

› Identificazione: capacità di

necessariamente una

Information Security & Privacy

comprendere come gestire il

implementazione sequenziale, ma

(figura 3.3), le progettualità più

rischio cyber.

fanno parte di un approccio

diffuse nelle grandi imprese sono:

› Protezione: capacità di

complessivo orientato alla

› Penetration test (51%): processo

sviluppare ed installare misure

creazione di una cultura

operativo di valutazione della

di sicurezza in grado di

incentrata sulla gestione efficace

sicurezza di un sistema o di

garantire la regolare

della cybersecurity. Per


una rete che simula l'attacco di

erogazione dei servizi.

rispondere a tali bisogni occorre

un malintenzionato, con

› Rilevazione: capacità di svolgere

mettere in atto progettualità

l’obiettivo di metterne in

le attività necessarie a

tecnologiche e policy. È stato

evidenza le vulnerabilità.

riconoscere un evento di

rilevato che le progettualità e le

› Data security (51%): riguarda

cybersecurity al suo verificarsi.

policy messe in campo dalle

tutte le procedure e i sistemi

› Risposta: capacità di pianificare

organizzazioni di maggiori

atti a proteggere i dati presenti

e compiere azioni in relazione

dimensioni sono per lo più


in azienda dalle azioni malevoli

ad un evento identificato.

orientate all’ identificazione e alla

o dall’accesso di soggetti non

› Ripristino: capacità di gestire

protezione, risultando ancora

autorizzati. La sicurezza deve

piani in grado di garantire la

immaturo il supporto agli aspetti

essere gestita opportunamente

4
. Si prendono a riferimento in particolare le “Functions” del “Framework for improving Crit

INFORMATION SECURITY & PRIVACY |

22

ELX

E X

METODOLOGIE DI LAVORO INTERATTIVO DELL'OSSERVATORIO INFORMA

L’Osservatorio Information Security & Privacy, nell’ambito della Ricerca, organizza annualm
chiuse finalizzati ad attivare un tavolo di confronto permanente tra i CISO delle grandi aziend
appuntamenti vengono spesso utilizzate metodologie di lavoro interattivo, sviluppate ad hoc: i
in gruppi, all’interno dei quali viene richiesto ad ognuno di effettuare una mappatura della rea
framework di gioco e una successiva discussione all’interno del team di lavoro. Tali metodolo
estese all’applicazione in singole realtà aziendali. In particolare è stata sviluppata una metodol
diversi approcci e strategie di gestione dell’information security e privacy, con l’obiettivo di a
messe in atto dalle aziende e a comprendere i driver di spinta, i benefici e le criticità delle diffe
La metodologia prevede i seguenti step, finalizzati a rispondere alle relative domande:

› Mappatura delle iniziative progettuali messe in campo, in base all’approccio strategico

› Approfondimento di una progettualità ritenuta particolarmente rilevante, identificazione del d

Ai partecipanti viene consegnato il tavolo da gioco (figura 3.4) e un set di stickers (

durante tutto il ciclo di vita del

time gli allarmi di sicurezza

l’analisi dei rischi e delle

dato, dalla sua raccolta alla sua

generati dagli apparati hardware

minacce di sicurezza, per

cancellazione, passando per le

di rete e dalle applicazioni

analizzarne i trend e mettere in

fasi di utilizzo, conservazione e

software di gestione e

atto piani di protezione in

archiviazione.

monitoraggio.

ottica attuale e futura.

› Network security (48%):

› Messaging security (38%):


› Social media security (16%):

identifica le pratiche adottate

comprende le modalità di

sistemi mediante i quali

da un amministratore di rete (o

protezione dell’infrastruttura di

vengono messe in atto misure a

di sistema) per proteggere una

messaggistica aziendale, volte a

protezione delle minacce di

rete e le relative risorse da

garantire la sicurezza delle

sicurezza derivanti dall’utilizzo

eventuali accessi non

informazioni condivise in ottica

dei social network.

autorizzati, furto, modifica o

di collaborazione, tra diversi

Le policy più diffuse all’interno

interruzione di servizio.

utenti sia interni sia esterni


delle organizzazioni riguardano

› Application security (45%): uso

all’azienda (clienti, fornitori, ecc.).

invece il backup 5 (89%), la

di software, hardware e

› Web security (36%): misure

gestione degli accessi logici (84%),

procedure volti a proteggere le

adottate al fine di garantire la

la regolamentazione delle

applicazioni aziendali dalle

sicurezza relativamente

procedure comportamentali

minacce interne ed esterne.

all’utilizzo di Internet.

legate alla sicurezza informatica

› Endpoint security (43%): si tratta

› Identity governance &

(80%), la gestione e l’utilizzo dei

del tentativo di assicurare che i

administration (32%): sistemi


device aziendali (72%), la gestione

device (laptop, tablet,

che permettono di gestire e

del ciclo di vita del dato (58%),

smarthpone) collegati alla rete

monitorare gli accessi degli

l’utilizzo di social media e web

aziendale rispettino

utenti ad applicazioni e dati

(57%), le policy di classificazione

determinati standard di

critici, proteggendo

dei dati (52%) e di criptazione

sicurezza.

contestualmente i dati

degli stessi (39%) (la criptazione

› Security information & event

personali.

consiste nell’attribuzione di un

management (38%): sistemi in

› Threat intelligence (20%):


codice ad una serie di dati allo

grado di identificare, registrare,

prevede la raccolta di

scopo di renderne possibile

monitorare e analizzare in real-

informazioni, il monitoraggio e

l’accesso esclusivamente a chi ne

5
. Per “backup” si intende la duplicazione di un file o di un insieme di dati su un supporto este
riserva.
IL SOLE 24 ORE | Giugno 2017 | Numero 3

23

ha il diritto.)

sicurezza nella gestione delle

termini di progetti e policy da

Complessivamente, è possibile

informazioni fatica a tenere il

mettere in campo. Nei capitoli

affermare che la consapevolezza

passo dell’evoluzione delle

successivi verranno

delle aziende rispetto al tema


tecnologie digitali e delle minacce

approfondite in dettaglio alcune

della sicurezza sta

che da queste possono derivare.

progettualità legate ai trend

progressivamente aumentando,

I trend emergenti

dell’innovazione digitale: Big

ma la velocità di adozione delle

dell’innovazione digitale

Data e Cyber Intelligence, Cloud

strategie e di implementazione di

pongono nuove importanti sfide

Security, Mobile Security, IoT

progetti volti a incrementare la

all’information security, in

Security. •

FIGURA 3.4 – IL TAVOLO DA GIOCO

INFORMATION SECURITY & PRIVACY |

24

EL1
LO STATO ATTUALE DELL'INFORMATION SECURITY

CASO 1 DUCATI MOTOR HOLDING

La Ducati Motor Holding S.p.A. è una casa motociclistica italiana con sede nel quartiere Borg
2012 l’azienda è stata acquisita da AUDI AG ed è entrata quindi a far parte del Gruppo Volks

L’offerta di Ducati non si focalizza soltanto sul prodotto: l’azienda punta infatti a fornire un’e

Oltre alla produzione di motoveicoli, Ducati si dedica al mondo delle competizioni attraverso

All’interno del Gruppo Volkswagen i temi della sicurezza e della protezione delle informazion
attenzione: la struttura del Gruppo, un network di imprese distribuito e costituito da diversi no

Ducati stessa viene inoltre sottoposta ad una costante copertura mediatica, che genera g
stesso tempo ha come conseguenza una forte esposizione a minacce di sicurezza.

L’azienda è molto sensibile agli stimoli, in termini di regole di sicurezza, provenienti dalla Ca
il rispetto delle normative nazionali e internazionali (regolamenti e direttive europee tra le qua

Per garantire la massima sicurezza possibile assicurando allo stesso tempo un alto livello di se
Business, è stato creato un ISMS (Information Security Management System), che si avval
tecnologica, che mira a ricercare continuamente le tecnologie migliori in relazione al budget d
creato ha l’obiettivo di proteggere i dati strategici dell’azienda, minimizzare i rischi e
qualora si verifichino data breach o situazioni di crisi in generale.

Il tema della sicurezza informatica in azienda è gestito da un CISO, collocato all’interno della
CIO. Il CISO si avvale sia di competenze di specialisti interni, soprattutto per la gestione dell’
tecnologica, sia per la parte normativa, contrattuale e organizzativa, ad alcuni partner, tra i qua

Il tema della sicurezza informatica non interessa soltanto la funzione IT, ma è pervasivo a live
di coinvolgere l’intera popolazione dell’organizzazione. È in fase di progettazione un’in

“Digital Fridays”: si tratterebbe di un appuntamento mensile serale, in logica informale, con il


speaker di rilievo volto alla creazione di awareness sui temi del digitale.

Ducati è un’azienda dinamica e attenta all’innovazione e, di conseguenza, pone molta cura al t


cambiamento. Grande importanza è dunque data alla disciplina del Change Management
opportuno bilanciamento tra la necessità di cambiamento e la gestione degli effetti generati, in
economici, di processo, di sicurezza, tramite la definizione di ruoli e responsabilità e il coinvo
Dalla collaborazione con Sinergy è nato anche un framework di analisi dei workflow sui diver
dei privilegi (Privileged User Management), con l’obiettivo di tracciare e controllare
concessi agli utenti, specialmente qualora si tratti di amministratori di sistema o di rete. Ad og
violazioni dei dati strategici o comunque confidenziali o accesso a informazioni per le quali no

In tale contesto si colloca anche la valutazione della conformità in termini di Segregation of D


impedire la commissione di frodi ed errori attraverso l’analisi automatica dei profili.

Ducati effettua periodicamente controlli automatici su una serie di vulnerabilità (Vulnerabilit


controlli esterni tramite penetration test più approfonditi atti a verificare lo stato di sicurezza d

Il tema della gestione delle vulnerabilità riguarda anche i prodotti finali. L’azienda si sta infatt

IL SOLE 24 ORE | Giugno 2017 | Numero 3

25

ne di una moto connessa, con interazioni anche al di fuori dalla vettura in un ecosistema di ogg
questo progetto, Ducati sta valutando non solo il coinvolgimento di attori primari del settore d
quello di soggetti più vicini al mondo hacker, che aiutino l’azienda nella scoperta di vulnerabi

CASO 2 GRUPPO ITAS ASSICURAZIONI

Fondata a Trento nel 1821, ITAS (Istituto Trentino-


Alto Adige per Assicurazioni) è la Compagnia Assicuratrice più antica d’Italia.

Proteggere contro gli incendi è stato il primo servizio offerto ai soci assicurati. Nel tempo, ITA
attività ed esteso la propria presenza sul territorio, conservando integra la sua natura mutualist

Il Gruppo ITAS, una delle poche mutue presente nel territorio italiano, vanta una rete di circa
collaboratori e al personale di agenzia danno vita a una famiglia di 4.500 persone, dislocate in

Tra i primi 10 gruppi assicurativi italiani, ITAS mette quotidianamente al centro del p
mutualità, i valori fondanti della Compagnia, che si concretizzano anche nel sostegno di inizia
sociali impegnate nello sviluppo della comunità.

Il Gruppo ITAS ha recentemente introdotto un sistema piramidale di policy valido per tutte le
mantenere alti i livelli di sicurezza sulle informazioni, con particolare attenzione ai dati ineren
attenzione si applica a tutti i dati presenti sia presso le sedi ITAS sia presso terze parti che trat
La Compagnia adotta un sistema di gestione della sicurezza delle informazioni atto a salvagua
economici che di reputazione.

Il Gruppo ITAS si impegna a soddisfare i requisiti specificati in queste policy e si impegna a g

La Divisione Servizi Informatici stabilisce un quadro di riferimento gestionale per attua


governo della sicurezza delle informazioni all’interno dell’organizzazione aziendale. Il sistem
normativa internazionale ISO/IEC 27001 ed è volto a disciplinare aspetti relativi alla sicurezza
di analizzare ed evidenziare, con approccio basato sulla valutazione del rischio, eventuali criti

Per aumentarne l’efficacia all’interno dell’organizzazione, le policy sono state concepite su tre

› “Information Security Policy” apicale, che ha come obiettivo quello di definire la politica azi

› “Disposizioni”, che definiscono le azioni necessarie al fine di soddisfare quanto richiesto dal
Policy” e disciplinano temi quali: sistema di gestione delle policy sulla sicurezza, organizzazio
delle attività operative, protezione da minacce esterne, sicurezza delle comunicazioni, acquisiz
continuità operativa, conformità, leggi e regolamenti ecc.;

› “Standard”, che sono stati creati con lo scopo di dettagliare temi inseriti all’interno delle “Di
ritenuti particolarmente significativi ai fine della sicurezza delle informazioni. Esempi di “stan
di dettaglio su temi quali ad esempio: la configurazione sicura di sistemi ed apparati “hardenin

Le policy, al fine di essere sempre attuali, sono riviste a intervalli regolari, condivise con le fu
alle parti interessate.

INFORMATION SECURITY & PRIVACY

26

PARTE I LO STATO ATTUALE E LE LEVE DI PROGETTAZIONE

4. Il fattore umano,

importanza e gestione

Giorgia Dragoni*

Il fattore umano rappresenta una variabile chiave nella

progettazione di un sistema di information security.


Le tecniche di Social Engineering sono sempre più diffuse

e puntano a colpire le persone con modalità sempre più

sofisticate. I programmi di formazione e creazione

di awareness degli utenti aziendali diventano quindi

un aspetto fondamentale

L’importanza del fattore umano

nei sistemi aziendali.

tutto ai siti originali, che spingono

e della sua gestione

Nell’era in cui il fenomeno del

l’utente ad inserire le proprie

Quando si parla di information

BYOD (Bring Your Own Device) è

credenziali o che inducono il

security non si può tralasciare il

sempre più diffuso all’interno

destinatario a scaricare sul

cosiddetto fattore X, l’elemento di

delle aziende, che permettono ai

proprio dispositivo un allegato

incertezza legato al
propri dipendenti di utilizzare i

infetto sono ormai all’ordine del

comportamento umano.

propri device personali all’interno

giorno.

Spesso le aziende investono su

del contesto lavorativo, si sono

Si calcola che circa il 95% degli

sistemi di protezione sofisticati in

infatti moltiplicati i casi in cui il

attacchi informatici siano causati

grado di proteggere

furto o lo smarrimento di un

dal fattore umano 1 . Per citare

l’organizzazione da attacchi

dispositivo (dal portatile, al

alcuni casi eclatanti, il celeberrimo

esterni, ma non valutano il rischio

telefono o tablet, alla chiavetta

attacco ai danni di Sony Pictures

legato al comportamento dei


USB) provocano la conseguente

Entertainment del 2014, che ha

propri utenti, non considerando

esposizione di dati riservati o di

portato alla perdita di 100

che l’anello debole della catena

informazioni che mettono a

Terabyte di dati progressivamente

potrebbe essere proprio l’uomo.

rischio la sicurezza dei sistemi

diffusi online e messo fuori uso i

In molti attacchi informatici,

aziendali.

sistemi aziendali per settimane, fu

infatti, i cybercriminali non

Un ulteriore diffusissimo

originato da una mail di phishing,

utilizzano sistemi tecnologici

fenomeno riguarda gli attacchi

che chiedeva ai destinatari di

particolarmente sofisticati, ma
informatici che cercano di trarre

inserire in un sito falso le

sfruttano aspetti del

in inganno gli utenti aziendali:

credenziali dei loro ID Apple per

comportamento umano, come la

mail che contengono link

verifica. Stesso scenario nel caso

distrazione o la mancanza di

malevoli, che rimandano a pagine

dell’attacco hacker al Pentagono

consapevolezza, per fare breccia

web clonate simili in tutto e per

nell’agosto del 2015 in cui, a

* Ricercatrice Senior Osservatorio Information Security & Privacy, Politecnico di Milano.

1 . Secondo quanto emerge dal “Cyber Security Intelligence Index”, IBM, 2015.

IL SOLE 24 ORE | Giugno 2017 | Numero 3

27

seguito di una mail di spear

perdita, la modifica oppure la

di studio della personalità, dei


phishing, furono trafugati i dati di

rivelazione non autorizzata di

contatti sociali e dei modi di

oltre 4.000 persone tra militari e

informazioni sensibili, sia pari a

relazionarsi con gli altri. Un

civili.

112€ per ogni singolo record perso

processo di Social Engineering

Anche il più recente caso

o rubato, per un costo totale

parte infatti da un’accurata

“WannaCry”, avvenuto a maggio

medio per azienda stimato a circa

raccolta di informazioni

2017 e declinatosi in una

2,35 milioni di Euro, che si alza a

sull’azienda target, reperite da

campagna di attacco massiva che

4 milioni di Euro se si considera la

tutte le fonti a disposizione (sito


ha infettato i sistemi di centinaia

media per organizzazione a livello

web aziendale, social network,

di migliaia di vittime in oltre 150

globale 2 .

dati societari, documenti

Paesi, ha avuto all’origine il

Le conseguenze di un data

disponibili in rete, ecc.) con

fattore umano. L’attacco, che ha

breach, infatti, non si limitano ai

l’obiettivo di conoscere a fondo

sfruttato una vulnerabilità di

costi delle azioni da effettuare in

l’azienda identificata come vittima

Windows per generare una

risposta all’attacco, ma

e i dipendenti che vi operano. Una

diffusione di ransomware, ha

comprendono anche i costi legati

volta che il Social Engineer ha


infatti utilizzato come strumento

ad una possibile perdita di

ottenuto le informazioni di cui

di ingresso nel perimetro delle

produttività per il periodo di

aveva bisogno per architettare

organizzazioni alcune email di

tempo necessario al ripristino

l’attacco, ecco che si passa alla

phishing.

delle attività e, non da meno, i

fase operativa.

danni di immagine che possono

Gli strumenti di ingegneria

Le minacce: tecniche di Social

avere una ricaduta importante

sociale maggiormente utilizzati

Engineering

sulla reputazione aziendale.

sono email, telefono, siti web,

Le motivazioni alla base di un


Gli attacchi che sfruttano la

social network. I metodi per

attacco informatico possono

vulnerabilità del fattore umano

mettere a segno l’attacco posso

essere molteplici: un

sono spesso progettati secondo

essere molteplici: dal phishing al

cybercriminale può essere spinto

logiche di Social Engineering. Per

pretexting, dal baiting allo

da motivi economici e quindi

Social Engineering si intende una

sfruttamento della “spazzatura

attaccare per cercare di estorcere

tecnica basata sullo studio del

informatica”. Di seguito vengono

denaro, agire con finalità di

comportamento individuale di

raccontate alcune tecniche diffuse

spionaggio, trafugando
una persona, con l’obiettivo di

che, seppure non in modo

informazioni legate alla proprietà

carpire informazioni utili per

esaustivo, danno l’idea di come i

intellettuale o industriale (brevetti,

l’attaccante. Questo approccio fa

cybercriminali utilizzino le

marchi), piuttosto che essere

leva su elementi psicologici ed

metodologie più disparate per

guidato da cause ideologiche o

emozionali, puntando a generare

assestare i propri attacchi:

politiche (hacktivism).

empatia nella vittima dell’attacco.

› Phishing: un esempio molto

Qualsiasi sia la motivazione alla

Il processo ha soprattutto lo scopo

comune di attacco basato sul

base, ogni organizzazione può


di sfruttare le debolezze insite

comportamento umano è il

essere target di un attacco

nella natura umana per trarre in

phishing, un tentativo di truffa,

informatico. Spesso gli utenti

inganno la vittima ed ottenere

realizzato sfruttando la posta

aziendali non percepiscono il

informazioni e strumenti

elettronica, che ha per scopo il

valore delle informazioni a cui

necessari a perpetrare azioni

furto di dati personali degli

hanno accesso quotidianamente

fraudolente. Un attacco di

utenti ignari i quali, spinti dalla

per esigenze lavorative.

ingegneria sociale combina

curiosità o tratti in inganno dal

In Italia si stima che il costo


generalmente manipolazione e

mittente della mail,

legato ad un data breach, ovvero

persuasione con elementi di tipo

“abboccano”, cliccando sul link

ad una violazione di sicurezza che

tecnologico.

malevolo, inserendo le proprie

comporta in modo illecito o

La fase di attacco vera e propria

credenziali oppure scaricando

accidentale la distruzione, la

è preceduta da una lunga sessione

un allegato infetto.

2
. Secondo quanto emerge dal Report “2016 Cost of Data Breach Study: Italy”, 2016, Ponemo

INFORMATION SECURITY & PRIVACY |

28

Generalmente i mittenti delle

frequente anche la tecnica del

esempio quando l’attaccante,


mail di phishing fingono di

pretexting, in cui l’attaccante

fingendosi un tecnico IT,

essere organizzazioni

contatta telefonicamente la

contatta telefonicamente alcuni

conosciute, come per esempio

vittima designata simulando un

dipendenti per offrire loro

banche o servizi web che

contesto particolare. Il mittente

supporto, in cambio della

l’utente potrebbe

della telefonata si finge per

richiesta di alcune informazioni

effettivamente utilizzare, che

esempio un dipendente

(es. password) oppure

contattano la vittima

bancario o di un ufficio

chiedendo loro di disattivare


segnalando di aver riscontrato

pubblico e cerca di instaurare

momentaneamente l’antivirus e

un problema oppure

un rapporto di fiducia con

installare un programma

richiedendo la verifica e

l’utente, inducendolo a

contenente malware. Un

l’inserimento di alcune

divulgare le informazioni di cui

cybercriminale che punta ad

informazioni personali. Spesso

ha bisogno.

entrare fisicamente in un’area a

l’attacco può essere studiato e

› Baiting: l’adescamento è una

cui l’accesso è ristretto può

targettizzato ( spear phishing),

metodologia di Social

infine utilizzare la tecnica del


provenire da una mail o da un

Engineering che fa leva sulla

tailgating, semplicemente

nominativo familiare al

curiosità umana. L’hacker

seguendo un dipendente

destinatario e contenere link

utilizza un’esca, lasciando

autorizzato o chiedendo una

che rimandano a pagine web

incustodito e ben in vista un

cortesia fingendo di aver

simili in tutto e per tutto ai siti

supporto di memorizzazione,

dimenticato il badge di accesso

originali. Solitamente le mail di

come una chiavetta USB, un cd,

all’area.

phishing sono progettate per

un hard disk, ecc., contenente

In aggiunta alle numerose


creare un senso di urgenza e,

al suo interno del codice

minacce informatiche provenienti

sebbene contengano elementi

maligno. Lo scopo dell’attacco è

dal mondo esterno, una perdita di

sospetti ed insoliti (es. errori di

quello di indurre la vittima,

dati può essere causata anche da

battitura, dominio mail

spinta dalla curiosità, ad

un evento accidentale, come per

differente da quello utilizzato

inserire il dispositivo nel

esempio il comportamento

solitamente dalla stessa

proprio computer, accedendo

inconsapevole di un utente, la

organizzazione, ecc.) possono

in questo modo all’intera rete

perdita di un dispositivo o la
essere molto efficaci. Una volta

aziendale.

cancellazione involontaria.

che la vittima cade nella

› Trashing: un’ulteriore pratica

trappola dell’attaccante,

utilizzata per ottenere l’accesso

I programmi di creazione

cliccando sul link infetto,

a informazioni riservate è il

di awareness

inserendo le proprie

trashing, metodo tramite il

Per mitigare i rischi legati alla

informazioni personali o

quale i criminali setacciano la

sicurezza informatica, le aziende

salvando l’allegato sul proprio

spazzatura alla ricerca di

non devono soltanto dotarsi di

dispositivo, il cybercriminale
bollette, estratti conto ed altri

sistemi tecnologici, ma anche

ottiene accesso ai dati contenuti

documenti contenenti dati

introdurre iniziative volte a

sul dispositivo per poi

sensibili. Obiettivo degli hacker

educare e rendere consapevoli i

penetrare nell’intera rete e

possono essere anche i sistemi

propri dipendenti rispetto alle

prenderne progressivamente il

che vengono dismessi, come ad

possibili minacce. Benché non sia

controllo.

esempio smartphone, laptop o

possibile annullare

Il phishing può avvenire anche

dispositivi USB guasti, che, se

completamente il rischio

tramite strumenti diversi dalla


non opportunamente resettati,

informatico, un adeguato

posta elettronica: sono infatti

possono essere fonte di

programma di sensibilizzazione

diffusi anche tentativi di frode via

preziose informazioni.

degli utenti, congiuntamente a

SMS ( Smishing) o veicolati tramite

› Altre tecniche: il metodo del

policy e soluzioni di sicurezza,

piattaforme di instant messaging,

Quid pro quo prevede che il

può aiutare a minimizzarlo.

come WhatsApp o Telegram.

social engineer offra un

Generalmente i programmi di

› Pretexting: nell'ambito

servizio o un aiuto in cambio di

formazione messi in atto dalle

dell'ingegneria sociale è di uso


un benefit. Può avvenire per

aziende si pongono un triplice

IL SOLE 24 ORE | Giugno 2017 | Numero 3

29

obiettivo:

criticità, con il risultato ad alto

livello di awareness sia in ottica

› Ridurre il rischio legato a

livello di provocare un

preventiva (es. utilizzo

possibili attacchi informatici,

cambiamento radicale nella

consapevole dei device mobili,

facendo sì che i dipendenti

cultura e nell’approccio dei

gestione delle password, buone

siano maggiormente

dipendenti dell’azienda rispetto ai

pratiche per evitare un incidente

consapevoli delle possibili

temi della sicurezza e della


di sicurezza) sia in logica di

minacce e delle tecniche per

privacy.

risposta alle minacce (es.

evitarle;

Per essere efficace, un

riconoscimento di un attacco

› Aumentare l’empowerment

programma di sensibilizzazione

informatico).

delle risorse, rendendo ogni

deve includere al suo interno

Per ottenere i risultati

singolo utente responsabile

elementi di training formale e

desiderati, la formazione non

della protezione delle

informale. Per training formale si

dev’essere erogata come

informazioni aziendali;

intende un approccio strutturato e


un’iniziativa spot, una tantum, ma

› Rinforzare policy e procedure

controllato, basato su standard

al contrario prevedere attività

comportamentali definite

ben definiti e generalmente

periodiche e continuative in logica

dall’organizzazione (policy

seguito da un momento di

pluriennale. Vista la rapidità di

sull’uso dei computer o di

valutazione. Le iniziative che

evoluzione delle tecnologie e delle

Internet, policy sugli accessi,

possono essere parte di un

minacce, infatti, è fondamentale

ecc.), informando ed educando

programma di training formale

che la popolazione aziendale sia

i dipendenti al rispetto delle

sono per esempio lezioni in aula o


sempre il più possibile aggiornata

stesse.

corsi online, erogati tramite

e consapevole rispetto a ciò che la

Gli aspetti da trattare vanno dalle

slideshow, video, quiz interattivi,

circonda.

linee guida di base, quali per

ecc.

Le iniziative di sensibilizzazione

esempio la protezione dei

Il training informale si basa

devono inoltre essere

dispositivi mobili con cui l’utente

invece su un approccio meno

customizzate rispetto al target di

ha a che fare sia per motivi

strutturato e più “amichevole”. A

riferimento: è ugualmente

lavorativi sia personali (computer,

differenza del training formale


importante educare i dipendenti a

smartphone, tablet), la robustezza

prevede generalmente iniziative

tutti i livelli dell’organizzazione,

delle password e delle credenziali

non obbligatorie, alle quali i

qualsiasi sia la loro funzione di

d’accesso, la protezione dei propri

dipendenti aziendali possono

appartenenza, ma le attività

dati personali, l’utilizzo

scegliere se aderire o meno. Può

formative devono essere in linea

consapevole dei social network e

comprendere attività diverse,

con le caratteristiche e con le

il riconoscimento dei tentativi di

come per esempio pranzi, eventi,

esigenze degli utenti. Dovrebbero

attacco informatico (quali per

campagne mail o video


per esempio essere previsti

esempio spam, tecniche di social

interattive, distribuzione di

programmi di formazione

engineering, ecc.),

materiale come poster o volantini,

specifici per i nuovi assunti,

l’aggiornamento sulle normative

ecc.

piuttosto che sessioni più

vigenti in termini di protezione

Solitamente le aziende

specialistiche per le funzioni

dei dati (es. GDPR), fino a concetti

utilizzano il training informale

aziendali più tecniche, o ancora

più elevati, come il governo delle

come rinforzo, per tenere alta

iniziative dedicate al Top

politiche di sicurezza, le soluzioni

l’attenzione su concetti già


Management o attività indirizzate

di controllo, le migliori pratiche di

trasmessi agli utenti mediante

ai dipendenti che lavorano

prevenzione e di risposta ad

attività di tipo formale. In molti

costantemente a contatto con il

eventuali incidenti.

casi le iniziative si basano su una

pubblico.

Lo scopo è quello di sviluppare

logica di gaming o puntano a

La simulazione di attacchi

negli utenti le competenze

ottenere un forte impatto

informatici rappresenta un

essenziali, le tecniche e i metodi

emozionale sugli utenti, in modo

ulteriore strumento di

fondamentali per prevenire al

da risultare maggiormente
formazione, basato sull’esperienza

massimo i rischi legati alla

efficaci. Le azioni mirano ad agire

diretta, e può essere utile da un

sicurezza e sapere come reagire e

sul comportamento dei

lato a misurare il livello di

comportarsi di fronte ad eventuali

dipendenti per aumentarne il

consapevolezza dei dipendenti,

INFORMATION SECURITY & PRIVACY |

30

mettendone alla prova la

che rappresenti un punto di


utenti aziendali.

resistenza agli attacchi

riferimento per gli utenti per la

Come evidenziato dalla figura

informatici, dall’altro a testare

verifica di email sospette o per

4.1, le iniziative più diffuse

l’efficacia delle iniziative già

fornire supporto e chiarimenti

riguardano comunicazioni

portate avanti.

rispetto alle buone prassi

periodiche inviate ai dipendenti

Un’azienda che vuole utilizzare

comportamentali. Tale figura può

tramite mail (78%) e corsi di

una finta mail di phishing per

essere individuata ad esempio nel

formazione (66%), che avvengono

effettuare una simulazione deve

CISO, o, se presente, nel CERT


attraverso sessioni d’aula o e-

innanzitutto definire il target di

(Computer Emergency Response

learning. Nel 28% dei casi la

utenti di riferimento all’interno

Team) dell’organizzazione.

formazione viene inoltre

dell’organizzazione che subiranno

A seguito di un’iniziativa di

supportata dalla distribuzione

il finto attacco informatico,

creazione di awareness portata

spot di materiale informativo

selezionare la tipologia di mail da

avanti in azienda, qualsiasi sia la

(voucher, booklet, cartellonistica).

inviare (generica o customizzata)

tipologia di attività implementata,

Il 28% delle aziende oggetto

e progettare accuratamente il

è opportuno definire un processo


della Ricerca, inoltre, dichiara di

messaggio in modo che sia

che permetta di tracciare i

effettuare attività di vulnerability

credibile. Per far sì che la

progressi ottenuti e misurare

assessment sui dipendenti

simulazione sia efficace, la mail

l’impatto del programma di

aziendali, per esempio tramite

ricevuta dagli utenti potrebbe per

formazione, mediante la

l’invio di finte mail di phishing o

esempio contenere un link che

definizione di metriche e

simulazioni di attacchi

rimandi ad una pagina di

indicatori di riferimento.

informatici. Sebbene siano poche

warning, in cui inserire delle

le organizzazioni che non si


raccomandazioni sulle buone

La situazione delle aziende

stiano ponendo il problema della

prassi comportamentali da

italiane: i dati della Ricerca

gestione del fattore umano, solo

rispettare in caso di un attacco

Secondo quanto emerge dalla

per il 28% delle imprese si tratta

simile.

Ricerca 2016 dell’Osservatorio

però di veri e propri progetti

Un altro elemento utile per la

Information Security & Privacy, il

strutturati di sensibilizzazione,

creazione di awareness può essere

95% delle grandi organizzazioni

che vengono messi in atto tramite

l’istituzione in azienda di un

intervistate dichiara di aver messo

l’utilizzo di diversi strumenti e


“contact point” per la

in campo almeno un’iniziativa

coprono un orizzonte

segnalazione di eventi anomali,

finalizzata a sensibilizzare gli

pluriennale. •

FIGURA 4.1 – LE INIZIATIVE DI SENSIBILIZZAZIONE

IL SOLE 24 ORE | Giugno 2017 | Numero 3

31

EL1

LE METODOLOGIE DI LAVORO INTERATTIVO DELL'OSSERVATORIO

INFORMATION SECURITY & PRIVACY

L’Osservatorio Information Security & Privacy, nell’ambito della Ricerca, organizza annualm
chiuse finalizzati ad attivare un tavolo di confronto permanente tra i CISO delle grandi aziend
appuntamenti vengono spesso utilizzate metodologie di lavoro interattivo, sviluppate ad hoc p
vengono suddivisi in gruppi, all’interno dei quali viene richiesto ad ognuno di effettuar
propria azienda su un framework di gioco e una successiva discussione all’interno del team di

In particolare è stata sviluppata una metodologia finalizzata ad approfondire il fenomeno del f


il comportamento degli utenti aziendali.

La metodologia prevede i seguenti step, finalizzati a rispondere alle relative domande:

› Mappatura delle iniziative di sensibilizzazione: quali sono le iniziative di sensibilizzazione m


messe in campo in futuro, qual è il loro impatto (misurato o previsto) e a chi sono indirizzate?

› Classificazione delle minacce: qual è il grado di pericolosità e la frequenza di accadimento d

› Descrizione delle tecnologie: Quali sono le soluzioni tecnologiche implementate per mitigare
umano?

Ai partecipanti viene consegnato il tavolo da gioco (figura 4.2) e un set di stickers (

FIGURA 4.2 – IL TAVOLO DA GIOCO

INFORMATION SECURITY & PRIVACY |

32

FIGURA 4.3 – GLI STICKERS


EL2

IL FATTORE UMANO, IMPORTANZA E GESTIONE

CASO 3 BAYER

Bayer è un’azienda globale, con sede a Leverkusen (Germania), che ha competenze chiave nei
Agricoltura.

In Italia conta 3 siti produttivi con impianti fra i più avanzati al mondo, circa 2.100 collaborato

Bayer in Italia attualmente è costituita da società che consentono al Gruppo di essere presente

All’interno dell’Information Technology è presente la funzione Information Security, guidata


business, trend di mercato e potenziali rischi.

Tra le principali progettualità condotte recentemente dall’Information Security rientrano le ini


Awareness Campaign.

Il progetto di Information Classification è stato portato avanti con l’obiettivo di identif


ognuna delle aree di business aziendali, analizzarne il rischio potenziale e pianificare l’implem

L’attività, messa in opera da un team di progetto di 15 diversi gruppi con esperti IT e di busine
diversi cluster di informazioni suddivisi in 3 tipologie, ognuno con caratteristiche ben definite
misure di protezione comportamentali, organizzative e tecniche. All’interno di ogni funzione a
una figura a cui è stata assegnata la responsabilità di garantire la sostenibilità del processo di I

Rispetto al piano Awareness Campaign, nel corso degli anni sono state svolte diverse iniziativ
utenti e creare consapevolezza sul tema della sicurezza e della protezione dei dati a tutti i livel

Nel 2015 è stato realizzato l’Information Security Awareness Workshop, preceduto dalla distr
principi chiave della sicurezza”, raccomandazioni che invitano i dipendenti ad adottare compo
azioni quotidiane, dalla gestione prudente delle informazioni e dei dispositivi aziendali alla pro

L’attività, svolta con l’obiettivo di trasmettere i principi generali sulla sicurezza, ha seguito un
down: la formazione è
stata inizialmente somministrata ai manager, dapprima ingaggiati come partecipanti ai corsi, c
ha permesso di sottolineare come ogni team e ogni singola persona all’interno di essi abbia un

IL SOLE 24 ORE | Giugno 2017 | Numero 3


33

sicurezza delle informazioni.

È stata successivamente promossa una Campagna AntiPhishing, che ha previsto, previo annun
annuncio della campagna, contenente una checklist di elementi utili per individuare e
mail di phishing e la procedura corretta da
seguire per gestire comunicazioni sospette. A questo proposito è stato implementato il servizio
mail di dubbia provenienza perché possano essere esaminate e verificate.

Un’ulteriore iniziativa facente parte del piano Awareness Campaign è il Cyber Security Day, u
organizzata per la prima volta a marzo 2017. Durante l’evento sono stati toccati argomenti rela
ma anche tematiche di attualità che hanno messo in relazione sicurezza aziendale e protezione
sono susseguiti hanno visto la partecipazione di esperti esterni all’organizzazione e di figure a
sicurezza, sia a livello di Corporate Security sia di Information Security, che hanno raccontato

Le attività di sensibilizzazione vengono portate avanti con logica continuativa e pluriennale, p


fattore fondamentale per assicurare la corretta protezione dei dati: oltre all’adozione di difese t
regolamenti, alla definizione di processi, l’azienda ritiene infatti che non sia possibile raggiung
senza considerare anche l’elemento umano. Lo scopo delle iniziative è quello di educare i dipe
il successo dell’organizzazione.

CASO 4 CARREFOUR ITALIA

Carrefour è una del e maggiori catene del a grande distribuzione a livel o mondiale. Fondata n
Africa, per un totale di circa 30 Paesi. La casa madre si trova in Francia, nei pressi di Parigi. Il
vendita dislocati in 18 regioni e oltre 20.000 col aboratori. Nel 2015 Carrefour Italia ha ottenu

In tema di cybersecurity, le strutture dei singoli Paesi sono misurate rispetto a una serie di indi
principalmente in base allo standard ISO/IEC 27001, che hanno la funzione di valutare il livel
degli obiettivi anno per anno. Tali indicatori costituiscono intrinsecamente una linea guida, in

Anche l’Italia ha nominato formalmente un Chief Information Security Officer (CISO) al qual
non meno importante, la definizione del corpo documentale della sicurezza. Il CISO è collocat
che riporta alla Divisione Amministrazione, Finanza e Controllo. Gli aspetti di sicurezza fisica
diversa a riporto del CEO (Direzione Risk & Compliance).

Carrefour Italia è attiva sul tema del fattore umano, poiché ritiene che sia necessario non solo
2010, un programma pluriennale di formazione in materia di cybersecurity, optando per un mo
inizialmente sulla Direzione Sistemi Informativi per poi estendere progressivamente le attività
alle altre funzioni e alle altre sedi.

Il training, svolto sia in aula che online e supportato da comunicazioni periodiche effettuate vi
mail o sfruttando il periodico interno, viene annualmente rilanciato ed arricchito.

Il programma rivolto alla Direzione Sistemi Informativi prende il nome di “Security Week”: le

La Security Week viene organizzata come un convegno a sessioni parallele in cui ogni person
formativo. La settimana inizia con una sessione introduttiva di inquadramento del problema e
si raccolgono le impressioni ed i commenti di tutti i partecipanti. Quest’anno è stato aggiunto
valutazione dell’efficacia della formazione: a tutti i partecipanti viene proposto un questionari

L’incremento del numero di risposte esatte dirà in modo concreto ed immediato quanto l’attiv

A completamento e supporto della formazione precedente, Carrefour Italia effettua periodicam


scopo sia di valutare la capacità di reazione a possibili minacce, sia di creare un’ulteriore form

INFORMATION SECURITY & PRIVACY |

34

credibilità e l’efficacia di tali iniziative vengono utilizzate tecniche di social engineering e atti
mail contenenti
link sospetti, oppure sono stati realizzati finti attacchi con la tecnica del baiting, avvenuti disse

Le attività di sensibilizzazione vengono proposte anche al Top Management, tramite l’elabora


per Direzione. Carrefour Italia è infatti consapevole che la necessità di creare attenzione rispet
coinvolgere tutti i livelli dell’organizzazione e che l’esempio del management aziendale è di fo
comportamenti virtuosi in azienda.

CASO 5 EDISON

Edison S.p.A. è un’azienda italiana attiva nei settori dell’approvvigionamento, produzione e v


grezzo con oltre un milione di clienti. È la più antica società europea nel settore dell’energia e
3.000 dipendenti, in più di 10 Paesi nel mondo, con una potenza installata di 6,5 GW. Il Grupp

L’azienda ha ottenuto nel 2016 un fatturato di oltre 11 miliardi di Euro.

La funzione di Information Security dell’azienda ha portato avanti negli ultimi anni diversi pro
volti a sensibilizzare il personale sui rischi e sulle minacce informatiche.
In particolare, Edison ha sviluppato tre tipologie di iniziative:

› Hacker lunch: in primo luogo sono stati organizzati degli incontri informali, aventi ad oggett
di evitare incidenti di sicurezza. In sede di programmazione si è deciso di trattare non solo tem
procedure lavorative, ma anche relative alle consuetudini nei comportamenti degli utenti nella

Nel corso del 2016 la formazione è stata impartita attraverso una decina di sessioni. Una serie

› In secondo luogo, allo scopo di raggiungere l’intera popolazione aziendale, Edison ha puntat
learning. Nel 2016 il corso, sviluppato in logica tradizionale, si è focalizzato sull’importanza d
mail di phishing.

A partire dal 2017, invece, per aumentare il livello di engagement dei dipendenti, l’azienda ha
line imperniato su una serie di nozioni a difficoltà crescenti (ad esempio come riconoscere i vi

› Infine, sempre nel 2016, la società ha distribuito un libro sulla sicurezza, sviluppato da un es

Le iniziative sono state proposte dalla funzione Security, in collaborazione con la funzione Hu
coinvolto anche la Comunicazione, che si è occupata degli aspetti relativi all’organizzazione d
mail e dell’aggiornamento della Intranet aziendale.

Per verificare l’efficacia delle iniziative messe in atto e l’effettivo livello di apprendimento de
learning basato sul modello “gamification”, ad esempio, sono stati previsti
degli appositi momenti di verifica, in cui sono stati accuratamente analizzati i punteggi ottenut
dei giochi online.

L’identificazione e la definizione delle azioni in tema di sicurezza si basa sulla revisione annu
ISO27001, da cui è emerso in particolare che il rischio connesso al fattore umano era sopra la

Dall’assessment sui rischi scaturiscono anche le scelte relative alle soluzioni tecnologiche da i
l’esistenza di un problema in tale ambito.

INFORMATION SECURITY & PRIVACY

35

PARTE I LO STATO ATTUALE E LE LEVE DI PROGETTAZIONE

5. Il ruolo del "fattore umano",


un rischio percepito

ma spesso sottovalutato

Raoul Brenna *

Lo sviluppo di strumenti di Vulnerability Assessment è

Roberto Puricelli **

estremamente utile per comprendere lo stato di sensibilità

delle persone alla security. I dati sperimentali mostrano

come sia semplice attaccare ed ottenere le credenziali

di utenti con l'utilizzo di semplici campagne di phishing

simulato

Gli eventi degli ultimi anni sottrazione di dati o asset

sociale non si intendono

ci mostrano come

informativi delle aziende colpite,

solamente i complessi attacchi

l’ecosistema del cybercrime

piuttosto che sull’effetto visibile e

mirati che bersagliano la singola

sia in continua e radicale

immediato. Occorre inoltre

persona all’interno di
evoluzione. Ce lo confermano

considerare come lo scenario

un’organizzazione dopo una vasta

anche i numerosi casi di attacco

descritto rappresenti solo la parte

raccolta informativa su di essa.

degli ultimi mesi. Lo sviluppo di

nota rispetto alla reale estensione

L’ingegneria sociale comprende

alcune tecnologie abilitanti e

del fenomeno del cybercrime.

anche gli attacchi più comuni

l’accresciuta disponibilità di

Numerosi attacchi infatti non

come il phishing, spesso solo

“malware” sempre più potenti e

vengono rilevati o (e in questo

blandamente (o per nulla)

semplici da utilizzare, supportano

l’evoluzione normativa potrà

contestualizzato alla realtà


un approccio e una mentalità

aiutare a fare chiarezza) non sono

aziendale che lo riceve e che fa

“business oriented” nel crimine

rivelati al pubblico.

leva semplicemente sull’ingenuità

informatico. Non a caso negli

A prescindere dalla finalità, la

e sulla scarsa alfabetizzazione

ultimi anni sono stati portati alla

maggior parte dei casi di

informatica dell’utente medio per

luce un numero crescente di casi

violazione del perimetro di

spingerlo a “cliccare dove non

di Advanced Persistent Threat

sicurezza informatica aziendale è

deve”.

(APT) e di data breach

abilitata da azioni attuate dalle

(fuga/sottrazione di dati) a danno


persone. Si tratta di dipendenti o

Le persone: una componente

di grandi imprese.

collaboratori delle aziende

essenziale della cybersecurity

Con il termine Advanced

attaccate, manipolati attraverso

Sono in realtà decenni che il

Persistent Threat si intendono gli

tecniche di ingegneria sociale. È

personale delle imprese si pone

attacchi “silenti” focalizzati

importante sfatare subito un

come una delle principali sorgenti

sull’identificazione e sulla

mito: con il termine ingegneria

(consapevoli o più spesso

* Responsabile della Practice Information Security, Cefriel.

** Senior Information Security Specialist, Cefriel.

INFORMATION SECURITY & PRIVACY |

36
EL1

APT: COS'È? PERCHÉ "NON BASTA L'ANTIVIRUS"?

Gli Advanced Persistent Threat (APT) sono una tipologia di attacchi sofisticati e mirati a uno
lo scopo di ottenere accesso ai sistemi informatici e sottrarre informazioni critiche o riservate
intellettuali o dati sensibili di utenti.

Gli APT sono tipicamente guidati da organizzazioni criminali di attivisti o addirittura da gover
essere scoperto le informazioni di valore.

Questo tipo di attacchi è salito alla ribalta nelle cronache negli ultimi anni attraverso i nomi de
colpite. RSA, Sony, JP Morgan Chase, Target sono solo alcune delle aziende che sono state c

Gli APT seguono uno schema comune che, a fronte dell’ottenimento di un primo punto d’acce
struttura informatica interna, mantenendo il più possibile il basso profilo per non esser
questa fase può arrivare a durare settimane o mesi, senza che l’azienda vittima se ne accorga. U
le informazioni critiche, si procede con la loro distruzione o sottrazione, in relazione alle final

È facile comprendere come in attacchi di questo tipo il solo antivirus (ma in generale gli strum
possa non bastare. Al contrario, la vulnerabilità può essere indirizzata a livello “culturale”: risu

inconsapevoli, quantomeno in

specifico, questa tipologia di attacchi

proprio PC (o smartphone). In

termini di implicazioni) degli

va a colpire il personale

questo modo l’attaccante accresce

incidenti di sicurezza, e non solo

dell’amministrazione di un’azienda,

in modo significativo la

“cyber”. Oltre al “tradizionale”


tramite una mail di sollecito di un

percentuale di successo rispetto

ruolo degli insider, che vanno

pagamento che sembra essere inviata

ad attacchi puramente tecnologici

dagli ex-impiegati scontenti, ai

dall’amministratore delegato

(ossia, che fanno leva sulle

consulenti, ai partner o chiunque

dell’azienda (o dal CFO o altri ruoli

vulnerabilità tecniche nei sistemi

possa entrare in contatto con

apicali con analoghi poteri).

esposti su Internet, comunque

porzioni dell’ICT interno (anche

Ovviamente in questo attacco il

spesso presenti). Questo scenario,

solo inserendo una “chiavetta

mittente è falsificato e l’obiettivo

di fatto, è alla base di molti dei

USB” in un PC), è oggi


dell’attaccante e far eseguire un

più recenti data breach. Ad

imprescindibile considerare il

bonifico verso il suo conto corrente.

esempio, durante la scorsa

caso del personale ingannato.

campagna per la presidenza del

Nonostante la relativa

governo degli Stati Uniti, è

QUANDO IL PERSONALE

semplicità della frode, secondo il

emerso lo scandalo relativo alle

RAGGIRATO È IN POSIZIONI

Federal Bureau of Investigation

email trafugate dagli account di

DI VERTICE: IL “CEO SCAM”

(FBI) statunitense, si stima che

Hilary Clinton e di John Podesta, il

Un esempio recente è rappresentato

con questo stratagemma siano

responsabile della campagna


dalle campagne che vanno sotto il

stati sottratti circa 2,3 miliardi di

presidenziale. Anche in quel caso,

nome di “CEO scam”, un tipo di truffa

dollari dal 2014 al 2016.

proprio una finta email che

in cui un attaccante, dotato di un

Gli attaccanti sono ben consci di

sembrava provenire da Google ha

minimo di informazione riguardo

poter manipolare gli utenti per

permesso di compromettere

all’organizzazione interna della

ottenere da loro informazioni

l’account personale di

compagnia, sfrutta tutti i classici

sensibili relative alla privacy, ad

quest’ultimo e di ottenere le

elementi della social engineering

aspetti finanziari e di business o

informazioni che sono state poi


(urgenza, autorità, ecc.) per forzare

semplicemente per indurli ad

rivelate al pubblico. Le email di

l’esecuzione di azioni improprie. Nello

eseguire azioni improprie sul

phishing sono inoltre la base di

IL SOLE 24 ORE | Giugno 2017 | Numero 3

37

EL2

CARBANAK: FUGA DI DATI… E DI SOLDI

utilizzabilità in ottica di

awareness, è quello etico e

Gli attaccanti sono ben consci di poter manipolare gli utenti per ottenere da logiuslavoristico.
ro informazioni sensibili relative alla privacy, ad aspetti finanziari e di business

attività, se svolte in modo

o semplicemente per indurli ad eseguire azioni improprie sul proprio PC (o

realistico, implicano spingere il

smartphone). In questo modo l’attaccante accresce in modo significativo la

personale ad agire in difformità

percentuale di successo rispetto ad attacchi puramente tecnologici (ossia, che

ad eventuali politiche aziendali o


fanno leva sulle vulnerabilità tecniche nei sistemi esposti su Internet, comunistruzioni ricev
que spesso presenti). Questo scenario, di fatto, è alla base di molti dei più recorretto utilizzo d
centi data breach. Ad esempio, durante la scorsa campagna per la presidenza

informatica. Naturalmente i

del governo degli Stati Uniti, è emerso lo scandalo relativo alle email trafugate

cyber-criminali non hanno alcuno

dagli account di Hilary Clinton e di John Podesta, il responsabile della campascrupolo a fare q

gna presidenziale. Anche in quel caso, proprio una finta email che sembrava

evidente che in ambito aziendale

provenire da Google ha permesso di compromettere l’account personale di

un test sul personale debba essere

quest’ultimo e di ottenere le informazioni che sono state poi rivelate al pubbliinquadrato in un

co. Le email di phishing sono inoltre la base di Carbanak, considerato uno dei

metodologico che garantisca il

più grandi attacchi organizzati verso istituzioni finanziarie che ha permesso di

rispetto dell’etica, della relazione

sottrarre un miliardo di Euro.

di fiducia tra dipendente e datore

di lavoro, e della normativa

vigente (variegata, se considerate

Carbanak, considerato uno dei più

del fattore umano soltanto tramite


le differenze tra Stati). Nonostante

grandi attacchi organizzati verso

iniziative sporadiche. Un

tali vincoli sembrino difficili da

istituzioni finanziarie che ha

elemento frenante è certamente il

conciliare, è possibile trovare

permesso di sottrarre un miliardo

coinvolgimento delle persone

modalità organizzative che

di Euro.

come oggetto di verifica, con tutti

permettano di svolgere questo

La situazione attuale porta alla

i potenziali rischi (anche di natura

tipo di verifica.

considerazione che non è più

giuslavoristica) che questo

La ripetuta attuazione di questa

possibile limitare la governance e il

comporta.
tipologia di attività da parte di

management della cybersecurity di

In verità tale preoccupazione

Cefriel ha permesso l’affinamento

un’azienda a fattori di natura

può essere lecita: nell’esperienza

della metodologia che va sotto il

strettamente tecnica. È

di Cefriel, iniziative di successo in

nome di “SocialDriven

fondamentale includere

questa direzione passano per un

Vulnerability Assessment”. La sua

l’elemento umano tra i fattori di

allargamento del coinvolgimento

finalità è quella di arrivare a

rischio e, al fine di attuare

degli interlocutori, rispetto alle

sottoporre in modo realistico il

contromisure idonee e metodi per

sole funzioni IT e all’Information


personale a campagne di spear

la mitigazione che siano davvero

Security. Gli stakeholder rilevanti,

phishing (ossia phishing mirato e

efficaci, occorre prima di tutto

per svariate ragioni e in relazione

contestualizzato, alla realtà

imparare a comprendere e

alla realtà aziendale in cui si

aziendale o alla singola persona),

soprattutto a misurare tale

opera, si allargano a funzioni

verificandone la propensione a

rischio.

come Risorse Umane, Affari

compiere azioni che possono

Legali, Comunicazione. Occorre

mettere a rischio la sicurezza ICT

Come mettere alla prova il fattore

condividere con loro la tipologia

aziendale.
umano?

di rischio, le motivazioni e gli

La verifica prende in

Per quanto negli ultimi anni si

obiettivi dell’iniziativa, così da

considerazione sia l’aspetto

parli sempre più di forme di

giungere ad una definizione

maggiormente “tecnico” (cliccare

assessment che prevedano

condivisa del perimetro della

su link, navigare su siti ed in

l’esecuzione di campagne di

verifica e ottenere il necessario

generale compiere operazioni che

phishing realistiche sul personale,

supporto.

possono agevolare lo

gli approcci e i programmi per la

Un tema strettamente legato

scaricamento di malware sul PC)


sicurezza informatica tendono a

allo svolgimento di queste attività,

sia quello puramente “personale”

includere il filone della protezione

o quantomeno alla loro successiva

(cedere credenziali di accesso


INFORMATION SECURITY & PRIVACY |

38

aziendali e/o altre informazioni

metodologia sviluppata. Sono

generiche, con rimandi a temi

rilevanti).

state coinvolte più di 20 aziende

potenzialmente attrattivi (offerte,

Utilizzando pagine web

di varia natura, per un totale di

convenzioni) e un blando

adeguatamente predisposte e
circa 40.000 persone

richiamo alla grafica aziendale. In

controllate da appositi sistemi, è

complessivamente sottoposte a

alcuni casi invece, il riferimento

possibile infatti tracciare il

test in tutta Europa. Le società

alla specifica società target è stato

comportamento degli utenti sotto

coinvolte appartengono a settori

molto mirato, con la

garanzia di un opportuno livello

merceologici di natura differente:

predisposizione di campagne che

di anonimato e comprendere la

dal bancario assicurativo

di fatto si riallacciavano a reali

reale propensione delle potenziali

all’energetico, passando per il

iniziative aziendali

vittime ad adottare
lusso, i beni di consumo e le

(opportunamente adattate, ma

comportamenti impropri.

pubbliche amministrazioni.

sempre con l’impiego di sole

Peraltro il tema legato a

Il test prevede il tentativo di

informazioni pubblicamente

identificare una metodologia che

ingannare l’utente che riceve la

reperibili).

garantisca il rispetto dell’utente e

mail con una simulazione di un

Si giunge quindi ad un primo

minimizzi gli impatti tecnici

“classico” schema del phishing. Si

risultato rilevante: l’efficacia di

successivi, nella sua complessità e

tenta in particolare di convincere

una campagna di phishing, che

con un perimetro allargato


la vittima a visitare un sito

può essere certamente influenzata

all’intero panorama europeo (e

sconosciuto e sospetto

da aspetti “grafici” o “estetici” nel

alla conseguente frammentazione

(esponendo il proprio PC a rischio

veicolo di promozione adottato,

normativa sul tema della tutela

infezione, seppure simulato) e a

non è invece necessariamente

del lavoratore) è affrontato anche

inserire le proprie credenziali

correlata al livello di

nell’ambito del progetto DOGANA

aziendali in esso (come esempio

contestualizzazione della stessa.

(un’iniziativa Horizon 2020) in cui

di un asset informativo di valore).

In altre parole: chiunque può

Cefriel svolge il ruolo di


Nella maggior parte dei casi,

fare una campagna di phishing

Coordinatore Scientifico.

sebbene l’intento iniziale su cui si

efficace verso un’azienda, senza

è costruita la metodologia di test

necessità di avere specifiche

Ma qual è realmente il rischio?

prevedesse una forte

informazioni di contesto!

Dal 2010 Cefriel ha effettuato un

contestualizzazione a gruppi di

Purtroppo i risultati lo

numero rilevante di simulazioni

persone, le “esche” utilizzate sono

dimostrano.

realistiche condotte seguendo la

state in realtà abbastanza

Il grafico in figura 5.1 riporta


IL SOLE 24 ORE | Giugno 2017 | Numero 3

39

FIGURA 5.2 – L’EFFICACIA DEI TEST DI PHISHING NELLE PRIME


DUE ORE

un riassunto dei risultati ottenuti

entrare in contatto con (e

un’azione potenzialmente

da Cefriel nel corso di questi anni,

provare a compromettere) più di

rischiosa. Addirittura, per

mettendo a confronto le

un PC ogni tre, tra quelli dei

ciascuna campagna, risulta che

esecuzioni delle campagne


dipendenti che ricevono l’email,

all’incirca la metà del tasso di

effettuate relativi ai due step

e di ottenere una credenziale

successo raggiunto dalla

misurati: il “click” sul link e

valida quasi ogni quattro

campagna stessa si ottenga nei

l’inserimento delle credenziali.

dipendenti che ricevono l’email.

primi 20 minuti!

Ogni esecuzione è

Se ciò non fosse sufficiente a

L’analisi è ovviamente

rappresentata da un cerchio, la cui

destare l’attenzione sul tema, può

approssimata, ma è utile provare

dimensione fornisce

essere utile anche considerare i

a confrontare questo valore con i

un’indicazione (qualitativa) della


dati massimi rilevati ad oggi, che

tempi medi di risposta ad un

dimensione dell’azienda. Il

raggiungono quasi il 45% di

attacco di questo genere da parte

posizionamento del cerchio

“click” e quasi il 60% di

delle funzioni che in azienda

nell’area esprime il risultato: in

“cessione” credenziali!

presidiano gli aspetti tecnologici

orizzontale abbiamo la

Ma è l’allargamento dell’analisi

della sicurezza. Anche

percentuale del campione che ha

agli aspetti temporali che

presupponendo un’identificazione

“cliccato sul link” contenuto

permette di soppesare il rischio in

“immediata” di una campagna in

nell’email; in verticale la
tutta la sua concretezza: una

atto (si consideri che email simili

percentuale dello stesso campione

campagna di phishing “moderna”

a quelle utilizzate nelle

che, oltre ad aver cliccato sul link,

è estremamente efficace poiché

simulazioni effettuate

ha anche “ceduto le credenziali

sollecita negli utenti azioni

difficilmente sono rilevate dagli

aziendali”. Non occorre entrare in

impulsive. Nel grafico in figura

strumenti antiphishing

analisi eccessivamente sofisticate

5.2 viene mostrata l’efficacia di

automatizzati), occorre essere

rispetto ai valori in gioco. Basti

alcuni dei test di phishing svolti

attrezzati per poter in pochi

notare come, al di là della


(rappresentati da linee) nelle

minuti arginare gli effetti

percezione del fenomeno in

prime due ore. Ciò che si può

dell’eventuale “click” sul

termini di rischio, i dati oggettivi

notare “a caldo” è la netta crescita

contenuto malevolo. Nel caso di

permettano di dire che una

nei primissimi minuti (sia di

un link, ad esempio, ci sono

campagna di phishing anche

“click” che di inserimenti),

pochissimi minuti di tempo per

blandamente contestualizzata

dimostrando come gli utenti non

svolgere le seguenti azioni di

consente ad un attaccante di

riflettano prima di compiere

“messa in sicurezza”: bloccarne la

INFORMATION SECURITY & PRIVACY |


40

raggiungibilità dei contenuti

rischio (tradizionalmente legato

di altri elementi spesso specifici

mediante i sistemi di filtraggio,

ad aspetti di natura tecnologica o

della singola organizzazione, che

e/o emettere alert al personale sui

di processo) dovrebbe essere

vanno esplorati attentamente alla

media interni (se efficaci), e/o

quello di identificare

luce di una conoscenza puntuale

aggiornare gli strumenti anti

un’appropriata strategia di

delle dinamiche che può

malware (sui PC o sulle reti). Una

mitigazione. Le contromisure “da

provenire solo dall’interno.

sfida tutt’altro che banale.

letteratura” passano attraverso


Tale sfida è resa ancora più

l’awareness. Il termine è da

Il ruolo delle attività di assessment

ardua da un altro aspetto spesso

intendersi in modo ben distinto

del fattore umano nel programma

non banale rilevato da Cefriel

rispetto a quello di “formazione”.

di cybersecurity … e la loro

durante lo svolgimento di queste

Certamente anche la formazione

sostenibilità

simulazioni: intercettare le

può aiutare, tuttavia l’estrema

I rischi del cybercrime abilitati

segnalazioni effettuate dagli

dinamicità del fenomeno da

dalla social engineering possono

utenti durante le campagne. La

contrastare e il numero pressoché

essere compresi facilmente, se


difficoltà nel rilevare tali

illimitato delle possibili varianti di

opportunamente condivisi, anche

comportamenti, è legata alla

attacco induce a privilegiare la

da decisori interni all’azienda di

carenza di awareness, alla poca

costruzione di reale

estrazione non tecnica. Poterli

chiarezza nelle procedure interne

consapevolezza sul tema.

corredare di una valutazione di

e alla poca cura prestata dalle

L’awareness punta su aspetti di

impatto (o quantomeno di

aziende nello stabilire e

motivazione, attenzione e

esposizione) quantitativa può

comunicare precise informazioni

coinvolgimento sul rischio,

aiutare ad individuare risorse per


di contatto a cui riportare

rispetto ad approcci che si

una remediation mirata. Dai

urgentemente questi eventi.

limitino a fornire “checklist” di

dettagli di un’analisi

Un ulteriore aspetto di interesse

cose da fare e da non fare che

contestualizzata possono derivare

è legato al fatto che dall’analisi dei

risultano spesso obsolete ancora

anche indicazioni specifiche sul

risultati non emergono

prima di essere diffuse.

fabbisogno formativo, la cui

significative differenziazioni

In un momento storico di

efficacia può essere monitorata

rispetto ai principali fattori

estrema attenzione sul tema, ma

attraverso ripetizioni periodiche


anagrafici, geografici e anche di

anche sui budget, richiedere di

del test.

ruolo/seniority lavorativi. In

investire tempo e risorse in

Di fatto, oggi è possibile

pratica, anche il management e il

programmi e metodi formativi

reperire sul mercato un certo

personale ICT, per citare esempi

che, già nei riscontri oggettivi

numero di servizi che, ad un costo

di personale che dovrebbe per

ricavabili dai riscontri sul campo,

pressoché trascurabile, mettono a

varie ragioni essere

mostrano un’efficacia

disposizione gli strumenti tecnici

maggiormente in grado di gestire

quantomeno “marginale” può non

per l’esecuzione di questa


la tematica, risulta vulnerabile

essere una scelta vincente.

tipologia di test corredata del

come la media dei dipendenti.

Strade promettenti appaiono

materiale a supporto della

Questo può parzialmente

essere invece essere quelle che

formazione sul fenomeno. La

spiegare le difficoltà di cui si

coinvolgono largamente la

diffusione di tali strumenti è

parlava in precedenza, rispetto

“gamification” (difficile da

avvenuta in anni recenti, sebbene

ad una corretta comprensione

padroneggiare, ma efficace in

in Cefriel la necessità di presidiare

della natura del rischio legato al

termini di coinvolgimento dei

e affrontare questo tipo di rischio


fattore umano, prima ancora che

destinatari): riconoscimenti,

sia stata compresa con largo

di una sua valutazione.

ingaggio “social”, feedback

anticipo.

immediati e fruibili durante tutto

Tuttavia, la pura esecuzione del

Come mitigare questo rischio?

il percorso lavorativo possono

test (inteso come l’invio delle

Dal punto di vista di chi si occupa

essere fattori differenzianti nella

email e il tracciamento dei “click”)

del governo della cybersecurity in

costruzione di un’efficace

è la parte “facile” dell’attività, e

azienda, l’obiettivo finale del

strategia sul tema.

peraltro quella a minor valore

considerare il fattore umano nelle


L’appropriatezza di una strategia

aggiunto. L’esperienza sul campo

attività di assessment dei fattori di

dipende comunque da una serie

mostra come le fasi preliminari

IL SOLE 24 ORE | Giugno 2017 | Numero 3

41

rispetto all’attuazione della

Certo, monitorare in ottica di

in cui il perimetro della tecnologia

verifica, così come

anticipazione dei rischi

da monitorare è in continua

l’interpretazione dei risultati e la

l’evoluzione tecnologica è

evoluzione, ma in cui il presidio

pianificazione di strategie efficaci

fondamentale ma anche sempre

del “fattore umano” si pone come

per la mitigazione del rischio

più complesso: se da un lato le


una delle poche necessità costanti.

abbiano un peso uguale o forse

contromisure “tradizionali” vanno

Pertanto, è essenziale

superiore, specie in realtà

preservate e aggiornate, dall’altro

intraprendere iniziative volte a

aziendali complesse.

devono costantemente essere

comprendere quali siano le

Una metodologia strutturata e

integrate con quelle che si

effettive vulnerabilità connesse

un opportuno ingaggio

appoggiano sulle nuove

alla debolezza del fattore umano

preliminare degli stakeholder

opportunità offerte dalla

all’interno delle imprese e a

permettono sia di “scardinare”

tecnologia.
mitigarne il relativo rischio dal

alcune resistenze intrinseche in

Inoltre, occorre pensare ad

punto di vista della sicurezza

questo tipo di valutazione, sia

aggiungere elementi di sicurezza

informatica. L’introduzione di

(soprattutto) di favorire quella

a tutte quelle infrastrutture che

tematiche “nuove” come questa

necessaria condivisione di intenti

sono già in produzione e che

all’interno dei programmi

che abilita il successivo riuso dei

hanno debolezze intrinseche. Un

strategici di cybersecurity

risultati in ottica di comunicabilità

esempio (e non a caso

consente di scardinare una

(anche attraverso la sola

rappresenta uno degli hype del


condizione di partenza (anche e

informativa agli utenti

momento dal punto di vista della

soprattutto di carattere

dell’avvenuto test).

sicurezza) è quello delle

“culturale”) che prevede che la

In caso contrario, si rischia di

infrastrutture SCADA/ICS, che in

sicurezza ICT sia un “di cui” delle

ricadere in un’attività che viene

generale per motivi storici e di

attività proprie dell’IT stesso.

fatta “da nerd per nerd” (o più

difficoltà implementative sono

Andare oltre questo preconcetto

seriamente attuata e condivisa tra

state realizzate senza considerare

apre la strada a momenti di

soli “tecnocrati”).

(o considerando solo
condivisione formali e a tavoli

parzialmente) gli aspetti di

decisionali che rappresentino le

È sufficiente?

sicurezza.

diverse funzioni e abbiano un

Viene da chiedersi: “l’adozione di

In queste situazioni, da un lato

reale potere di indirizzo e governo

quanto proposto finora, che

occorre agire tempestivamente

della strategia di sicurezza

appare già come ‘sfidante’, è

introducendo elementi di

complessiva.

sufficiente a mitigare

sicurezza attraverso azioni mirate,

A questi tavoli, i risultati di

efficacemente il rischio

dall’altro è necessario attrezzarsi

Vulnerability Assessment sul


rappresentato dai comportamenti

per ottenere l’introduzione di

fattore umano sono quelli che

impropri delle persone?”

paradigmi di sicurezza “by

tipicamente riescono a innescare

Il perimetro tecnologico

design” e “by default” (in questo

le reazioni maggiormente

dell’azienda media si sta

periodo tra l’altro spinti da molti

concrete, anche sfruttandone il

progressivamente non solo

driver, non ultimo il nuovo GDPR

potere attuativo e persuasivo, e

allargando, ma anche

- General Data Protection

che possono alimentare un

“sfilacciando”. Le nuove

Regulation).

“effetto volano” che consenta di


tecnologie entrano ed escono

Per concludere, la cybersecurity

rendere la sicurezza pervasiva

dall’IT aziendale, in modo

oggi affronta un contesto

all’interno di tutte le strutture

variamente presidiato.

complesso e fortemente dinamico,

aziendali. •

INFORMATION SECURITY & PRIVACY

42

PARTE I LO STATO ATTUALE E LE LEVE DI PROGETTAZIONE

6. Le competenze e i ruoli

della gestione dell'information

security & privacy

Alessandro Piva*

Il ruolo del Chief Information Security Officer (CISO)

sta cambiando nel tempo, con una progressiva crescita

di responsabilità nelle organizzazioni. Non si parla più

di figure esclusivamente tecniche, ma di un mix

di competenze che spaziano dalla capacità di gestire


le crisi alla leadership, al modo di comunicare

con il business e il Top Management

La figura del Chief Information

Concentrandosi sull’aspetto di

tuttavia la responsabilità

Security Officer (CISO)

information security, appare

principale di tale figura è quella di

La gestione della sicurezza

evidente la necessità di

garantire che le soluzioni, i

informatica è diventata ormai

identificare un profilo direzionale,

prodotti ed i servizi tecnologici

fondamentale e allo stesso tempo

un capo della sicurezza, che viene

siano sicuri ed affidabili, in modo

critica per le imprese. A livello

chiamato Chief Information

da mantenere il rischio allineato a

internazionale, sempre più spesso


Security Officer (CISO). Si tratta di

quanto richiesto dal Board

il Top Management comprende

una figura direzionale, che per

aziendale.

come sia necessario dotarsi di un

essere totalmente efficace sarebbe

Il ruolo del Chief Information

piano strategico di gestione della

auspicabile riportasse

Security Officer (CISO) sta

security e della privacy. La bontà

direttamente al Chief Executive

evolvendo verso un profilo

di un tale programma passa

Officer (CEO). In grandi

completo, che affianca alle

necessariamente dal disegno di

organizzazioni questa figura può

competenze tecnologiche e

una struttura di governo chiara: al


riportare anche al Chief Operation

organizzative soft skill relazionali,

suo interno le responsabilità

Officer (COO), non perdendo di

conoscenze del dominio di

devono essere definite in modo

efficacia. Una collocazione

business e capacità di sviluppare e

univoco, così come le competenze

organizzativa di minor pregio può

governare un team complesso.

necessarie a svolgere uno

invece ridurre sensibilmente

Oggi aumentare la consapevolezza

specifico compito e i meccanismi

l’efficacia dell’operato del CISO.

delle problematiche di

di misura e monitoraggio della

Spesso le funzioni del

cybersecurity richiede sempre più

qualità dei processi, delle


Responsabile della sicurezza

la capacità di comprendere il

soluzioni tecnologiche e delle

vengono considerate una parte

business, interfacciandosi con i

policy messe in atto.

dell’Information Technology,

responsabili di prodotto, e di

* Direttore Osservatorio Information Security & Privacy, Politecnico di Milano.

IL SOLE 24 ORE | Giugno 2017 | Numero 3

43

comunicare al Top Management i

di assumere una leadership

nel lungo termine.

rischi derivanti dalle nuove

forte. Saper interagire con il

› Crisis management:

minacce con una visione

Board ed influenzarne le

l’accadimento di un incidente

sistemica. Le conoscenze di
decisioni diventa un elemento

può portare tensione sul CISO,

industry diventano distintive, a

fondamentale e discriminante.

che si trova nella condizione di

fronte di obblighi di compliance,

› Strategic thinking: la capacità di

dover gestire una situazione

legislazioni e minacce sempre più

generare idee brillanti ed

critica. La gestione della

focalizzate su settori di mercato

implementarle coerentemente

comunicazione e della

ben identificati. Dotarsi di

con il disegno complessivo

contemporanea risposta

competenze tecnologiche

dell’impresa. Il CISO deve

all’incidente diventa pertanto

eterogenee richiede una


essere un alleato del business

fondamentale.

progressiva strutturazione di ruoli

in grado di interpretare la

› Technology expertise: gli aspetti

e strumenti di governo: diventa

strategia aziendale e

tecnologici rappresentano il

fondamentale sviluppare capacità

comunicare le correlazioni tra

nucleo delle qualità di un CISO,

di Project Management e di

quest’ultima e le scelte di

che deve conoscere minacce,

gestione e sviluppo del capitale

security.

vulnerabilità, rischi e saper

umano.

› Communication: la

governare i sistemi e le relative

Identificare il corretto mix delle


responsabilità degli incidenti di

tecnologie per proteggere

competenze appena citate non è

sicurezza arriva oggi nei Board

l’organizzazione. Deve essere in

semplice e non è univocamente

aziendali, comportando la

grado di poter interloquire con

valido per tutte le situazioni. Il

necessità di avere

gli ingegneri e gli analisti IT in

ruolo ricoperto dal CISO può

rassicurazioni sulle modalità

linguaggio tecnico.

essere maggiormente strategico,

con cui la sicurezza stessa viene

› Risk awareness: la capacità di

non limitandosi esclusivamente a

gestita all’interno

comprendere i potenziali rischi

compiti tecnici, e richiedere


dell’organizzazione. Ciò che

e di prendere decisioni che

maggiore relazione con il

viene richiesto al CISO è di

possano implicarne

management aziendale; in questi

saper analizzare e comunicare

l’assunzione. La sensibilità a

casi le competenze relazionali e di

le scelte fatte in termini di

sviluppare differenti scenari e a

business diventano fondamentali.

gestione del rischio, comparato

modellizzare i possibili

L’attività, per contro, può essere

con altre realtà dello stesso

accadimenti futuri diventa una

orientata alla mera gestione e

settore, o con progetti simili.

qualità imprescindibile.

monitoraggio del servizio, e


Meno frequentemente è

› Data driven approach: le

quindi essere incentrata sulla

richiesto di saper raccontare in

decisioni, nell’era dei Big Data

gestione appunto dei processi e

dettaglio una soluzione

Analytics, possono essere

delle tecnologie. Infine ci può

tecnologica.

basate sui dati. Per il CISO

essere un ruolo di stampo

› Team building: la capacità di

diventa fondamentale saper

manageriale, con la responsabilità

costruire il proprio team di

governare i dati, analizzarli ed

di controllo e supervisione di

esperti di cybersecurity e di

utilizzarli a supporto delle

persone afferenti ad aree di sapere


creare relazioni con gli

proprie scelte, che devono

diverse, dalla gestione del rischio

executive e i decisori chiave

essere supportate da metriche

alla compliance e privacy.

dell’organizzazione.

quantitative.

› Problem solving: l’ecosistema

› Regulation awareness: la

Le caratteristiche

della sicurezza cambia in modo

diffusione di servizi che

di un CISO moderno

repentino e quotidianamente

permettono di raccogliere e

Le principali caratteristiche di un

emergono nuove sfide che

trattare dati online, così come

CISO moderno possono essere

richiedono competenze
la natura stessa di molte grandi

così riassunte:

eterogenee. Il CISO deve saper

organizzazioni multinazionali

› Leadership: la crescita di ruolo

prendere decisioni in tempi

richiedono la capacità di

ed il posizionamento

rapidi, soppesando le

comprendere le differenti

organizzativo procedono di pari

implicazioni di breve periodo

regolamentazioni in vigore nei

passo con la capacità del CISO

con le possibili ripercussioni

differenti Paesi e le relative

INFORMATION SECURITY & PRIVACY |

44

implicazioni in termini di

modelli maturi il CISO ha la

differenti tipologie di attacco è


sicurezza e protezione dei dati.

responsabilità di definire le

un elemento importante per un

policy nel rispetto delle

CISO. Vi sono svariati servizi

Le responsabilità del CISO

regolamentazioni vigenti e

che permettono di avere

Le responsabilità del CISO

riveste il ruolo di auditor nella

informazioni aggiornate. È

possono variare a seconda del

definizione degli standard e

possibile fare riferimento a

settore di industria e della

delle possibili eccezioni.

CERT nazionali (Computer

collocazione organizzativa della

L’implementazione di tali policy

Emergency Response Team)

figura. Tra le principali aree di


risiede poi in altre mani, che

che dispongono di database

responsabilità si possono citare:

hanno l’obiettivo di rendere

aggiornati sulle vulnerabilità

› Assessment della sicurezza: la

operativo quanto indicato dal

rilevate.

responsabilità principale del

CISO.

› Monitoraggio della sicurezza: il

CISO riguarda la comprensione

› Gestione del rischio: la

costante controllo del traffico

della situazione as-is

comprensione delle potenziali

sui diversi canali diventa

dell’impresa, la conduzione

vulnerabilità e minacce per

fondamentale per identificare

della gap analysis tecnologica


l’organizzazione serve al CISO

potenziali minacce. Per

ed organizzativa e

per fornire al Top Management

garantire l’efficacia dei controlli

l’identificazione di un piano

gli elementi per mettere in atto

ed il monitoraggio continuo il

strategico ed una roadmap per

scelte di gestione del rischio

CISO deve sviluppare un

aumentare la readiness

cyber, in termini di politiche e

Security Operation Center

dell’azienda alle minacce della

strumenti coerenti all’interno

(SOC) interno all’azienda, o

sicurezza. Il piano strategico

dell’organizzazione.

avvalersi di un provider esterno

prende in considerazione
L’importanza di attuare una

di servizi gestiti.

processi, tecnologie e modelli

politica di gestione del rischio

› Risposta agli incidenti:

organizzativi.

cyber allineata con la strategia

l’incidenza di un data breach è

Dall’identificazione di una

di impresa diventa

tanto più grave quanto più

strategia discende poi la

fondamentale. Il CISO deve

passa il tempo dalla sua

creazione di un piano

essere in grado di comprendere

identificazione. La capacità di

operativo, che sia in grado di

come affrontare e mitigare il

rispondere in tempi brevi in un

traguardare obiettivi in modo


rischio ed eventualmente se e

momento di crisi diventa

coerente con il tempo ed il

come trasferire parte di tale

fondamentale per mitigare gli

budget a disposizione.

rischio ad una terza parte

effetti dannosi. Il CISO ha il

› Definizione delle policy:

tramite una polizza di Cyber

compito di definire i processi

l’identificazione delle regole e la

Insurance.

da mettere in atto

relativa applicazione prevede il

› Definizione dell’architettura: il

all’accadimento di un incidente

coinvolgimento di differenti

disegno della corretta

e di individuare il team da

funzioni aziendali. È necessario


architettura di gestione della

coinvolgere. In seguito ad un

però che coloro che definiscono

sicurezza ed il monitoraggio

evento di sicurezza il team si

le policy siano soggetti

continuo delle scelte

deve attivare rapidamente, in

differenti rispetto a chi si

architetturali (ad esempio in

modo da valutare le possibili

occupa della reale

seguito a cambiamenti dei

conseguenze e risolvere il

implementazione. Nel caso in

diritti di accesso o dei firewall)

problema nel tempo più breve

cui la responsabilità della

sono fondamentali per

possibile. Per essere efficace è

gestione della sicurezza sia in


prevenire possibili vulnerabilità

necessario definire un piano di

capo ad un componente della

nella rete aziendale. A tal

formazione continuo con

direzione IT non è sempre

proposito è auspicabile che nel

incontri periodici di

scontato che ci sia questa

team cybersecurity ci siano

allineamento.

separazione netta di

professionisti come architetti

› Investigazione forense: in caso di

responsabilità; è quindi

ed ingegneri della sicurezza.

un data breach è necessario

fondamentale definire in modo

› Identificazione delle minacce:

avere la capacità di condurre

chiaro ruoli e relative attività. In


conoscere le nuove minacce e le

indagini forensi.

IL SOLE 24 ORE | Giugno 2017 | Numero 3

45

FIGURA 6.1 – LA DIFFUSIONE DEL CISO

L’investigazione può essere

ICT e fa riferimento al CIO. Solo in

quanto è volta a facilitare il

perseguita con risorse interne o

un 10% dei casi si tratta di una

rispetto, da parte delle singole

più spesso tramite competenze

figura che si rapporta


organizzazioni, delle disposizioni

specialistiche esterne

direttamente al Board aziendale,

dettate dalla nuova disciplina.

all’organizzazione. La

mentre nelle restanti situazioni vi

La sua designazione è

definizione dei corretti processi

sono differenti possibilità: in

obbligatoria nei seguenti casi:

e delle responsabilità diventano

taluni casi (7%) il CISO riporta ad

› il trattamento è effettuato da

elementi distintivi, così come i

una funzione Security Corporate

un’Autorità pubblica o da un

meccanismi di coordinamento

(che si occupa di sicurezza sia

organismo pubblico;

con le altre funzioni aziendali.

fisica sia logica), a Risk


› il “core business” dell’azienda

Management (4%), Operations

consiste in attività che

La situazione in Italia

(4%), o in casi marginali a

richiedono il monitoraggio

Nel campione di grandi imprese

Compliance, Finance o altre

regolare e sistematico di dati

analizzato, emerge come solo nel

strutture (figura 6.1).

degli interessati su larga scala;

46% dei casi sia presente in modo

› il “core business” dell’azienda

formalizzato la figura del CISO,

La figura del Data Protection

consiste nel trattamento su

nel 12% vi sia una presenza non

Officer (DPO)

larga scala di dati “sensibili” e

formalizzata, mentre in un
Il nuovo Regolamento europeo

giudiziari”.

ulteriore 9% ne sia prevista

sulla Data Protection (GDPR)

Si rimanda al capitolo 14 per una

l’introduzione nei prossimi 12

introduce la figura del Data

trattazione di maggiore dettaglio.

mesi. Nei restanti casi non esiste

Protection Officer (DPO). Si tratta

La Ricerca dell’Osservatorio,

una figura dedicata ed il presidio

di una figura con compiti

con riferimento alle grandi

dell’information security è

eterogenei, alcuni di natura

organizzazioni, mostra che in

demandato direttamente al Chief

ispettiva interna (sorvegliare), altri

Italia nel 18% dei casi la figura del

Information Officer (28%) o a


consulenziali (dare pareri), alcuni

DPO è formalizzata, nel 15% è una

figure esterne all’ICT (5%).

interni all’organizzazione del

presenza di tipo informale. Il 31%

Il “ritardo” della situazione

Titolare del trattamento dei dati,

del campione dichiara di volerla

italiana si conferma focalizzandosi

altri esterni (rapporto con gli

introdurre nei prossimi 12 mesi,

sulle organizzazioni dove il CISO è

interessati e con l’autorità di

mentre il restante 34% afferma

presente: nel 65% dei casi infatti

controllo). La sua figura è di

che per il momento non saranno

tale figura fa parte della direzione

fondamentale importanza in

inserite figure di questo tipo. Nel

INFORMATION SECURITY & PRIVACY |


46

2% dei casi la responsabilità è

relativa area di responsabilità.

servizi di security.

delegata ad una figura esterna

› Security Analyst: ha competenze

› Machine Learning Specialist: ha

all’azienda.

di analisi di processo e si

un bagaglio nel campo

occupa di valutare le

dell’analisi statistica, della

Le nuove professionalità

vulnerabilità che possono

matematica e delle tecniche di

in ambito security

interessare reti, apparati,

analytics, si occupa di

Il crescente interesse verso il tema

applicazioni e servizi

sviluppare e monitorare sistemi


della cybersecurity ha portato alla

proponendo soluzioni ed

di risposta real time in grado di

strutturazione di funzioni

accorgimenti pratici. Fa

identificare e trattare possibili

dedicate alla gestione delle

scouting di mercato,

minacce in modo automatico e

tematiche di security

identificando le soluzioni più

cognitivo.

management all’interno delle

adatte a specifici ambiti di

› Security Administrator: si

aziende di dimensioni più grandi.

impiego. Si può occupare di

occupa si rendere operative le

La complessità delle

attività di verifica e conformità

soluzioni tecnologiche di
problematiche richiede

di soluzioni e policy a

security, dalla loro messa in

competenze specialistiche, spesso

specifiche normative. Può

produzione alle attività di

molto difficili da reperire sul

essere inoltre coinvolto nella

manutenzione e supporto agli

mercato.

realizzazione di nuovi

utenti finali.

Le professioni relative alla

prodotti/servizi di security.

› Security Developer: con

gestione della sicurezza

› Security Engineer: ha un forte

competenze informatiche

informatica sono altamente

bagaglio tecnico e modellistico,

specialistiche, si occupa dello


qualificate e le certificazioni molto

si occupa di monitorare i

sviluppo ad hoc di soluzioni di

diffuse. Esistono svariate tipologie

sistemi e proporre soluzioni

security così come

di certificazioni, indirizzate a

relative alla risposta agli

dell’integrazione di servizi di

professionisti con differenti livelli

incidenti. Può avere un ruolo

terze parti.

di seniority. Tra quelle più

attivo in attività di audit, così

› Ethical Hacker: Conosce le

ricercate e diffuse si possono

come nell’identificazione di

principali modalità di

ricordare Certified Information

soluzioni volte a migliorare la

attuazione di penetration test e


Security Professional (CISSP),

sicurezza dell’organizzazione.

ha il compito di mettere in atto

Certified Information System

› Security Architect: ha forti

operazioni in grado di

Auditor (CISA), Certified

compentenze modellistiche, si

dimostrate l’effettiva

Information Security Manager

occupa di svolgere l’assessment

pericolosità di alcune

(CISM), System Security Certified

delle soluzioni di security

vulnerabilità di cui soffre

Practitioner (Security+).

presenti in azienda e di curare

l’azienda. Redige la

È possibile identificare

il disegno armonico e coerente

documentazione per il Top


differenti profili che ricoprono

delle misure di sicurezza e delle

Management e gli executive

ruoli specialistici nell’ambito della

policy adottate

security per argomentare con

sicurezza informatica. Si propone

dall’organizzazione. Viene

elementi concreti i fattori di

di seguito un elenco, non

coinvolto nelle attività di

debolezza nella strategia di

esaustivo, di tali profili e della

disegno di nuovi prodotti e

security dell’organizzazione. •

IL SOLE 24 ORE | Giugno 2017 | Numero 3

47

EL-
1 LE COMPETENZE E I RUOLI DELLA GESTIONE DELL'INFORMATION SECUR

CASO 6 IKEA ITALIA RETAIL

IKEA è un’azienda multinazionale fondata in Svezia nel 1943 e specializzata nella vendita di
per l’arredamento della casa. La società ha sede legale in Olanda e opera in 48 Paesi
sparsi in tutto il mondo. Nel 2016 il suo fatturato ha superato i 34 miliardi di Euro.

In tema di sicurezza informatica, la casa madre del Gruppo IKEA definisce gli end
point da utilizzare e i sistemi di prevenzione e rilevamento, per un totale pari a circa il 70% de
perdita di controllo.

Per valutare gli aspetti di sicurezza delle local solutions che le Countries hanno intenzione di i
completa dell’affidabilità della soluzione e della credibilità del fornitore. I penetration test ven
anche sui sistemi già esistenti.

Ogni struttura nazionale ha la facoltà di creare figure locali che possono rappresentare una sor
in seguito “internazionale”, tanto che ogni Paese è spinto dalla casa madre ad istituirla. Al mo
figura in ambito locale non esistevano linee guida, obiettivi o attività di riferimento e la direzio
da zero, anche in seguito a consulenze esterne.

A livello mondiale va rilevata l’esistenza di un Global Retail Information Security Manager co


relaziona periodicamente all’occorrenza. Tale figura fornisce la direzione, le policy e gli stand

La funzione Information Security in IKEA Italia è inserita all’interno della funzione Risk Man

L’approccio si è evoluto nel tempo: se in passato l’informazione veniva concepita come un be


da proteggere anche per ragioni di compliance normativa. Nel 2015 è stata pertanto associata a

Un tema importante per IKEA Italia è quello relativo alla creazione di consapevolezza. La soc
formazione, indirizzato al management dei vari store, relativo ai rischi legati al mondo IT; in e
casi concreti di incidenti cyber particolarmente rilevanti ed è stato distribuito a tutti i dipenden

Per quanto riguarda la Data Privacy si è invece tenuto un corso dedicato, rivolto alle
aventi normalmente a che fare con i dati personali dei clienti (ad esempio il customer service),

Particolare attenzione è stata dedicata ai cambiamenti normativi: provvedimenti del Governo M


e GDPR. Proprio in vista dell’entrata in vigore del Regolamento europeo, la casa madre si sta
un canale con le Countries al fine di sfruttare il know-
how e le competenze locali e di comprendere le normative interne.

In generale, essendo ormai ben sviluppato un team anche a livello globale, le linee guida sono

Per IKEA l’attenzione al brand è massima, e quello che succede sui social network viene mon
è quella di essere pronti e reattivi nel momento in cui dovessero verificarsi particolari situazio
CASO 7 SNAM

Snam è il leader europeo nella realizzazione e gestione integrata delle infrastrutture del gas na
tra i più importanti a livello continentale (con una capacità di 16,5 miliardi di metri cubi) e il p
Italia. È inoltre presente attraverso sue partecipate in Austria, Francia e Regno Unito.

INFORMATION SECURITY & PRIVACY |

48

Gli investimenti di Snam sono finalizzati a sostenere lo sviluppo delle infrastrutture italiane e
quelle europee, rafforzando la sicurezza, la flessibilità e la liquidità dell’intero sistema gas.

Nel 2016 ha registrato un fatturato pari a circa 2,5 miliardi di Euro.

In qualità di Infrastruttura Critica e Strategica per il Paese, Snam gestisce con la massima atten
estremamente diversificate e di natura geopolitica, sociale, e tecnologica, solo per fare alcuni e
supervisionare nella maniera più completa e affidabile le fonti di minaccia, a prescindere da co
sul piano pratico. In altre parole, deve essere superato il paradigma della sicurezza “a silos”; la
logica, la cybersecurity, la travel security e la security intelligence sono le anime di un unico e

In Snam, tutti questi temi sono affidati a una funzione di Corporate Security che ha la respons
complessiva e gli interventi tattici conseguenti, monitorandone i risultati al fine di identificare
con le esigenze di sicurezza della Società, e dall’altro di vigilare sull’evoluzione delle minacce
come quello tecnologico.

Al contempo, la consapevolezza che i rischi di security costituiscono solo una parte, seppur di
complessivi che Snam deve monitorare e gestire, ha portato la funzione Corporate Security a r
l’adozione di tassonomie e algoritmi coerenti con quelli utilizzati dall’unità di Enterprise Risk
nella condizione di comprendere anche un ambito (la security) con peculiarità specifiche e spe

In questo modello di governo della sicurezza a 360 gradi rientrano inoltre tutti i dipen
chiesto, ciascuno nei limiti del proprio ruolo e mansioni, di partecipare attivamente al manteni
adeguati e coerenti con le esigenze della Società. Dal punto di vista pratico ciò si traduce in du

Per raggiungere questo obiettivo, Snam ha predisposto un programma pluriennale di sensibiliz


che spaziano dall’intera popolazione aziendale fino a specifiche categorie professionali.

Nella consapevolezza, infine, che un adeguato governo della security passi anche attrav
continuativa di logiche di infosharing, Snam sta facendo sistema con il mondo istituzionale (at
tempestività di risposta alle minacce secondo un modello di governo della security il più possi

INFORMATION SECURITY & PRIVACY

49

PARTE I LO STATO ATTUALE E LE LEVE DI PROGETTAZIONE

7. L'information security

nelle piccole

e medie imprese

Luca Dozio*

Per le PMI è complesso investire nella sicurezza

informatica: le risorse sono poche e l'attenzione

è focalizzata sul core business dell'organizzazione.

Vi sono tecnologie che vengono in aiuto offrendo

soluzioni allo stato dell'arte, tuttavia ancora troppe

imprese si affidano al semplice buon senso

La rilevanza di gestire la sicurezza

composto per oltre il 99% da

di piccole dimensioni fanno parte

per le PMI

piccole e medie aziende, quindi

di un ecosistema più complesso di

Nonostante il tema della sicurezza


affrontare più nel dettaglio quelle

aziende e nel momento in cui

interessi in un modo o nell’altro

che possono essere le

subiscono un attacco questo

tutte le realtà aziendali, è evidente

problematiche che affliggono

potrebbe portare a gravi

che ogni organizzazione sia

questa categoria di imprese è

ripercussioni anche sulle altre

esposta in maniera differente alle

fondamentale.

aziende che costituiscono la

singole minacce e soprattutto

In ambito digital gli

filiera. Diventa quindi importante

abbia una diversa capacità di

investimenti principali servono a

mettere in atto contromisure di

fronteggiarle.
garantire il core business,

sicurezza, sia per tutelare la

Le aziende più piccole

assicurando così la sostenibilità

propria organizzazione, sia per

concentrano generalmente i loro

dell’impresa, e molto spesso

poter salvaguardare le

sforzi nel tentativo di migliorare i

rimane ben poco budget da poter

informazioni delle aziende con cui

propri processi produttivi e

allocare ad altre iniziative.

si collabora. Anche un partner, un

garantire al cliente un livello di

L’information security è solo una

fornitore o un cliente, infatti,

servizio sempre superiore, così da

delle tante voci di spesa digital in

possono inconsapevolmente

rimanere competitive e crescere


cui è possibile investire e molti,

fungere da tramite per veicolare

nel tempo. I temi della sicurezza

non avvertendo l’importanza del

un attacco. È il caso, per citare un

cyber sono sottovalutati dalle PMI

tema, la trascurano. L’approccio è

esempio celebre sebbene non

(organizzazioni con meno di 250

quello di minimizzare le

recentissimo, dell’attacco

addetti), poiché si tende a

conseguenze di attacchi cyber,

informatico ai danni di Target,

pensare, sbagliando, che siano

mettendo in atto soluzioni di

costato all’azienda circa 191

problemi che riguardano solo le

difesa avanzate solo dopo aver

milioni di dollari, in cui il punto di

realtà di grandi dimensioni.


subito un danno.

accesso alla rete aziendale

Il nostro tessuto economico è

In molti casi, però, queste realtà

sfruttato dagli hacker fu una

* Ricercatore Osservatorio Information Security & Privacy, Politecnico di Milano.


INFORMATION SECURITY & PRIVACY |

50

piccola impresa fornitrice degli

coinvolte nella Ricerca 803 PMI.

subiti in passato (35%). Questi

impianti di refrigerazione. È

La Ricerca ha analizzato la

numeri mettono in evidenza come

necessario quindi che la

diffusione di soluzioni di
l’approccio sia prevalentemente

sensibilità al tema aumenti, in

information security, la spesa e la

reattivo, cioè volto a far fronte a

modo che non ci siano anelli

sua scomposizione, le motivazioni

un obbligo o attacco esterno. È

deboli all’interno della filiera.

che guidano le scelte delle

necessario far crescere la

Le tecnologie del digitale, come

imprese, la tipologia di soluzioni

sensibilità al fine di passare da un

il Cloud Computing, vengono in

messe in campo e di approccio

approccio reattivo ad una

aiuto a questa categoria di

scelto per difendere

strategia proattiva, dove le

aziende, offrendo servizi

l’organizzazione.
imprese non si muovano solo a

distribuiti con alti livelli di

Secondo quanto emerso dalla

fronte di uno stimolo esterno o

sicurezza, garantiti da

rilevazione, le soluzioni di

dopo aver già subito dei danni,

investimenti ingenti ad opera dei

information security sono

ma prendano l’iniziativa per

provider tecnologici. Questo

ampiamente diffuse nelle PMI: il

cercare di proteggere le proprie

rende possibile alle imprese di

93% delle imprese infatti dichiara

informazioni e quelle di terze

dimensioni ridotte di usufruire di

di aver dedicato alla sicurezza un

parti in loro possesso

sistemi protetti a cui non

budget nel 2016, sebbene questo


preventivamente. Talvolta,

potrebbero altrimenti aver accesso

non corrisponda necessariamente

tuttavia, gli investimenti seguono

in maniera autonoma.

ad un utilizzo maturo e

la necessità di rispondere a nuove

consapevole.

esigenze tecnologiche, che

La situazione

Come illustrato dalla figura 7.1,

richiedono di mettere in sicurezza

attuale delle PMI in Italia

le principali motivazioni che

i dati aziendali (22%), o di

All’interno dell’Osservatorio

guidano le scelte di spesa delle

business (31%).

Information Security & Privacy,

PMI sono l’adeguamento

Al crescere della dimensione


nel corso del 2016 sono state

normativo (48%) e gli attacchi

delle imprese aumenta la

IL SOLE 24 ORE | Giugno 2017 | Numero 3

51

(79%), mentre le aziende del

FIGURA 7.2 – LO STATO DI MATURITÀ

settore Telecomunicazioni sono

quelle che hanno sviluppato

policy aziendali in modo più

diffuso (66%).

Se, da un lato, le grandi imprese

sembrano percepire il rischio


legato al fattore umano, dalla

Ricerca emerge come le PMI

sembrino invece sottovalutare la

tematica della creazione di

consapevolezza tra i propri

dipendenti. Solo il 9% delle realtà

di piccole dimensioni (tra i 10 e i

49 addetti) dichiara infatti di

effettuare specifici programmi di

formazione per aumentare la

consapevolezza delle risorse

rispetto ai rischi informatici (corsi

online o in aula, mail periodiche

di aggiornamento, distribuzione

necessità di adeguare i propri

parte delle PMI, sebbene spesso le

materiale informativo, ecc.). La

standard alle nuove esigenze

aziende siano erroneamente

rilevanza attribuita alle azioni di

tecnologiche: la percentuale di
convinte che una soluzione di

sensibilizzazione cresce con

aziende che dichiara di essere

base sia sufficiente per tutelarsi. È

l’aumentare della dimensione

principalmente guidata da questo

un ragionamento comune,

aziendale, attestandosi al 20% per

driver cresce infatti dal 21% delle

supportato dal fatto che molte

le aziende medio-piccole (tra i 50

piccole imprese (10-49 addetti), al

volte si tende a ritenere

e i 99 addetti) e al 24% per le

32% delle imprese di dimensioni

un’azienda di dimensioni più

imprese più grandi (tra i 100 e i

maggiori (100-249 addetti).

ridotte meno soggetta ad attacchi,

249 addetti).

Se emergono differenze legate


poiché meno “attraente” per un

Il fattore umano, come già

alle dimensioni d’impresa,

criminale rispetto a realtà di

evidenziato in precedenza, è una

dall’analisi settoriale si evince

dimensioni maggiori. In realtà,

variabile che, se non governata,

invece come l’esigenza di

essendo più semplici da attaccare,

può avere gravi ripercussioni sul

adeguamento normativo sia la

le piccole imprese rappresentano

livello di sicurezza aziendale.

principale motivazione di spesa

in molti casi gli obiettivi più

Dalle rilevazioni (figura 7.2)

per ogni comparto esaminato. Il

interessanti, poiché anche

emerge che un’organizzazione su

settore dei Servizi risulta essere,


richiedendo piccole somme di

quattro (25%) si affida al buon

in termini di spesa in information

denaro è possibile ottenere

senso dei propri dipendenti, senza

security, quello maggiormente

risultati molti profittevoli a fronte

seguire un approccio tecnologico

guidato dalle esigenze di business

della loro numerosità (per

definito. Il 46% delle imprese ha

(36%).

esempio in caso di attacchi

per contro policy aziendali ben

La maggior parte delle imprese

ransomware con una richiesta di

definite, mentre solo il 10% ha

dispone di soluzioni di sicurezza

riscatto modesta, perpetrati però

programmi di formazione

di base (76%) quali per esempio


su larga scala).

orientati ad aumentare la

antivirus ed antispam ed il 62%

Secondo quanto analizzato,

consapevolezza. Questi dati vanno

dichiara di disporre anche di

alcuni settori si rivelano più

letti tenendo in considerazione le

soluzioni sofisticate, come firewall

virtuosi di altri: le aziende del

risorse limitate a disposizione di

o sistemi di intrusion detection.

Finance, ad esempio, sono quelle

tali imprese: le PMI dispongono

Questi dati mettono in evidenza

caratterizzate da un maggior

infatti di una minore capacità di

come il tema sia noto alla maggior

impiego di soluzioni sofisticate

spesa da dedicare all’erogazione

INFORMATION SECURITY & PRIVACY |


52

di questo tipo di corsi, e il numero

deve stupire che le fasi di

limitare i danni che ne potrebbero

di ore che i dipendenti possono

identificazione e protezione siano

derivare. Per fare questo sono

dedicare ai vari incontri è spesso

quelle maggiormente presidiate.

richieste tecnologie che

scarso, poiché può implicare un

Si tratta infatti degli approcci a

monitorino in maniera costante il

rallentamento dei processi

cui, anche con una bassa

sistema informativo aziendale e

produttivi.

conoscenza della tematica, è più

che notifichino prontamente

L’approccio alla sicurezza nelle

facile prestare attenzione: nella


un’offensiva in corso. Una volta

PMI è orientato prevalentemente

fase di protezione, ad esempio,

rilevato un attacco è necessario

all’ identificazione (66%) e alla

può rientrare la semplice e banale

avere delle procedure che

protezione (66%), molto meno alla

installazione di un antivirus.

definiscano le azioni da

rilevazione (12%) e alla risposta

Sono però le fasi di risposta e

intraprendere al fine di isolarlo e

(15%). L’attenzione alla rilevazione

rilevazione che rappresentano

tecnologie in grado di supportare

cresce all’aumentare della

una buona cartina tornasole della

tali attività. Nei casi peggiori, in

dimensione di impresa, passando

maturità di un’azienda nei


cui il sistema venga

dall’11% delle piccole imprese (10-

confronti della sicurezza.

compromesso, è necessario

49 addetti) al 20% delle aziende di

Partendo dal presupposto infatti

disporre di sistemi di Disaster

dimensioni maggiori (100-249

che non è possibile garantire un

Recovery e Business Continuity,

addetti). Il settore delle

livello completo di sicurezza e

che permettano di recuperare tutti

Telecomunicazioni appare quello

protezione dagli attacchi

i dati persi e di garantire il

maggiormente orientato agli

informatici e che ogni azienda

normale funzionamento dei

aspetti di risposta (40%).

può esserne vittima in qualsiasi


sistemi, così da non avere

Assodato che ognuno degli

momento, essere in grado di

ripercussioni nel livello di servizio

approcci ricopre un ruolo

rendersi conto che si sta subendo

fornito ai propri clienti e da non

ugualmente importante nella

un attacco significa anche essere

creare problemi ad attività core

mitigazione del rischio cyber, non

in grado di reagire prontamente e

per l’azienda. •

INFORMATION SECURITY & PRIVACY

53

PARTE II -
L'INNOVAZIONE DIGITALE E LE IMPLICAZIONI SULLA SECURITY-

8. I Big Data

e la Cyber Intelligence:

raccolta e utilizzo

Giorgia Dragoni*
La disponibilità di grandi quantità di dati offre

Ilaria Guindani**

opportunità di innovazione importanti, anche nel mondo

della sicurezza. L'utilizzo è ancora focalizzato ad azioni

ex post in seguito ad incidenti, per attività di audit o per

creare una base di conoscenza, risulta invece limitato

lo sviluppo ex ante di modelli predittivi di monitoraggio

delle minacce

Un’enorme mole di dati

dal 2012 vengano creati ogni

adatti, secondo le proprie

a disposizione

giorno circa 2,5 Exabyte di nuovi

esigenze, per raccogliere ed

Negli ultimi anni abbiamo

dati: il 90% dei dati attualmente a

estrarre valore dai dati eterogenei

assistito ad una vera e propria

disposizione è stato generato

disponibili quotidianamente.

esplosione di dati, generati a


soltanto nel corso degli ultimi 2

Con il termine Big Data si fa

grandissima velocità da una

anni 1 . Considerando a titolo

riferimento a dati che possiedono

moltitudine di fonti informative. I

esemplificativo il mondo dei

le seguenti caratteristiche:

dati possono essere generati dalle

Social Media come nuova fonte di

› Volume: si tratta di un’ingente

interazioni tra dispositivi

dati, si possono mostrare numeri

massa di dati generata

elettronici ( machinetomachine;

significativi: gli utenti social attivi

attraverso numerosi canali, in

esempio: sensori, RFId, ecc.), tra

in tutto il mondo sono circa 2.79

continuo aumento a ritmi

persone (p eopletopeople;
miliardi 2 ; in un minuto vengono

difficilmente prevedibili;

esempio: social network), oppure

generati circa 440 mila tweet su

› Velocità: considera la rapidità

dalla relazione tra uomo e

Twitter, 4.2 miliardi di like su

con la quale i dati vengono

dispositivi elettronici ( peopleto

Facebook, 11 mila ricerche su

generati e acquisiti. Si tratta di

machine; esempio: transazioni

LinkedIn.

una caratteristica legata alla

legate agli acquisti online).

Le organizzazioni si trovano

proliferazione di dispositivi

Per dare un’idea dell’entità del

quindi oggi ad avere la possibilità

dotati di sensoristica capace di

fenomeno, si stima che a partire


di poter scegliere gli strumenti più

raccogliere dati in tempo reale;

* Ricercatrice Senior Osservatorio Information Security & Privacy, Politecnico di Milano.

** Ricercatrice Osservatorio Big Data Analytics & Business Intelligence, Politecnico di Milan

1 . Dal Report“10 Key Marketing Trends For 2017,” IBM Marketing Cloud.

2 . Fonte: www.wearesocial.com.
INFORMATION SECURITY & PRIVACY |

54

› Varietà: è legata alle differenti

l’insieme di logiche di estrazione

905 milioni di Euro. In

tipologie di dati disponibili

flessibili, metodologie di analisi e

particolare, la componente legata

provenienti da un numero

modelli matematici di predizione


ai Big Data ha visto un

crescente di fonti eterogenee. I

e ottimizzazione. Le soluzioni di

incremento del 44%,

dati possono essere strutturati

Analytics sono i tools tecnologici

raggiungendo i 183 milioni di

o non strutturati, interni

attraverso i quali è possibile

Euro.

oppure esterni alle

realizzare le analisi e applicare i

Se da un lato è bene

organizzazioni;

modelli sui dati. Utilizzando

considerare che i Big Data

› Veridicità: il termine fa

adeguati strumenti di Analytics è

introducono nuove sfide per

riferimento alla qualità dei dati

possibile effettuare analisi sia di


quanto riguarda la privacy e la

e alla loro affidabilità, la cui

tipo descrittivo, orientate a

protezione dei dati, specialmente

garanzia rappresenta una sfida

rappresentare la situazione

in caso di gestione di dati

molto importante;

attuale e passata di un particolare

personali o particolarmente

› Variabilità: esprime la

processo o sistema, ma anche di

sensibili, dall’altro lato la crescita

mutevolezza del significato o

tipo predittivo, per rispondere a

esponenziale dei dati stessi

dell’interpretazione di un dato

domande relative a cosa potrebbe

introduce nuove possibilità di

a seconda del contesto in cui lo

accadere nel futuro, seguendo una


estrazione di valore che possono

stesso viene raccolto ed

logica di anticipazione e

generare enormi opportunità per

analizzato (figura 8.1).

previsione.

le aziende, anche dal punto di

I Big Data rappresentano una

Secondo i dati dell’Osservatorio

vista delle strategie di sicurezza.

fonte inestimabile di valore, che è

Big Data Analytics & Business

possibile estrarre dalle

Intelligence del Politecnico di

Un cambiamento di approccio

informazioni a disposizione

Milano, il mercato Analytics nel

necessario: la Cyber Intelligence

tramite opportuni strumenti di

2016 ha registrato una crescita

È innanzitutto necessario partire


Analytics. Per Analytics si intende

pari al 15%, per un valore totale di

dal presupposto che le minacce


IL SOLE 24 ORE | Giugno 2017 | Numero 3

55

danni diventa così estremamente

complicato, e crea un grande

vantaggio per i cybercriminali:

essere riconosciuti come utenti

regolari permette loro di muoversi


indisturbati nella rete aziendale.

Se da un lato all’attaccante

bastano pochi minuti per

provocare un incidente, per

contro il tempo medio che le

aziende impiegano per

individuare un breach di

sicurezza, secondo analisti

internazionali, è pari a 205 giorni:

un intervallo di tempo

lunghissimo, in cui l’attaccante ha

la possibilità di esplorare a fondo i

sistemi, per progettare un furto di

dati su grande scala o

l’interruzione di un servizio

essenziale.

L’asset da proteggere non è più

informatiche stanno diventando

minacce. Spesso gli attaccanti

(solo) il device, ma piuttosto

sempre più parte integrante del


sfruttano infatti vulnerabilità

l’informazione, il dato, e questo

tessuto digitale aziendale e che

zero-day, non ancora note

nuovo approccio richiede la

non è possibile attuare misure in

pubblicamente, per ottenere

capacità di intercettare e

grado di evitare con certezza una

l’accesso ai sistemi, che possono

anticipare le minacce.

violazione della sicurezza. In

permettere loro di rimanere ignoti

In questo contesto trovano

questo scenario, accanto

e nascosti anche per lungo tempo

applicazione le metodologie e gli

all’approccio tradizionale basato

dopo aver lanciato l’attacco.

strumenti di Analytics citate

sulla protezione dei sistemi, le


Gli attacchi di tipo APT

precedentemente: nell’ambito

aziende stanno cominciando ad

(Advanced Persistent Threat), che

della sicurezza si parla di Cyber

adottare una logica di

hanno visto una rapida e

Intelligence. L’integrazione di dati

prevenzione e anticipazione delle

crescente diffusione negli ultimi

provenienti da varie fonti (es. dati

minacce. Le organizzazioni hanno

anni, sfruttano proprio questa

sugli incidenti avvenuti a livello

infatti a disposizione una grande

caratteristica: si tratta infatti di

mondiale, indirizzi IP, log, URL

quantità di dati, che possono

attacchi sofisticati che prendono

sospette provenienti dalle

analizzare per cercare di


di mira un obiettivo colpendolo da

segnalazioni degli utenti, ecc.)

sviluppare nuove strategie di

più fronti, restando silenti per il

permette di sviluppare modelli di

sicurezza.

tempo necessario all’esplorazione

monitoraggio delle minacce in

Le tecnologie atte a proteggere

degli asset informativi delle

grado di intercettare possibili

il perimetro aziendale da

aziende colpite.

anomalie e gestirle prima che la

eventuali intrusioni, infatti, non

Un aggressore potrebbe inoltre

situazione diventi effettivamente

bastano più a garantire una

utilizzare le credenziali di accesso

critica.

protezione completa dalle


di un dipendente

Per Cyber Intelligence si

violazioni. Pur rimanendo un

dell’organizzazione per penetrare

intende la raccolta e l’analisi di

elemento cruciale e necessario,

nella rete, passando

dati che possono essere utili a

infatti, l’approccio perimetrale

momentaneamente inosservato.

proteggere gli asset critici

non è più sufficiente, perché non

Distinguere un’attività lecita dal

dell’azienda, sviluppando una

riesce a evolvere di pari passo con

comportamento di un

conoscenza profonda dei propri

la continua nascita di nuove

malintenzionato intento a fare

avversari, delle minacce, dei

INFORMATION SECURITY & PRIVACY |


56

metodi di attacco utilizzati. La

logica di analisi predittiva;

questo approccio si definisce

Cyber Intelligence può aiutare a

› Produzione e Disseminazione

Human Intelligence (HUMINT) e

prevenire attacchi o a ridurre il

intelligence: è la fase in cui

punta a sfruttare i contatti

tempo necessario per la loro

l’intelligence viene

interpersonali come fonte

individuazione, tramite la raccolta

effettivamente prodotta e

informativa.

di informazioni che mettano in

condivisa con gli utenti finali,

Tra le fonti esterne sono da

luce i rischi e le minacce.

con il Top Management, con i


considerare sia le fonti

peer di settore e con

pubblicamente disponibili (per

Il processo della Cyber Intelligence

organizzazioni nazionali e

OSINT – Open Source

Un approccio basato sulla Cyber

internazionali;

INTelligence – si intende l'attività

Intelligence punta ad utilizzare

› Valutazione: consiste nel

di raccolta di informazioni

abilmente diverse fonti

verificare che i risultati siano

mediante la consultazione di fonti

informative, per comprendere

effettivamente in linea con i

di pubblico accesso), come per

come operano i potenziali

requisiti stabiliti e nella ri-

esempio i CERT Nazionali 3 , sia


attaccanti e valutare quale rischio

valutazione delle informazioni

l’utilizzo di dati messi a

potrebbero rappresentare per

in base ai feedback degli utenti.

disposizione da vendor, sia la

l’azienda, mettendo in relazione

È la fase che può dare avvio ad

raccolta di informazioni da deep o

minacce esterne, vulnerabilità

un nuovo ciclo di intelligence.

dark web, per intercettare

interne e impatti ipotetici (figura

Come anticipato, la raccolta dei

minacce emergenti.

8.2).

dati grezzi necessari a soddisfare i

Più che un processo end-to-

requisiti definiti può avvenire

La situazione delle aziende italiane

end, la Cyber Intelligence si


attraverso diverse fonti: interne o

Secondo i dati emersi dalla

configura come un processo

esterne, proprietarie o open

Ricerca dell’Osservatorio

circolare. Il processo tradizionale

source.

Information Security & Privacy, il

di intelligence prevede i seguenti

Internamente è possibile

tema dell’analisi dei dati legati al

passi, ripetuti ciclicamente:

reperire dati sui tentativi di

mondo dell’information security è

› Pianificazione e definizione

attacco subìti, sulle misure di

presidiato dal 57% delle grandi

requisiti: si declina nella

sicurezza messe in atto, sulle

organizzazioni intervistate,

determinazione degli obiettivi,


anomalie rilevate e mettere in

tramite l’esistenza di un presidio

nella scelta degli asset da

evidenza i punti deboli e le

formale (28%) o informale (29%).

analizzare e monitorare,

vulnerabilità dell’azienda. In

Per l’8% delle aziende esiste un

nell’allocazione delle risorse,

molte organizzazioni le

presidio, ma al di fuori delle

nell’individuazione delle

informazioni sono raccolte in un

attività core dell’information

competenze;

SIEM (Security Information and

security e nel restante 35% dei

› Raccolta dati: consiste nella

Event Management), un sistema

casi il tema non è presidiato

ricerca e ottenimento dei dati


che integra capacità di SIM

(figura 8.3).

grezzi da elaborare e può

(Security Information

Il 32% delle imprese del

avvenire tramite una

Management), componente che si

campione dichiara di non

molteplicità di fonti differenti;

occupa di log management,

utilizzare i dati per interpretare

› Analisi: lo scopo dell’analisi è

analisi e produzione di report, e

e/o anticipare criticità. Il restante

l’integrazione, la valutazione e

SEM (Security Event

68%, invece, ha già implementato

la correlazione dei dati raccolti,

Management), elemento deputato

azioni in questo ambito. In

con lo scopo di trasformarli in


al monitoraggio in real-time, alla

particolare, il 20% delle

informazioni da cui estrarre

correlazione di eventi e alla

organizzazioni utilizza i dati e li

insight di valore. In questa fase

notifica.

correla con diverse fonti

vengono utilizzate tecniche e

È inoltre possibile raccogliere

informative ex ante per sviluppare

metodologie di Analytics, in

dati utili anche dalle persone:

modelli predittivi di monitoraggio

3
. I CERT (Computer Emergency Response Team) sono organizzazioni, generalmente finanziat
raccogliere le segnalazioni di incidenti informatici e potenziali vulnerabilità nei software che
stessi informazioni utili per la prevenzione e soluzione di problemi legati alla sicurezza inform
IL SOLE 24 ORE | Giugno 2017 | Numero 3

57

FIGURA 8.3. – LA CYBER INTELLIGENCE

delle minacce (in ottica, appunto,

39% delle organizzazioni li

ad attacchi passati vengono

di Cyber Intelligence). Il 23% li

analizza ex post in seguito ad

inoltre analizzati per creare una

analizza in tempo reale per

incidenti per attività

base di conoscenza delle minacce

risolvere più velocemente una

prevalentemente legate ad audit


e degli attacchi stessi e sviluppare

situazione di minaccia, mentre il

aziendali. Per il 31%, i dati relativi

strategie di risposta/azione. •

INFORMATION SECURITY & PRIVACY

58

PARTE II -
L'INNOVAZIONE DIGITALE E LE IMPLICAZIONI SULLA SECURITY-

9. I modelli

di sicurezza

per il Cloud Computing

Luca Dozio*

La progressiva diffusione del Cloud Computing ha portato

Marina Natalucci**

ad un'esternalizzazione di porzioni di sistemi

informativi, offrendo modelli scalabili di gestione della

tecnologia. Tuttavia aumentano le minacce da gestire

in un mondo sempre più connesso e interdipendente

Cos’è il Cloud Computing e perché

gestione IT tradizionale.

acquistato in base alle reali


cambia i modelli di sicurezza

Dal punto di vista tecnologico,

esigenze aziendali e pagato in

Negli ultimi anni, il Cloud

secondo la definizione del NIST

base agli effettivi consumi. In

Computing è andato affermandosi

(National Institute for Standards

questo modo, il rischio legato ai

nelle aziende come nuovo ed

and Technology), il Cloud

progetti IT si riduce

essenziale modello di fruizione

Computing è un insieme di servizi

notevolmente, in quanto si passa

delle tecnologie ICT (Information

ICT accessibili on-demand e in

da un investimento in capitale

& Communication Technology) in

modalità self-service tramite

fisso a spese operative correnti e


quanto permette di accedere ai

tecnologie Internet, basati su

variabili.

servizi aggiornati e

risorse condivise, caratterizzati da

I servizi Cloud possono essere

tecnologicamente avanzati di un

rapida scalabilità e dalla

classificati secondo tre modelli di

service provider attraverso la rete,

misurabilità puntuale dei livelli di

servizio:

pagandoli direttamente al

performance, in modo da poter

› Infrastructure as a Service

consumo. In questo modo, la

essere pagati in base al consumo.

(IaaS), in cui il provider offre

gestione interna dell’Information

Dal punto di vista commerciale, il

all’utente risorse di calcolo,


Technology diventa molto più

Cloud Computing permette di

come rete, storage, capacità

asset-light e il time-to-market

ridurre complessivamente i costi

elaborativa, sulle quali

della digitalizzazione viene

in quanto l’aggregazione di

installare e gestire

notevolmente ridotto. Tuttavia,

diversi profili di domanda su

autonomamente le proprie

per sfruttare le opportunità di

risorse condivise permette di

applicazioni;

questo paradigma, le aziende

raggiungere economie di scala

› Platform as a Service (PaaS), in

devono dotarsi di strumenti e best

oltre ad abilitare l’erogazione

cui il provider offre all’utente,


practice per la gestione della

flessibile dei servizi. Attraverso

già preinstallate e configurate,

sicurezza, diversi o comunque

questo paradigma, l’Information

piattaforme ottimizzate per lo

evoluti rispetto a quelli tipici della

Technology diventa un servizio

sviluppo, il testing e

* Ricercatore Osservatorio Information Security & Privacy, Politecnico di Milano.

** Ricercatrice Osservatorio Cloud & ICT as a Service, Politecnico di Milano.


IL SOLE 24 ORE | Giugno 2017 | Numero 3

59

l’erogazione delle applicazioni;

quale vengono affidate anche le

destare preoccupazioni nelle

› Software as a Service (SaaS), in

operazioni di manutenzione e

aziende.

cui il provider offre all’utente

di gestione;

Infatti, il cliente usufruisce di

applicazioni gestite su
› Cloud Pubblico: l’infrastruttura

servizi basati su infrastrutture che

un’infrastruttura Cloud.

Cloud è di proprietà del service

non sono sotto suo controllo e

Vi sono inoltre differenti modalità

provider, che eroga servizi

gestione ma sono di proprietà del

di implementazione dei servizi

disponibili al pubblico

provider. In termini di sicurezza,

Cloud, identificate secondo tre

attraverso Internet su risorse

questo genera due tipi di

modelli di deployment:

condivise da più utenti. Gli

considerazioni: da una parte, il

› Cloud Privato: l’infrastruttura

investimenti infrastrutturali

provider ha capacità di

rimane dedicata
sono interamente sostenuti dal

investimento tali da poter mettere

esclusivamente

fornitore, mentre il cliente paga

in piedi strumenti molto più

all’organizzazione utente, che

a consumo solamente per i

potenti di quanto potrebbe

ne ha il pieno controllo. Il

servizi effettivamente fruiti;

realizzare un team di sicurezza

Cloud privato può risiedere nel

› Community Cloud:

interno all’azienda. D’altro canto,

Data Center dell’impresa stessa,

l’infrastruttura è condivisa da

perdere controllo su informazioni

rimanendo sotto la gestione del

un numero limitato di

e servizi critici per il business è

personale interno, oppure può


organizzazioni, ad esempio un

oggi uno dei maggiori elementi di

essere affidato ad un fornitore

consorzio di imprese. Gli

freno per le aziende nell’adozione

esterno specializzato,

investimenti necessari alla

di servizi Cloud. Secondo quanto

diventando quindi un Managed

realizzazione dell’infrastruttura

emerge dalla Ricerca 2016

Private Cloud. In quest’ultimo

e il controllo della stessa sono

dell’Osservatorio Cloud & ICT as a

caso, gli asset fisici sono di

ripartiti tra gli enti partecipanti

Service del Politecnico di Milano,

proprietà dell’azienda e solo la

alla community. Ugualmente al

infatti, tra le aziende che già

gestione del Data Center è


Cloud Privato, il Community

adottano servizi Public Cloud, gli

affidata all’operatore terzo.

Cloud può essere Hosted,

aspetti maggiormente frenanti

Inoltre, esiste il caso del Hosted

Managed oppure ospitato e

sono proprio la tutela della

Private Cloud, in cui le

gestito internamente

privacy e della riservatezza (nel

infrastrutture vengono ospitate

(figura 9.1).

38% dei casi), la sicurezza dei dati

sul Data Center del fornitore, al

È specialmente il Cloud Pubblico a

(25%) e le problematiche di

INFORMATION SECURITY & PRIVACY |

60

indisponibilità del servizio

modifica il perimetro di
relativamente agli ambienti Cloud,

(23%) 1 .

attenzione per la sicurezza stessa,

le grandi imprese italiane

In effetti, i casi di furto dei dati

non più relativa unicamente ad

percepiscono come principali

si sono moltiplicati negli ultimi

un dominio interno ai confini

minacce alla sicurezza la

anni. Solo nel 2016, Yahoo ha

aziendali, ed è quindi necessario

mancanza di controllo sulle

ammesso di essere stata colpita

che le organizzazioni aggiornino

operations del service provider

da due pesanti cyber attacchi,

ed evolvano la propria strategia di

(63% degli intervistati), i problemi

avvenuti tra il 2013 e il 2014, in

protezione.
derivanti dal lock in con il

cui sono stati rubati i dati riferiti a

fornitore (46%), i possibili data

più di 1 miliardo di account.

Le minacce alla sicurezza nel Cloud

breach e la scarsa trasparenza

Anche l’indisponibilità dei sistemi,

e le best practice per proteggersi

rispetto agli obblighi contrattuali

e quindi l’impossibilità per le

Secondo l’Osservatorio Cloud &

(42%) 2 . È chiaro l’intreccio tra

aziende di accedere ai propri

ICT as a Service del Politecnico di

minacce tecnologiche e aspetti più

servizi business-critical, spaventa

Milano, il mercato del Cloud

legati al contratto e alla relazione

molto e ve ne sono alcuni casi

Computing in Italia ha raggiunto

con il fornitore: da una parte è


recenti: ad esempio, nel Marzo

un valore complessivo di 1,77

necessario essere consapevoli

2017, il leader del mercato Public

miliardi di Euro nel 2016, con una

delle nuove minacce alla sicurezza

Cloud, Amazon Web Services

dinamica di crescita del 18%

introdotte dal Cloud e di come

(AWS), ha avuto un’interruzione

rispetto all’anno precedente.

affrontarle, dall’altra bisogna

dei servizi di alcuni sistemi per tre

L’approccio delle aziende italiane

evolvere gli strumenti contrattuali

ore durante le quali i siti Internet

verso i progetti di Public Cloud è

affinché pratiche, responsabilità e

di molte aziende, che risiedevano

ormai maturo, con iniziative

livelli di disponibilità dei servizi


sulle infrastrutture del famoso

importanti che coinvolgono

del provider siano chiaramente

provider, non hanno più

infrastrutture e applicativi sempre

definiti.

funzionato.

più business-critical. Questo

Come già accennato, la

Le paure più comuni tra le

comporta, da un lato, una

sicurezza del dato è uno degli

aziende italiane non sono quindi

focalizzazione dei cyber-attacchi

elementi scatenanti per queste

ingiustificate ma non si può

sui grandi provider di servizi

preoccupazioni perché è ormai

affermare che il Cloud Computing

Cloud, ormai detentori di dati

fonte essenziale di vantaggio


sia più o meno sicuro rispetto ai

sensibili e processi core di facile

competitivo. Il data breach è

sistemi tradizionali. Infatti, questo

monetizzazione per gli hacker;

considerato infatti una minaccia

modello porta anche dei vantaggi

dall’altro, i Sistemi Informativi

molto rilevante: si tratta di

in termini di sicurezza: per

aziendali stanno evolvendo verso

incidenti in cui dati sensibili o

esempio, i sistemi sono più

ambienti sempre più ibridi, in cui

informazioni confidenziali

semplici da aggiornare e di

infrastrutture e applicativi interni

vengono rilasciate, visualizzate,

conseguenza più difficilmente

devono integrarsi in maniera

rubate o utilizzate da un
attaccabili, e la sicurezza diventa

veloce, flessibile e sicura con i

individuo non autorizzato. Questi

dominio del provider riducendo

servizi fruiti in Cloud. Il Cloud

incidenti non sono una minaccia

l’onere della gestione interna.

rappresenta quindi sia un nuovo

solo nel Cloud Computing ma,

Inoltre, le esperienze di gestione

focus di attacco sia un nuovo

come anticipato, rappresentano

della sicurezza tradizionale

punto d’ingresso per la

una tra le preoccupazioni di

accumulate negli anni non sono

compromissione dei sistemi

maggior freno per le aziende nella

inutili, anzi continuano ad avere

interni all’azienda.

decisione di usufruire di questi


la loro validità pur non essendo

Secondo la Ricerca 2016

servizi. Il data breach potrebbe

più sufficienti. È d’altro canto

dell’Osservatorio Information

derivare da un attacco hacker

vero che il Cloud Computing

Security and Privacy del

oppure essere il risultato di un

introduce nuove minacce e

Politecnico di Milano,

errore umano, di una

1
. L’indagine ha coinvolto 110 grandi organizzazioni e 800 piccole e medie organizzazioni pre

2
. L’indagine ha coinvolto 148 grandi organizzazioni e 803 piccole e medie organizzazioni pre

IL SOLE 24 ORE | Giugno 2017 | Numero 3

61

vulnerabilità nelle applicazioni o

debolezza dei sistemi. Inoltre, i

dotato di specifici strumenti di

di pratiche di sicurezza aziendali


servizi Cloud più consumer, come

monitoraggio e che, in caso di

non adeguate. Oltre alla presenza

Dropbox, Onedrive e Google

attacco, gli amministratori di

di potenziali attaccanti all’esterno

Drive, vengono spesso utilizzati

sistema siano in grado di

dell’azienda, si aggiungono quindi

segretamente dal personale

accedere immediatamente alle

anche gli elementi di errore e

aziendale in modo estemporaneo

risorse per poter mitigare il

incidente indesiderato che

e non governato come strumenti

problema.

potrebbero causare il rilascio o la

per la gestione della produttività

› Gestione inadeguata di

perdita di dati critici.


personale o per lo scambio di

identità, credenziali e accessi:

Un elemento che spesso

documenti, generando ulteriori

le identità e le chiavi

amplifica le minacce relative al

vulnerabilità in termini di

crittografiche sono asset di

Cloud Computing è il cosiddetto

sicurezza. Il tema è molto

valore perché aumentano le

fenomeno dello Shadow IT, ovvero

significativo e oggi le aziende ne

difese contro attacchi e data

quando applicazioni e

hanno poca consapevolezza:

breach, dunque le relative

infrastrutture di Information

infatti, secondo l’Osservatorio

pratiche di protezione e

Technology vengono utilizzate


Information Security and Privacy,

monitoraggio devono essere

senza che la Direzione IT ne sia

il 30% delle grandi aziende

adeguate. Nel caso di servizi

consapevole. Le tecnologie digitali

intervistate dichiara di non

fruiti in Cloud, è importante

sono sempre più pervasive e

presidiare in alcun modo le

interconnettere i sistemi di

ormai non sono più solo un

minacce relative ad ambienti

gestione delle identità con

supporto al business ma ne

Cloud consumer, mentre il 57% le

quelli del provider, creando una

diventano parte integrante. Di

presidia limitandone l’utilizzo ad

singola identità elettronica

conseguenza, le Linee di Business


alcuni servizi specifici, il 17%

degli utenti e quindi avendo

richiedono alla Direzione IT

tramite una policy

una visione chiara sulle

performance molto più elevate in

comportamentale e il 5%

modalità di gestione della

termini di velocità di risposta

attraverso una piattaforma di

sicurezza correlata.

nell’introduzione di nuove

gestione o monitoraggio dei

Un’autenticazione multi-

tecnologie. Attualmente però, i

suddetti servizi2.

fattoriale deve essere richiesta a

progetti seguono pratiche di

Dal punto di vista tecnologico,

tutti gli operatori e gli utenti

gestione molto rigide e la


alcune delle minacce più comuni

del servizio Cloud, ad esempio

tempestività di risposta della

relative al Public Cloud sono le

attraverso smartcard, password

Direzione IT non è sempre

seguenti:

“usa e getta” e cellulare, al fine

soddisfacente, tanto che a volte

› Denial-of-Service (DDoS): I

di evitare che password deboli

questo inibisce il raggiungimento

DDoS sono attacchi portati a

possano rischiare di essere

degli obiettivi di business. Il

termine con lo scopo di

rubate. Inoltre, le chiavi

Public Cloud introduce una logica

impedire agli utenti di accedere

crittografiche utilizzate per

secondo cui l’IT diventa un


ai propri dati o applicazioni. In

proteggere l’accesso ai dati

servizio rapidamente disponibile e

pratica, l’attaccante cerca di

devono ruotare e cambiare

pagato in base al consumo, in

forzare il servizio Cloud al

periodicamente in modo da

maniera estremamente più

consumo di un elevato numero

ridurre il tempo di vulnerabilità

semplice ed efficiente. Questo

di risorse in modo da rallentare

a disposizione degli hacker in

cambiamento nel modo di fruire

drasticamente il

caso di attacco. Come

le tecnologie riduce la percezione

funzionamento del sistema.

accennato, nella fruizione di

di centralità della Direzione IT che


Oltre a creare un rallentamento

servizi Cloud, queste pratiche

viene sempre più spesso

del business, questo genere di

di sicurezza devono essere ben

bypassata nell’acquisto dei servizi

attacchi può generare un

definite con il provider perché

Cloud. Una Direzione IT quindi

consumo di risorse tale da

un accesso non autorizzato ai

inconsapevole dei servizi utilizzati

aumentare significativamente il

dati può creare ingenti danni

in azienda non può attuare una

costo dei servizi Cloud,

all’organizzazione e agli utenti

strategia di sicurezza adeguata

riducendone la convenienza. È

finali. Un esempio recente delle

generando nuovi punti di


importante che il sistema sia

possibili conseguenze di questa

INFORMATION SECURITY & PRIVACY |

62

minaccia è quello di GitHub,

sicurezza relativi a

contenente un link ad un sito

piattaforma di sviluppo open

confidenzialità, integrità e

malevolo, qualsiasi utente può

source dove gli sviluppatori

disponibilità dei servizi.

essere indotto ad installare un

mettono a disposizione il

Rendendo il sistema esposto

software che, tramite la

codice sorgente a beneficio di

all’esterno dei confini aziendali,

semplice modifica delle

altri. In pratica, un provider di

le API diventano un punto


impostazioni di

servizi Cloud ha erroneamente

focale per gli attacchi hacker. Il

sincronizzazione, crea una

pubblicato le credenziali del

fornitore deve quindi

copia di tutto ciò che viene

proprio account AWS

assicurare che le pratiche di

memorizzato nel Cloud.

lavorando il codice su GitHub.

sicurezza siano ben integrate

› Sicurezza dell’Hypervisor:

Si è poi scoperto che GitHub

nel proprio modello di servizio

l’Hypervisor è una funzione che

rappresenta un punto di

con test rigorosi e continua

astrae e isola i sistemi operativi

attenzione per gli hacker che

revisione del codice lungo tutto


e le applicazioni dalle

vogliono minare le monete

il ciclo di vita delle API. Un

infrastrutture sottostanti. In

virtuali come Bitcoin e che

esempio recente è l’attacco

questo modo, più macchine

quindi ricercano le credenziali

subito dall’Internal Revenue

virtuali possono girare sulla

di accesso ad AWS che per

Service (IRS) americano nel

stessa macchina hardware

sbaglio vengono rilasciate dagli

2015 in cui sono stati rubati i

condividendo le risorse fisiche.

sviluppatori durante la

dati personali di più di 300.000

Nel Cloud, soprattutto nello

modifica del codice sorgente.

account a causa dell’utilizzo


scenario Infrastructure as a

› Sicurezza delle API

fraudolento dell’API “get

Service, le risorse sono

(Application Programming

transcript” con cui l’utente può

condivise tra più clienti.

Interface): le API sono

richiedere i rimborsi sulle tasse

Dunque, se il modello di

interfacce applicative che i

pagate. Gli hacker sono riusciti

sicurezza dell’Hypervisor

Cloud provider rendono

a sottrarre informazioni sugli

presenta delle vulnerabilità,

disponibili ai propri clienti al

account e a compilare false

l’isolamento delle risorse può

fine di gestire e interagire con i

dichiarazioni dei redditi per poi


essere compromesso

servizi Cloud, automatizzandoli

richiedere i rimborsi all’IRS.

generando un accesso non

e integrandoli in maniera

› Attacchi agli amministratori

autorizzato ai dati.

semplice. Inoltre, le aziende

Cloud o installazione di

› Vulnerabilità del sistema: si

utenti possono riutilizzare le

software malevolo: è altamente

tratta di bug di sistema che gli

API del provider per offrire

probabile che all’interno della

attaccanti possono sfruttare per

servizi a valore aggiunto ai

posta elettronica degli

rubare i dati, prendere il

propri clienti, accrescendone la

amministratori IT vi siano
controllo o distruggere le

complessità di gestione. La

riferimenti alle credenziali di

operations del sistema stesso.

disponibilità e la sicurezza dei

accesso al portale di

Questo tipo di minaccia non è

servizi in Cloud è quindi

amministrazione del Public

certamente nuovo ma nel

fortemente dipendente dalla

Cloud. Gli attaccanti,

Cloud risulta amplificato dal

sicurezza di queste interfacce:

prendendo il controllo

fatto che le risorse sono

le API potrebbero presentare

dell’account email, possono

condivise tra più clienti e

vulnerabilità dal punto di vista

effettuare modifiche e ottenere


quindi si crea un nuovo strato

di accesso e password,

l’accesso alle risorse in Cloud. È

di attacco. Le conseguenze di

trasmissione del contenuto,

dunque necessario porre

questo genere di attacchi

autorizzazioni, limitate capacità

maggiore attenzione alle

possono essere considerevoli,

di monitoraggio e dipendenze

workstation degli

tuttavia il costo per mitigare il

sconosciute da altri servizi o

amministratori, limitandone

rischio è basso e legato a

API. Tutto questo potrebbe

per esempio l’accesso ad

normali processi IT come

portare ad un loro utilizzo

Internet o controllandone il
l’aggiornamento dei sistemi, i

improprio sia accidentale sia

flusso di email. Con riferimento

patching specifici per i sistemi

intenzionale esponendo

ai rischi legati alla workstation,

di sicurezza e i regolari test

l’azienda a problemi di

attraverso l’invio di una mail

sulle vulnerabilità (vulnerability

IL SOLE 24 ORE | Giugno 2017 | Numero 3

63

FIGURA 9.2 – LA CLOUD SECURITY


scanning).

definire per contratto dei livelli

utilizzo delle tecnologie Cloud. È

minimi di servizio (SLA) sulla

importante indirizzare le scelte

I contratti Cloud e la relazione

protezione dei dati, sulla

secondo queste valutazioni

con il fornitore

continuità del servizio, sui

preliminari, orientandosi verso

Secondo la Ricerca 2016

controlli di sicurezza, sulle

determinati modelli di servizio o

dell’Osservatorio Cloud & ICT as a

modalità di virtualizzazione e di

fornitori in base alle esigenze

Service del Politecnico di Milano,

isolamento dell’Hypervisor,

d’impresa.

la garanzia di sicurezza e
nonché sull’aggiornamento dei

Oltre alle garanzie in termini di

affidabilità è il criterio più

sistemi.

funzionamento del servizio,

rilevante per l’87% delle aziende

I contratti attualmente proposti

occorre porre attenzione alle

nella scelta del fornitore di servizi

sul mercato sono spesso

responsabilità del provider in caso

Cloud1. Relativamente alle

standardizzati, in una logica che

di impossibilità di utilizzazione

minacce per la sicurezza citate,

deriva anche dalla natura

del servizio e perdita dei dati.

risulta evidente come, oltre a

consumer dei servizi Cloud e che

Molto spesso queste clausole

buone pratiche di sicurezza


spesso poco si addice alle

prevedono la limitazione o

interne all’azienda tra cui anche la

esigenze specifiche delle realtà

addirittura l’esclusione della

sensibilizzazione del personale,

aziendali. Inoltre, talvolta il

responsabilità del fornitore, in

sia fondamentale avere una chiara

provider è poco trasparente

maniera estremamente

comprensione delle pratiche

rispetto ai termini del servizio e le

sbilanciata a favore di

implementate dal fornitore.

prestazioni definite sono

quest’ultimo. Inoltre, talvolta i

Infatti, il provider stesso deve

esageratamente generiche,

contratti prevedono il diritto di

gestire in maniera sicura l’accesso


limitando il potere negoziale del

modifica unilaterale delle

dei propri operatori, deve

cliente a cui viene imposto un

condizioni contrattuali da parte

garantire l’isolamento dei dati

accordo rigido in maniera

del provider, esercitabile più o

sulle risorse condivise da più

unilaterale. La valutazione

meno in ogni momento del

clienti, la sicurezza delle API e

precontrattuale del servizio è

rapporto, salvo il diritto di recesso

l’aggiornamento dei sistemi, deve

dunque un momento

accordato all’utente. Per tutelarsi,

assicurare che le risorse siano

fondamentale in cui porre

si dovrebbe richiedere che queste

immediatamente e correttamente
attenzione alle caratteristiche

modifiche non siano peggiorative

allocate secondo la disponibilità

tecniche, alle condizioni

per il cliente, che gli siano

richiesta. È importante quindi

economiche e ai termini di

sottoposte e comunicate in

INFORMATION SECURITY & PRIVACY |

64

maniera diretta e non

che per contratto venga chiarito

sicurezza (20%) e in minima parte

semplicemente pubblicate sul sito

che il cliente è il vero possessore

gli aspetti relativi alla disciplina

e tacitamente accettate, e che

dei dati, i quali quindi dovranno

del subappalto e al trasferimento

divengano effettive solo al

essergli restituiti a fine rapporto, e


dei dati all’estero. Inoltre,

rinnovo contrattuale.

che quest’ultimo abbia sempre la

l’indagine ha analizzato quali

Infine, come già accennato, una

possibilità di accedere ai dati

sono le competenze richieste alla

delle maggiori preoccupazioni

criptati, possedendone le chiavi

Direzione IT per governare

relative al Cloud riguarda il lock

crittografiche, e ai dati di

efficacemente la transizione in

in col fornitore, ovvero il rischio

autenticazione degli utenti

atto verso i servizi Cloud e

che quest’ultimo renda complicata

(figura 9.2).

proprio il Contract Management si

la transizione di dati e

La Ricerca 2016
è posizionato al primo posto,

applicazioni verso i servizi di un

dell’Osservatorio Cloud & ICT as a

risultando essenziale per il 28%

altro provider. Ovviamente il

Service ha analizzato quali sono

delle organizzazioni1.

livello di rischio è diverso a

gli aspetti da presidiare

Concludendo, i servizi Cloud

seconda del modello di servizio

maggiormente nella stesura dei

rappresentano una modalità di

utilizzato, ovvero Infrastructure,

contratti Public Cloud,

fruizione delle tecnologie ICT che

Platform o Software as a Service.

individuando nel trattamento dei

permette alle aziende di stare al

Nel caso di servizi IaaS il controllo

dati l’elemento di maggior


passo con l’innovazione in

sulle risorse è maggiore, mentre

rilevanza (nel 47% delle aziende

maniera agile ed efficiente.

già un’applicazione personalizzata

che già usufruiscono di servizi

Risulta chiaro come la derivante

rispetto a certe funzionalità di un

Cloud), ovvero dove i dati sono

perdita di controllo sulle risorse

servizio PaaS può diventare molto

archiviati, chi può accedervi, se e

fisiche elevi la sicurezza a priorità

costosa da adattare ad altre

in che misura si prevede il

chiave per chi vuole cogliere le

piattaforme. Un esempio di

coinvolgimento di subfornitori, e

opportunità di questo paradigma.

rallentamento della migrazione

quali sono le modalità di


In quest’ottica, è fondamentale

dei servizi verso quelli di un

cancellazione alla cessazione del

non rendere la sicurezza stessa un

competitor è quello in cui il

rapporto ecc. A seguire, gli aspetti

freno a quest’evoluzione ma

fornitore sfrutta la giustificazione

maggiormente presidiati sono il

sfruttare la transizione verso il

dei controlli di sicurezza per

regime di responsabilità del

Cloud come occasione per

limitare l’accesso ai dati ed

fornitore (nel 25% dei casi), la

migliorare i propri processi,

impedire una transizione

descrizione dettagliata delle

introdurre nuove pratiche e

semplice. È dunque importante

misure e delle procedure di


sensibilizzare il personale sul

tema, in modo da uscirne nel

EL1

I MODELLI DI SICUREZZA PER IL CLOUD COMP

c U

o T

m IN

pl G

esso rafforzati. •

CASO 8 INFRACOM

Infracom Italia opera dal 1999 sul mercato nazionale dei servizi ICT, offrendo alle azi
servizi e piattaforme tecnologiche abilitanti per indirizzare le esigenze di comunicazione

L’headquarter è a Verona e l’azienda è presente in tutta Italia, con centri di competenza a Mila

Infracom conta su una rete in fibra ottica proprietaria di oltre 9.000 chilometri, 3 Data Center p
di oltre 300 professionisti con i quali ha costruito un ecosistema integrato e distintivo di asset,

Per l’azienda la security è un elemento centrale, che rappresenta un prerequisito sostanziale de


la sua natura in perenne evoluzione ed è una componente soggetta a costanti aggiornamenti.

Guidata da questa visione, e con l’obiettivo di supportare le aziende clienti sul tema sempre pi
delle potenziali minacce al loro business, Infracom ha costruito un vero e proprio centro di com
che, anche grazie alla collaborazione con Nest2, ha l’obiettivo di continuare il percorso di raff

L’azienda ha impostato la propria strategia partendo dalla necessità di assicurare il risp


della sicurezza delle informazioni: disponibilità, confidenzialità e integrità.

IL SOLE 24 ORE | Giugno 2017 | Numero 3

65
Disponibilità, confidenzialità e integrità si basano a loro volta su tre pilastri:

› Garanzia dell’autenticità, che passa per l’autenticazione degli utenti e dalla gestione d
attività che necessitano di essere svolte;

› Attribuzione, che prevede il tracciamento delle attività compiute dagli utenti identificati sulle

› Garanzia del “non ripudio” delle attività realizzate (chi ha fatto una determinata attività su un

La confidenzialità è quindi garantita dal fatto che l’utente sia perfettamente identificato e che l
stessi.

L’integrità è assicurata dal fatto che i dati siano mantenuti coerenti con le azioni svolte dall’ut
delle persone autorizzate, possa accedervi.

La disponibilità, intesa come garanzia della continuità di servizio, è invece sostenuta attravers
e geograficamente distribuiti che evitano eventuali interruzioni nelle attività dell’utente.

Infracom dispone, infatti, di 3 Data Center, situati a Milano Caldera, Assago e Verona. Assago
costituiscono una sorta di Data Center esteso. Le macchine in ridondanza tra le due strutture o
incidente in una delle due infrastrutture, quindi, la Business Continuity è assicurata, senza nes

Sono poi disponibili sistemi di Disaster Recovery, che garantiscono la continuità anche in caso
Data Center sopracitati, dando la possibilità di ripristinare le informazioni con la potenziale pe
cliente.

L’azienda dispone inoltre di sistemi di sicurezza perimetrale (fisica e logica): Infrastrutture de


rischio del sistema informativo aziendale, definendo aree di servizio omogenee ed in grado di
antivirus e antispam, che filtrano il traffico in ingresso, anche di sistemi di sandboxing, che cre
file sospetti vengono aperti, fatti “detonare” e, in caso di rilevazione di minaccia, bloccati prim

In Infracom operano anche sistemi di behaviour analysis, dedicati a verificare che le informaz
rete vengano trasferite in modo “consono”, tramite l’acquisizione e la storicizzazione dei dati,
learning che identificano il comportamento standard delle macchine utente. Tramite monitorag
quindi in grado di rilevare automaticamente comportamenti anomali, che si discostano dallo st

Il punto di riferimento per la parte di difesa perimetrale è Nest2, per tutto quello che riguarda s
Firewall, Intrusion Detection e Sandboxing.
Il contesto esterno in costante evoluzione implica la necessità di continui investimenti in sicur
fault safe environment.

[1] Per latenza si intende l’intervallo di tempo che intercorre fra il momento in cui arriva l'inpu
cui è disponibile il suo output. In altre parole, la latenza costituisce il ritardo nella comunicazio

CASO 9 LENDING SOLUTION

Lending Solution S.r.l. nasce nel 2010 come società di consulenza e software destinati
creditizia. L’obiettivo dell’azienda è quello di aiutare le imprese operanti in tale settore a migl

Il core business di Lending Solution è incentrato sui seguenti ambiti:

› Erogazione di servizi di supporto per la prevenzione delle truffe e l’identificazione remota de

INFORMATION SECURITY & PRIVACY |

66

› Servizi di informazione commerciale;

› Creazione di software destinati al settore dell’intermediazione finanziaria, tra cui il primo Sis

Per le PMI, e in particolare per un’azienda come Lending Solution, che deve rispettare requisi
piccola di non immobilizzare capitale ingente togliendo risorse ad altri impieghi.

Attualmente Lending Solution è in grado di garantire un Recovery Point Objective[1] (RPO) d

Il ricorso al Cloud genera per un’azienda importanti implicazioni in termini di sicurezza. La si


che va ad impattare su tutta l’organizzazione aziendale, in termini di processi, organizzazione,

Il Cloud consente di gestire agevolmente aspetti critici come il Disaster Recovery e la Busines
delle apparecchiature dipende anche dalla loro localizzazione. Una società di grandi dimension
piccola è imprescindibile l’utilizzo di un Data Center esterno
per avere accesso a certe tecnologie.

Un’altra possibile vulnerabilità è legata alla gestione delle risorse umane. Pur essendo impossi
non è possibile avere pieno controllo sull’essere umano, che tramite comportamenti inconsape
Un metodo efficace per prevenire problemi legati anche al fattore umano è innanzitutto quello
di audit, ossia svolgendo periodicamente azioni di controllo anche sulla struttura che ospita i d
verificare il rispetto degli standard di sicurezza adottati.

Valutati i benefici, Lending Solution ha deciso di adottare tecnologie Cloud, affidandos


scelta di un vendor locale è stata guidata in primo luogo dalla necessità di sapere con certezza
avere la garanzia che fossero trattati nel rispetto della normativa vigente; in secondo luogo dal
facilmente le azioni di audit necessarie a verificare nel tempo il rispetto dei requisiti di sicurez

[1] Il Recovery Point Objective (RPO) rappresenta il tempo massimo che deve intercorrere tra
sua messa in sicurezza, fornendo la misura della quantità di dati che il sistema può perdere a c

[2] Il Recovery Time Objective (RTO) rappresenta il tempo necessario per il pieno recupero d

INFORMATION SECURITY & PRIVACY

67

PARTE II -
L'INNOVAZIONE DIGITALE E LE IMPLICAZIONI SULLA SECURITY-

10. La Mobile Security,

rilevanza

e modelli comportamentali

Luca Dozio*

Le nuove modalità di lavoro smart portano le persone

ad utilizzare sempre maggiormente dispositivi mobili,

anche al di fuori dei confini aziendali. Nuovi modelli

comportamentali e tecnologie possono accompagnare

questo cambiamento, garantendo la sicurezza dei dati


personali ed aziendali

La rilevanza della Mobile Security

portato all’utilizzo sempre più

al contrario di quelli riguardanti i

Per Mobile Security si intende la

massivo di dispositivi mobile

laptop. Va anche considerato che

protezione di smartphone, tablet,

oltre i confini aziendali. Quasi la

gli attacchi informatici rivolti a

laptop e tutti i device mobili e

totalità delle aziende (97%) mette

computer esistono, per questioni

della rete a cui sono connessi.

a disposizione dei propri

storiche, da tempo maggiore

Si tratta di un tema sempre più

dipendenti device mobili, siano

rispetto a quelli rivolti a tablet e

attuale e pervasivo, vista la

essi notebook, smartphone,


smartphone, che sono strumenti

sempre maggiore diffusione

tablet o mobile business app,

di più recente diffusione. Questo

degli smartphone, ormai

legate per esempio alla

fa percepire, erroneamente,

diventati uno strumento di uso

produttività personale (es. mail) e

questi device come più sicuri;

comune. Secondo stime

al supporto della forza vendita 2 .

inoltre l’utilizzo connesso anche

internazionali nel 2016 gli

Quando si parla di sicurezza in

a strumenti social e di

utilizzatori di smartphone sono

relazione a tali dispositivi è più

comunicazione li rende più

stati 2,1 miliardi e si prevede di

comune trovare una maggior


familiari e questo porta gli utenti

arrivare a quasi 2,9 miliardi per il

attenzione a strumenti come i

spesso a sottovalutare i pericoli a

2020 1 . Stiamo quindi parlando

laptop, che nell’immaginario

cui sono esposti e le gravi

di un fenomeno che interessa

comune sono i device più colpiti

conseguenze che possono

quasi un terzo della popolazione

da attacchi informatici. Questo è

derivare da un utilizzo poco

mondiale.

legato anche all’assenza,

consapevole. Basti pensare che

Inoltre l’emergere di nuove

fortunatamente, di attacchi a

per abilitare il device è

modalità di lavoro, come ad

smartphone e tablet che abbiano


sufficiente inserire un codice a

esempio lo smart working, ha

avuto un’importante risonanza,

quattro cifre o tracciare una

* Ricercatore Osservatorio Information Security & Privacy, Politecnico di Milano.

1 . https://www.statista.com/statistics/330695/numberofsmartphoneusers-
worldwide/.

2
. Secondo quanto emerge dalla Ricerca 2016 dell’Osservatorio Smart Working del Politecnico

INFORMATION SECURITY & PRIVACY |

68

figura sullo schermo, metodi

di smartphone e tablet ha portato

trasferire dati sensibili.

molto semplici da identificare e

con sé l’aumento degli attacchi

I dispositivi non modificati

violare una volta preso possesso

cyber mirati a questi dispositivi.

non sono comunque immuni da

del device.

Negli ultimi anni il fenomeno del


questo tipo di minacce, poiché

Uno smartphone è una fonte

malware mobile è in costante

può capitare (ed è già successo)

incredibile di informazioni:

crescita, sia tramite attacchi

che anche applicazioni presenti

normalmente gli account mail,

DDoS, ransomware e hacking, sia

sugli store ufficiali fossero

sia privati sia lavorativi, sono

sotto forma di applicazioni

corrotte e creassero spiacevoli

impostati sul telefono. Inoltre

mobile scaricabili dagli app store

conseguenze.

sempre più spesso le aziende, per

in cui gli sviluppatori criminali

Per ora i dispositivi

promuovere il trend dello smart

inseriscono volutamente codice


dell’azienda di Cupertino

working e il lavoro in mobilità,

malevolo: vere e proprie

risultano più sicuri poiché, a

utilizzano applicazioni ad hoc

piattaforme di Social

differenza di Android, in questo

per facilitare il lavoro dei propri

Engineering sfruttate dagli

caso vi è un unico produttore che

dipendenti esponendo così dati

hacker per bypassare qualsiasi

sviluppa il proprio firmware e lo

sensibili, in quanto non sempre

forma di sicurezza.

aggiorna con regolarità

la rete utilizzata è sicura come

A rendere più complicata la

chiudendo le falle più evidenti 3 .

quella aziendale.

sicurezza su smartphone e tablet,


Esistono fattori intrinsechi nei

vi è il tema legato agli

Mobile e nuovi trend

dispositivi mobile che possono

aggiornamenti software e agli

Con la diffusione dello smart

esporre a potenziali attacchi e ne

App Store. Nel Rapporto CLUSIT

working, i dipendenti possono

sono un esempio le soluzioni di

2016 si è infatti evidenziato come

trovarsi a lavorare oltre i confini

connettività. Basti pensare alla

oltre l’80% dei dispositivi

aziendali, ad esempio presso la

presenza del GPS in ogni

Android presenti sul mercato

propria abitazione. Questo ha

smartphone, che rende questo

fino a quel momento celava un

chiaramente delle implicazioni in


dispositivo un localizzatore in

firmware obsoleto e quindi facile

termini di sicurezza innanzitutto

grado di seguire gli spostamenti

da attaccare per i cybercriminali.

legate alla connessione ad una

del possessore del device con

A queste difficoltà va aggiunta

rete diversa da quella aziendale e

tutti i problemi di perdita della

la possibilità di apportare

quindi non progettata con gli

privacy che ne possono

modifiche delle applicazioni

stessi standard. La rete

conseguire. Oppure le

effettuate su store non ufficiali

domestica può diventare quindi

connessioni bluetooth, che

forniti dalla comunità open

un metodo per attaccare e violare


rappresentano canali di

source. In queste community, è

questi strumenti. Tuttavia,

trasmissione dei dati

possibile modificare in maniera

anche all’interno dei confini

potenzialmente violabili.

collaborativa il codice sorgente in

aziendali, la sicurezza dei device

Per di più tali device, essendo

modo da manipolare il

mobili va affrontata con

dotati di microfono e

dispositivo per accedere a

specifiche strategie. Infatti, le

videocamera, possono diventare

funzionalità ulteriori rispetto a

aziende intenzionate ad

uno strumento molto potente per

quelle proposte dalla casa madre

introdurre questi device


spiare la vita di una persona: è

o ad applicazioni non presenti

all’interno dei propri processi

sufficiente infatti attivarli

sullo store ufficiale.

possono scegliere due strade:

all’insaputa del proprietario del

In questi casi i dispositivi

fornire ai propri dipendenti

dispositivo per ascoltare

vengono esposti a un numero

device di proprietà dell’azienda

conversazioni private e catturare

maggiore di rischi poiché ad

stessa o perseguire una strategia

immagini.

esempio queste applicazioni

di Bring Your Own Device

potrebbero essere sviluppate in

(BYOD), dandogli la possibilità di

Gli App Store


modo da lavorare in background

usare il proprio dispositivo

La rapida diffusione dell’utilizzo

all’insaputa dell’utente e

personale. Quest’ultimo caso è

3 . Rapporto Clusit 2016 sulla sicurezza ICT in Italia.

IL SOLE 24 ORE | Giugno 2017 | Numero 3

69

FIGURA 10.1 – LA MOBILE SECURITY

legato alla diffusione che la

soluzioni di Mobile Device

governare/limitare l’utilizzo di

tecnologia sta avendo negli

Management (MDM), ovvero


device mobili (61%), ma anche la

ultimi anni, tale per cui un

applicativi attraverso i quali è

definizione standardizzata di

numero sempre maggiore di

possibile registrare e gestire i

regole a cui gli utilizzatori di

persone possiede almeno un

dispositivi mobili da un’unica

dispositivi devono attenersi

laptop e uno smartphone

interfaccia, distribuire e

quando accedono ai sistemi e ai

personale. Chiaramente in questi

aggiornare le applicazioni in uso,

dati business. Il 27% delle

casi diventa difficile fare delle

gestire l’accesso a contenuti e file

organizzazioni ha infatti fissato

policy per il corretto utilizzo del

aziendali, connettere le
norme che limitano l’accesso a

device o limitarne l’uso, poiché si

applicazioni con i sistemi

particolari applicazioni e servizi

tratta di un dispositivo non

aziendali, nonché gestirne la

da reti esterne all’azienda e il 61%

aziendale.

sicurezza dei dati fruiti in

ha stabilito specifiche policy per

Per le aziende, l’utilizzo dei

mobilità per evitarne la perdita.

l’utilizzo dei device mobili

dispositivi mobile rende

Dalla Ricerca emerge come il

(figura 10.1).

necessarie azioni di

74% delle grandi organizzazioni

Il Mobile è un trend legato alla

sensibilizzazione del personale

intervistate abbia già messo in


consumerizzazione delle

che permettano agli utenti di

campo iniziative specifiche volte

tecnologie, sempre più pervasive

percepire maggiormente i

a mitigare il rischio connesso alla

sulla vita delle persone che

pericoli a cui sono esposti, non

mobile security, accanto ad un

desiderano utilizzarle anche per

solo in ambito lavorativo ma

7% che non ha ancora attuato né

rendere più efficace e produttivo

anche nella propria vita privata.

ha in previsione azioni e a un

il proprio lavoro. Sicuramente gli

È pertanto indispensabile

19% che si colloca in fase di

attacchi rivolti a questi

promuovere iniziative di

valutazione.
dispositivi aumenteranno ancora

sensibilizzazione la cui

Le azioni che le aziende stanno

e sarà necessario promuovere

importanza è trattata in maniera

implementando riguardano

una maggior sensibilità da parte

approfondita all’interno di

l’introduzione di piattaforme e

degli utenti rispetto ai rischi

questo documento nel capitolo 4.

strumenti tecnologici specifici,

legati ad un utilizzo poco

Inoltre, a livello tecnologico, le

quali soluzioni di MDM (Mobile

consapevole di queste

aziende possono dotarsi di

Device Management) per

tecnologie. •

INFORMATION SECURITY & PRIVACY

70
PARTE II -
L'INNOVAZIONE DIGITALE E LE IMPLICAZIONI SULLA SECURITY-

11. La Security e l'Internet

of Things (IoT),

competenze e processi

Luca Dozio*

I dispositivi connessi stanno rivoluzionando intere filiere

Angela Tumino**

Giulio Salvadori***

di valore: dalla Smart City alla Smart Home, dalla Smart

Giorgia De Bernardi****

Car alla Smart Agriculture. Progettare oggetti intelligenti

richiede nuove competenze e processi, anche in settori

tradizionalmente lontani dall'innovazione digitale

Il fenomeno dell’Internet of Things

seguenti funzionalità:

la capacità di eseguire comandi;

Internet of Things (IoT) è un

› Selfawareness, che comprende

› Elaborazione dati, che può

termine ormai entrato nel


l’identificazione, ovvero il

essere base (ad esempio

linguaggio comune, non si tratta

possesso di un identificativo

filtraggio, calcolo di medie) o

più di un trend tecnologico solo

digitale univoco, la

avanzata (ad esempio analisi

per addetti ai lavori. Spesso in

localizzazione, ovvero la

statistiche, previsioni);

televisione o sulla stampa

capacità di conoscere la propria

› Connessione (wired o wireless),

generalista capita di leggere

posizione e la diagnosi di stato,

per trasportare l’informazione

notizie relative ad automobili che

ovvero la capacità di

raccolta a livello locale.

si guidano da sole, case che


monitorare funzionamento e

L’intelligenza non si ferma agli

possono essere controllate

necessità di assistenza;

oggetti, ma si spinge fin dentro

direttamente dallo smartphone,

› Interazione con l’ambiente

alla natura della rete che li

oggetti intelligenti che

circostante, che comprende

interconnette: utilizzo di

permettono di monitorare

l’acquisizione di dati tramite la

standard tecnologici aperti,

costantemente lo stato di salute di

misura di variabili di stato

accessibilità al dato e

chi li indossa.

(sensing) – come la

raggiungibilità degli oggetti,

Per analizzare questo fenomeno


temperatura o la

multifunzionalità sono

è però importante definire cos’è

concentrazione di inquinanti –

proprietà chiave della rete

l’Internet of Things. Si tratta di

o di variabili di flusso

intelligente (smart network).

applicazioni rese possibili grazie

(metering) – come il consumo

Definite le caratteristiche, è

agli smart object, contraddistinti

di energia elettrica, gas, acqua e

importante cercare di fornire un

dal possedere una o più delle

calore – e l’attuazione, ovvero

quadro (figura 11.1) dei principali

* Ricercatore Osservatorio Information Security & Privacy, Politecnico di Milano.

** Direttore Osservatorio Internet of Things, Politecnico di Milano.

*** Ricercatore Senior Osservatorio Internet of Things, Politecnico di Milano.

**** Ricercatrice Osservatorio Internet of Things, Politecnico di Milano.


IL SOLE 24 ORE | Giugno 2017 | Numero 3

71

FIGURA 11.1 – LE CARATTERISTICHE DELL’INTERNET OF


THINGS

campi di applicazione per meglio

climatizzazione e gli

valore a fini di rilevazione di

comprendere la pervasività del

elettrodomestici) per il

guasti e manomissioni,

fenomeno:

risparmio energetico, il

localizzazione, tracciabilità e

› Smart City & Smart


comfort, la sicurezza

gestione inventariale;

Environment: monitoraggio e

dell’edificio e delle persone al

› Smart Factory: adozione di

gestione degli elementi di una

suo interno;

Cyber Physical Systems,

città (ad esempio i mezzi per il

› eHealth: monitoraggio in real

connessione dei macchinari,

trasporto pubblico,

time di parametri vitali da

degli operatori e dei prodotti

l’illuminazione pubblica, i

remoto, riducendo il ricorso

per abilitare nuove logiche di

parcheggi) e dell’ambiente

all’ospedalizzazione, a fini

gestione della produzione, di

circostante (ad esempio fiumi,


diagnostici e di cura;

pianificazione della Supply

boschi, montagne) per

localizzazione dei pazienti in

Chain e di gestione del ciclo di

migliorarne vivibilità,

modo da garantirne la

vita dei prodotti;

sostenibilità e competitività;

sicurezza;

› Smart Lifecycle: miglioramento

› Smart Metering & Smart Grid:

› Smart Car: connessione tra

del processo di sviluppo di

contatori intelligenti (Smart

veicoli o tra questi e

nuovi prodotti (ad esempio

Meter) per la misura dei

l’infrastruttura circostante per

tramite dati provenienti da

consumi (elettricità, gas, acqua,


la prevenzione e rilevazione di

versioni precedenti dei prodotti

calore), la loro corretta

incidenti, l’offerta di nuovi

connessi), end of life

fatturazione e la telegestione;

modelli assicurativi e/o di

management e gestione

rete elettrica “intelligente”

informazioni geo-referenziate

fornitori;

(Smart Grid) per ottimizzare la

sulla viabilità;

› Smart Agriculture: monitoraggio

distribuzione, gestendo

› Smart Logistics: tracciabilità di

di parametri micro-climatici a

produzione distribuita e

filiera, protezione del brand e

supporto dell’agricoltura per

mobilità elettrica;
monitoraggio della catena del

migliorare la qualità dei

› Smart Home & Building:

freddo, sicurezza in poli

prodotti, ridurre le risorse

gestione automatica degli

logistici complessi e gestione

utilizzate e l’impatto

impianti e dei sistemi

delle flotte;

ambientale;

dell’edificio (ad esempio quelli

› Smart Asset Management:

› Smart Retail: monitoraggio del

per l’illuminazione e la

gestione in remoto di asset di

comportamento del cliente

INFORMATION SECURITY & PRIVACY |

72

all’interno del negozio, con il

raccoglie il proprio wearable


Control and Data Acquisition),

fine di migliorare l’esperienza

device e di come vengano trattati

utilizzati per controllare e

utente e incrementare le

e immagazzinati. Quest’aspetto è

monitorare le attività su larga

vendite. Soluzioni che abilitano

spesso trascurato, ma può avere

scala e le infrastrutture critiche.

maggiore visibilità nelle

conseguenze importanti sulla

Ad esempio, i sistemi SCADA sono

operazioni di fornitura per

sicurezza e la privacy della vita di

ampiamente utilizzati per

ottimizzare la gestione delle

ogni persona. Basti pensare che

monitorare apparecchiature

scorte e ridurre la probabilità

molti oggetti offrono un servizio


elettriche (trasformatori),

che si verifichino stock-out in

di geolocalizzazione, quindi nel

strutture di telecomunicazione

negozio.

momento in cui si riesce a violare

(trasmettitori) e tubature per gas,

il dispositivo è possibile conoscere

acqua e petrolio (pompe e

Dimensioni del fenomeno

gli spostamenti della persona, i

valvole).

e rischi connessi

luoghi che frequenta

Queste tecnologie permettono

I campi di applicazione sono

abitualmente, gli orari in cui è a

di facilitare il monitoraggio delle

quindi innumerevoli ma per avere

casa o al lavoro.

attività in tempo reale e di


una stima di quanto gli oggetti

Gary Davis, Chief Consumer

prevenire eventuali danni agli

connessi siano diffusi è sufficiente

Security Evangelist di Intel

impianti che possono essere la

considerare i dati di mercato,

Security, afferma: “le

causa di un blocco di produzione

stimato intorno ai 2,8 miliardi di

informazioni immagazzinate nei

o di un calo di servizio con

Euro in Italia nel 2016, in

wearable device o negli

conseguenze gravi per l’azienda.

aumento del 40% rispetto all’anno

smartphone o in un servizio

precedente (Fonte: Osservatorio

Cloud valgono dieci volte più dei

I pericoli dell’Internet of Things

Internet of Things del Politecnico


dati della carta di credito sul

e la risposta delle aziende

di Milano).

mercato nero”. I dati personali

A fronte delle opportunità offerte

Analisti internazionali, in un

non possono essere modificati, al

da queste tecnologie, è necessario

articolo pubblicato all’inizio del

contrario di un pin, quindi una

prestare attenzione alle

2016, prevedevano che entro fine

volta persi diventano di grande

implicazioni sulla sicurezza,

anno il mercato dei soli wearable

valore per chi sa come sfruttarli

poiché aumentando il numero di

device si sarebbe attestato intorno

per scopi illeciti 2 .

dispositivi connessi alla rete

ai 274,6 milioni di dispositivi


Inoltre tali dispositivi sono

aumenta anche il numero di

venduti nel mondo, generando

spesso collegati ad uno

possibili punti di accesso per un

ricavi per 28,7 miliardi di dollari,

smartphone o direttamente alla

eventuale attacco al sistema

di cui 11,5 da smartwatch 1 .

rete domestica e questo può

informativo aziendale.

Questo testimonia l’importanza

rendere il device un ponte che

Un esempio importante è

del fenomeno per il mercato di

consente di entrare nella rete

rappresentato dall’attacco del 21

largo consumo che sempre più

stessa e infettare altri oggetti

ottobre 2016 subito da Dyn 3 ,

adotta dispositivi indossabili per


connessi, compresi strumenti di

azienda che ha il compito di

rispondere alle esigenze più

domotica e laptop, con tutte le

smistare e indirizzare il traffico

disparate, dal life style al

implicazioni di sicurezza che

Internet utilizzando il sistema dei

monitoraggio dell’attività fisica.

possono derivarne.

DNS (Domain Name System) per

Generalmente nei casi in cui il

Chiaramente nell’ambito più

molte importanti aziende tra cui

servizio offerto è considerato di

strettamente industriale i

Twitter, the Guardian, Netflix,

valore da parte del consumatore,

problemi sono analoghi. Vi è,

Reddit e CNN. Ad ottobre

l’utente non si preoccupa


difatti, un ampio impiego dei

l’azienda è stata vittima di un

eccessivamente di quali dati

sistemi SCADA (Supervisory

attacco DDoS (Distributed Denial-

1 . http://www.gartner.com/newsroom/id/3198018.

2 . http://www.techrepublic.com/article/thedarksideofwearableshowtheyre-
secretlyjeopardizingyoursecurityandprivacy/.

3 . http://www.ilpost.it/2016/10/24/attaccoinformaticovenerdi21ottobremirai-
dyn/.

IL SOLE 24 ORE | Giugno 2017 | Numero 3

73

FIGURA 11.2 – LA SECURITY E L’INTERNET OF THINGS

of-Service), cioè migliaia di


la maggior parte dei dispositivi

oggetti smart.

dispositivi hanno iniziato ad

che ogni giorno le persone

È evidente la mancanza di linee

inviare continue richieste che

portano con sé rilevano dati

guida da parte delle imprese

hanno sovraccaricato i sistemi

sensibili, come ad esempio le

anche per quanto riguarda il tema

fino a bloccarli. Questa tipologia

pulsazioni o gli spostamenti

della security by design, molto

di attacchi di per sé non è nuova,

effettuati. Tutte queste

importante soprattutto quando si

la novità viene dal fatto che il

informazioni possono facilitare la

parla di IoT. Con questa

punto di attacco non è un


vita di tutti i giorni, ma

espressione si intende un

computer ma un sistema IoT. In

espongono contestualmente gli

approccio per lo sviluppo software

particolare il malware utilizzato

individui a una potenziale perdita

e hardware che cerca di mettere i

per questo particolare attacco si

della propria privacy e le aziende

sistemi in sicurezza rispetto ad

chiama Mirai, molto noto con

a rischi legati alla perdita di dati o

attacchi e vulnerabilità impreviste,

riferimento ad attacchi a

all’esposizione a terzi di

attraverso misure come il

dispositivi di video sorveglianza.

informazioni sensibili

monitoraggio continuo, l’utilizzo

È quindi evidente come


(figura 11.2).

di credenziali e l’aderenza a

aumentando le potenzialità

Le rilevazioni dell’Osservatorio

pratiche di programmazione

offerte dall’Internet of Things

Information Security & Privacy

migliori.

crescano di pari passo anche le

evidenziano come il 47% delle

Si tratta di un approccio

vulnerabilità. I protocolli di

grandi organizzazioni non abbia

rivoluzionario, che capovolge

sicurezza per questi dispositivi, il

ancora messo in atto nessuna

completamente il punto di vista

più delle volte, non sono

azione per tutelarsi e il 40% stia

con cui si affronta un nuovo

sviluppati con la stessa attenzione


valutando delle possibili azioni. Il

progetto: se di solito la sicurezza è

con cui viene creato lo strumento.

12%, invece, ha adottato policy di

un problema che si valuta a lavoro

Questo è un tema rilevante per il

security by design nella

finito, con questa metodologia la

mondo del business to business,

progettazione di prodotti, il 10%

questione viene invece presa in

dove è possibile trovare sensori

utilizza soluzioni tecnologiche

considerazione fin da subito.

utilizzati per monitorare la

specifiche, il 9% possiede policy

Questo cambio di prospettiva è

produzione o tracciare il percorso

legate alla rilevazione di dati nel

fondamentale, poiché consente di

della merce, ma anche per il


perimetro aziendale e il 6% policy

sviluppare strategie più efficaci in

mercato di largo consumo, poiché

per la gestione di dati raccolti da

fase di progettazione,

INFORMATION SECURITY & PRIVACY |

74

permettendo quindi di identificare

comprensione del fenomeno.

sicuramente mettendo in luce il

le soluzioni migliori, anche in

Questo è dovuto, come succede

pericolo derivante da una scarsa

termini di sicurezza.

spesso quando si parla di

attenzione nei confronti dei temi

È quindi evidente come la

sicurezza, al fatto che è difficile

di sicurezza sia per chi ha un

sicurezza nell’Internet delle Cose

stimare ex ante il danno che si


mercato di riferimento composto

stia diventando un tema sempre

può subire a causa di un attacco

da aziende sia per chi si rivolge al

più importante. Sempre secondo

cyber. I danni possono però

mercato di largo consumo.

la Ricerca, il 44% delle aziende

essere innumerevoli e non si

Inoltre l’imminente entrata in

non ha un presidio di alcun tipo

limitano solamente ad un

vigore del GDPR, con tutte le

per le tematiche connesse

disservizio nei confronti dei

conseguenze legate alla gestione

all’Internet of Things, il 25% ha un

propri clienti, comunque grave.

del dato e all’obbligo di

presidio informale, il 17% ha un

Spesso, come nel caso Dyn, ci


comunicare un eventuale attacco

presidio formale e il 14% ha un

sono importanti conseguenze a

subito, sta sicuramente portando

presidio ma al di fuori delle

livello di immagine aziendale che

in luce l’importanza del tema

attività core dell’Information

possono causare importanti

soprattutto per l’Internet of

Security. I dati confermano

perdite dal punto di vista

Things, che suscita un grande

ancora una bassa sensibilità verso

economico.

interesse per le potenzialità che

questo tema, dovuta ad una scarsa

I fatti di cronaca stanno

offre. •

EL1

LA SECURITY E L'INTERNET OF THINGS (IOT), COMPETENZE E PROCESSI


CASO 10 BTICINO

BTicino S.p.A. è un’impresa italiana che si colloca tra i leader mondiali nel settore delle infras

L’azienda è attiva nel campo della domotica e da tempo si occupa della produzione di oggetti

Da qualche anno a questa parte la domotica ha subito un processo di trasformazione: BTicino,


nell’innovazione, ha lanciato un programma che prende il nome di Eliot (Electricity Internet o

L’intero sistema è poi governabile attraverso un app per smartphone.

La sicurezza interessa trasversalmente tutto l’ecosistema di oggetti connessi: si parla di sicurez


security che sta attualmente mettendo in atto. Il framework si basa su una serie di lin
ISO27001, che sono state riviste e completate con l’aggiunta di altri princìpi specifici sul mod

Dall’idea del prodotto fino alla sua messa in produzione, la sicurezza si articola nelle seguenti

› Definizione dei requisiti minimi da raggiungere –


I requisiti minimi individuati vengono declinati in una checklist e possono riguardare per esem
sui dati degli utenti, ecc.;

› Iniziative di sviluppo e conseguente coinvolgimento di team interni e consulenti esterni;

› Verifica interna –
Il team di security è chiamato in causa per verificare l’effettiva adozione dei requisiti minimi

› Esecuzione di penetration test;

› Rilascio in produzione.

Il processo adottato da BTicino adempie i requisiti imposti dal GDPR, poiché rispetta il princi
prevede la realizzazione di Privacy Impact Assessment (PIA). Vengono quindi valutati sia asp
aspetti più specifici sulla protezione dei dati personali, di natura legale e di compliance norma

IL SOLE 24 ORE | Giugno 2017 | Numero 3

75

ldwide, ed è pertanto necessario prestare attenzione alle differenze esistenti tra le varie legislaz

Un altro aspetto innovativo riguarda l’interazione con le terze parti. Mentre in passato il sistem
Nei rapporti con l’esterno la security è gestita differentemente a seconda dei casi: nei confront
requisiti di sicurezza sono definiti a livello tecnico e contrattuale attraverso un “agreement ad
per lo specifico progetto; negli altri casi, invece, viene creato un ambiente comune in cui una t
singolo sviluppatore o una piccola software house, può “accreditarsi” mediante la sottoscrizion
e alle policy aziendali, in base alle quali è libera di poter sviluppare servizi e nuove funzionali

Per garantire la sicurezza e un maggior livello di controllo dell’ambiente Cloud, BTicino ha ri

L’aspetto della sicurezza interessa tutta la filiera, dalla produzione aziendale, passando per gli

Le difficoltà più importanti riguardano la creazione di consapevolezza e quindi la formazione


al termine dei quali vengono rilasciate certificazioni.

Oltre ad essere produttore di oggetti di domotica, BTicino si sta avvicinando all’Internet of Th


sta progressivamente trasformando in una Smart Industry e dotando di macchinari connessi. L
essere analizzati in ottica di ottimizzazione del processo produttivo. Il macchinario può
l’esterno, per permettere ai fornitori di mantenere gli impianti e fornire assistenza da remoto.

INFORMATION SECURITY & PRIVACY

76

PARTE II -
L'INNOVAZIONE DIGITALE E LE IMPLICAZIONI SULLA SECURITY-

12. Le opportunità

e i rischi

della fabbrica connessa

Stefano Zanero*

La rivoluzione Industry 4.0 è un trend inarrestabile

che avrà implicazioni importanti per gli anni a venire.

Per tutelarsi nello scenario delle fabbriche intelligenti

è necessario uno sforzo da parte di tutti gli stakeholder,


per sviluppare una consapevolezza condivisa e soluzioni

all'altezza delle aspettative

Tutte le analisi e le fonti realizzare una gestione efficiente se in modo, sperabilmente,

concordano: la rivoluzione

e just-in-time di scorte,

intermediato). Sistemi moderni

di Industry 4.0 e la

magazzino e filiera produttiva. I

disposti sulle linee di produzione

“fabbrica intelligente” non

benefici di un unico processo

sono invece ormai pensati per

saranno né una moda passeggera,

automatizzato che aggrega gli

essere connessi.

né un’opzione. Saranno viceversa

ordini dei clienti, predispone i

Pensate, ad esempio, ai robot di

una necessità competitiva ed un

piani di produzione e l’acquisto

ultima generazione. La gran parte


cambio di paradigma che ci

dai fornitori, e infine riconfigura

di essi sono pensati e strutturati

accompagnerà per i prossimi anni

le linee di produzione e la

per essere connessi ad Internet:

e che potrebbe trasformare la

logistica sono evidenti e non

per ottenere informazioni dai

società prossima ventura nello

necessitano certo di essere

sistemi “Cloud” dei produttori o

stesso modo in cui il motore a

approfonditi.

per essere monitorati e

vapore ha cambiato il corso della

Tuttavia, nel momento in cui

riprogrammati (a volte anche

storia.

colleghiamo i sistemi informativi

mediante app per cellulari, o


La visione che accompagna

aziendali a quelli di gestione delle

mediante l’invio di messaggi e-

questa trasformazione è semplice,

macchine in produzione,

mail). Iniziano a diffondersi anche

attraente e allo stesso tempo

ampliamo in modo significativo

“App Store” simili a quelli dei

profondamente complessa

quella che viene definita in gergo

nostri cellulari… ma pensati per i

quando si scende dal livello di

“superficie d’attacco”. Sistemi

robot! Contemporaneamente,

scenario a quello di dettaglio. Ci si

(pensiamo alle macchine a

robot e macchine ad alta

propone di collegare i sistemi

controllo numerico magari

automazione rappresentano un
informativi aziendali (e i sistemi

acquistate dieci o venti anni or

elemento sempre più critico del

di e-commerce) ai sistemi di

sono) che mai erano stati pensati

nostro tessuto industriale. Alcune

controllo della produzione e di

per essere raggiungibili da

stime parlano di oltre 1,3 milioni

fabbrica, in modo da poter

Internet lo sono diventati (anche

di robot presenti nelle fabbriche

* Professore Associato Politecnico di Milano.

IL SOLE 24 ORE | Giugno 2017 | Numero 3

77

di tutto il mondo entro il 2018.

al gruppo FTR di Trend Micro, ha

teach pendant), senza che ciò

Questo li rende un bersaglio

rivelato come i robot industriali

fosse immediatamente visibile


molto appetibile per almeno due

possono essere compromessi,

all’operatore stesso.

grandi gruppi di avversari: da un

alterando in maniera decisiva la

Inoltre abbiamo dimostrato che

lato, cybercriminali in cerca di

normale funzionalità dei sistemi

esistono già robot che possono

guadagno; dall’altro, agenzie,

industriali e minando la sicurezza

addirittura essere raggiunti

eserciti e Stati che per varie

del personale e dei consumatori

direttamente da Internet o che

ragioni possono voler colpire

finali 2 .

sono protetti solo in modo molto

l’operatività dei settori critici di un

La Ricerca rivela che nel

semplice (mediante i cosiddetti


avversario. Se questo secondo

momento in cui robot e macchine

“router industriali”, spesso a loro

scenario si applica solo in certi

automatizzate divengono sempre

volta vulnerabili o collegati ad

settori industriali (energia,

più intelligenti e interconnesse,

Internet con configurazioni di

medicina, grande industria

cresce la loro superficie di attacco.

default non sicure).

pesante), il primo scenario è

Inoltre, servono numerose

Per tutelarsi nello scenario

veramente materia per tutti (si

modifiche architetturali per

Industry 4.0, è necessario uno

pensi al recente attacco

rendere capaci di resistere al

sforzo da parte di tutti gli


“WannaCry”, che dimostra come i

burrascoso oceano di Internet tali

stakeholder: produttori ed

criminali in cerca di profitto

macchine, progettate per reti

installatori in primis, ma anche

colpiscano veramente in modo

“scollegate”.

consulenti e ricercatori di

indiscriminato!).

Combinando tra loro

sicurezza, sviluppatori di software

Parlare di attacchi “cyber” che

vulnerabilità di vario tipo (in gran

indipendenti … e aziende

coinvolgono i robot fa

parte dei casi il risultato di errori

utilizzatrici. Dal suo canto,

immediatamente appello

di programmazione che rivelano

l’università sta iniziando a


all’incredulità, e suona come la

una certa vetustà del software

svolgere ricerche, come quella

trama di un libro di fantascienza.

usato a bordo dei robot), ci è stato

appena menzionata, anche nella

Tuttavia gli scenari sono

possibile creare vari scenari di

cornice di progetti industriali. Ad

innumerevoli, e possono variare

attacco specifici dei sistemi

esempio, il progetto

dal danno fisico, al sabotaggio di

robotici industriali. Ad esempio, è

“FilieraSicura”, finanziato da

prodotti, al blocco di linee di

stato possibile introdurre micro-

aziende private ed affidato ad un

produzione. Ognuno di questi

difetti nei processi eseguiti dal

gruppo di università del


potrebbe essere attuato

robot, senza che ciò fosse

Laboratorio Nazionale di

immediatamente o usato per una

rilevabile dai sistemi di

CyberSecurity del CINI, cerca di

richiesta di riscatto. Provate a

monitoraggio. In un altro

affrontare in un’ottica olistica la

pensare a quanto potrebbe

esempio, abbiamo potuto portare

sicurezza della filiera (o

estorcere un cyber-criminale ad

il robot nella modalità

“Procurement Chain”), sia dal

una azienda, minacciandola di

“automatica” (ovvero la modalità

punto di vista della sicurezza e

introdurre silenziosamente dei

in cui lo stesso si muove ad alta

genuinità dei prodotti elettronici


micro-difetti nella produzione.

velocità seguendo il programma)

ed informatici acquistati, sia (ed è

Recentemente, una Ricerca del

da quella “manuale” (usata

l’argomento di rilievo) per la

nostro gruppo al NECSTLab 1 del

dall’operatore per programmare il

sicurezza dei metodi produttivi e

Politecnico di Milano, unitamente

robot tramite un telecomando o

di logistica. •

1 . http://necst.it.

2 . La Ricerca può essere scaricata gratuitamente dal sito http://robosec.org.

INFORMATION SECURITY & PRIVACY

78

PARTE II -
L'INNOVAZIONE DIGITALE E LE IMPLICAZIONI SULLA SECURITY-

13. L'assicurazione

del rischio cyber,

scenari e mercato
Alessandro Piva*

La diffusione dell'innovazione digitale ha esteso in modo

significativo la superficie di attacco delle imprese. Nelle

organizzazioni emerge sempre di più l'esigenza di trovare

strumenti per mitigare il rischio cyber e per trasferirlo

verso terze parti. Il mercato dell'assicurazione del rischio

cyber è appena nato, ma promette di crescere in modo

inarrestabile nei prossimi anni

L’evoluzione del rischio cyber

Tuttavia la realtà dei fatti ci dice

Management le necessità e le

Secondo il recente report “The

che le aziende hanno difficoltà

implicazioni derivanti dalla

Global Risk” del World Economic

non solo a trovare le corrette

gestione della sicurezza

Forum 1 , che mappa annualmente

azioni di tutela e mitigazione dei

informatica, con la speranza di

i principali rischi ambientali,


rischi, ma anche a valutare le

non doverlo fare in occasione di

economici, geopolitici, tecnologici

conseguenze che possono

una situazione d’attacco.

e sociali, i rischi connessi

derivare da un eventuale attacco

Il progressivo superamento

all’information security, in

cyber o dalla perdita di dati

della gestione della sicurezza

particolare frodi, furti di dati e

riservati. Questo ritardo di

perimetrale, in favore della

attacchi cyber, risultano essere tra

sensibilità dipende dalla relativa

protezione del dato, richiede oggi

quelli a maggior probabilità di

novità e velocità di evoluzione del

di operare in un contesto incerto,

accadimento. In particolare gli


rischio cyber rispetto ad altre

caratterizzato dal rischio e dalla

attacchi cyber sono visti come

tipologie di rischio e dalla

necessità di mitigarlo. Gestire il

gravi minacce al pari di crisi

mancanza di competenze per

rischio cyber richiede al tempo

fiscali, perdite di biodiversità,

valutarne le implicazioni.

stesso competenze tecniche e di

disastri ambientali causati

Per lungo tempo – ed in parte

identificazione di scenari di

dall’uomo e di poco inferiori

ancora oggi – l’information

pericolosità: per questo motivo è

all’impatto di attacchi terroristici.

security è rimasta appannaggio di

importante passare ad una

Appare pertanto evidente come


una platea di addetti ai lavori,

gestione congiunta, che veda

sia necessario mettere in atto

costretti a far fronte a minacce

intorno al tavolo competenze del

azioni per tutelarsi dai pericoli

sempre più sofisticate e a portare

mondo cyber, così come figure

legati all’information security.

all’attenzione del Top

competenti di gestione del rischio.

* Direttore Osservatorio Information Security & Privacy, Politecnico di Milano.

1 . The Global Risks Report 2017 12th Edition.

IL SOLE 24 ORE | Giugno 2017 | Numero 3

79

Per il management diviene

une dalle altre. Tali elementi

dati, molto spesso non c’è la

importante poter misurare il

contribuiscono ad una scarsa

capacità di misurarne
rischio cyber e comprenderne

conoscenza delle opportunità

finanziariamente le implicazioni.

anche gli impatti economici, in

derivanti da strumenti di questo

Infine manca la conoscenza delle

modo da poter definire quali sono

tipo.

soluzioni offerte dal mercato, sia

le azioni da mettere in atto per

Inoltre alcuni importanti

in termini di tipologie di polizze,

mitigarlo o per trasferirlo ad una

aspetti, quali la perdita di

specifiche o integrate con altre

terza parte. Negli ultimi anni sta

reputazione legata ad una

coperture, sia dal punto di vista

nascendo una sempre maggiore

violazione della privacy o il danno

delle casistiche coperte e dei


attenzione alle tematiche di

legato alla perdita della proprietà

massimali ad esse correlate.

assicurazione del rischio cyber,

intellettuale, non sono

con un’offerta sempre più vasta.

generalmente coperti dalle polizze

Le possibili coperture cyber e la

e questo ne limita potenzialmente

sensibilità nelle aziende italiane

Il mercato della Cyber Insurance

gli ambiti di utilizzo.

Il mercato della Cyber Insurance è

Il mercato della Cyber Insurance,

Nel percorso di crescita del

in continua evoluzione, a titolo

benché immaturo se confrontato

mercato delle assicurazioni sul

esemplificativo si riportano alcuni

ad altri ambiti di servizi

rischio cyber esistono diverse


elementi che possono scatenare

assicurativi, mostra una crescita

sfide. Dal punto di vista

l’attivazione di una copertura:

interessante: secondo il report di

dell’offerta, vi è innanzitutto la

› una violazione dei dati

Allied Market Research 2 , il

questione relativa all’incertezza

personali, legata all’accesso o

mercato globale della Cyber

dell’esposizione, dovuta ad un

alla trasmissione dei dati stessi;

Insurance varrà 14 miliardi di

mercato relativamente giovane,

› difetti di sicurezza, legati ad

dollari nel 2022, con un tasso

alla reticenza dei clienti a

un’intrusione o ad una

medio di crescita vicino al 28%.

condividere informazioni
rivelazione di dati dovuta a

Sempre secondo lo stesso studio,

riservate sulla storia degli

furto;

tale mercato è però attualmente

incidenti subiti con i relativi

› difetti legati a una omissione

concentrato per la stragrande

impatti ed al quadro normativo in

negligente durante uso o

maggioranza nel Nord America,

continua evoluzione. Inoltre

manutenzione del sistema

che rappresenta l’87% della spesa.

sussiste la possibilità che si

informativo.

Tale sbilanciamento verso il

verifichino eventi correlati dalle

La copertura del rischio cyber

Nord America è dovuto alle

implicazioni difficilmente
riguarda i danni causati

regolamentazioni più stringenti

misurabili a priori: ne sono un

direttamente al sottoscrittore o a

sulla protezione dei dati che

esempio eventi legati alla

terze parti. Le principali aree di

hanno favorito la maturazione del

diffusione di una vulnerabilità in

copertura riguardano, a titolo

mercato. Per i prossimi anni ci si

un software molto diffuso,

esemplificativo:

aspetta tassi di crescita rilevanti

piuttosto che un attacco ad un

› investigazione e gestione degli

nell’area europea, in seguito

provider Cloud, che eroga

eventi. Comprende il

all’entrata in vigore del nuovo

tipicamente servizi ad un numero


coinvolgimento di esperti legali

Regolamento UE sulla Protezione

elevato di clienti o ad un provider

ed informatici e ha come

dei Dati Personali (GDPR) che

di infrastrutture critiche, come

obiettivo quello di coprire le

diverrà applicabile il prossimo

fornitori di servizi di pagamento,

spese relative alla

anno.

di energia elettrica, o di servizi di

comunicazione dell’attacco,

Ad eccezione del Nord America,

telecomunicazioni.

all’identificazione delle

la numerosità delle imprese

Dal punto di vista delle aziende

modalità che hanno portato al

assicurate contro eventi cyber è

utilizzatrici invece, nonostante sia


difetto di sicurezza o

ancora molto bassa e le coperture

diffusa la consapevolezza dei

negligenza, alla tutela della

offerte dai player di mercato sono

problemi derivanti da un possibile

reputazione e alla mitigazione

ancora notevolmente differenti le

attacco cyber o dalla perdita di

del danno;

2 . Cyber Insurance Market -


Global Opportunity Analysis and Industry Forecasts, 20142022.

INFORMATION SECURITY & PRIVACY |

80
FIGURA 13.1 – LA CYBER INSURANCE

› gestione istruttorie. Comprende

interruzione di servizio, perdita

rischio cyber, mentre nei restanti

le attività necessarie a produrre

di dati. Vi sono incluse

casi si tratta di coperture

una risposta ad un controllo

coperture anche ad azioni cyber

generaliste. Il 29% afferma di

ufficiale da parte di autorità –

di tipo estorsivo (es. attacchi

essere in valutazione di coperture

quale ad esempio il Garante

ransomware).

assicurative, mentre il 35% non

privacy – in merito a sospetto

La Ricerca sul mercato italiano

ritiene sufficientemente maturo il

utilizzo improprio di dati

condotta dall’Osservatorio
mercato Cyber Insurance e il 21%

personali;

Information Security & Privacy

non ritiene il problema rilevante.

› copertura danni in seguito a

mostra come le grandi

Tuttavia l’interesse verso questo

richieste di terze parti o di

organizzazioni siano ancora

tipo di coperture assicurative sta

danni subiti direttamente. Si

immature nell’utilizzo di

crescendo anche in Italia in modo

tratta di danni legati a

coperture assicurative del rischio

considerevole, soprattutto negli

violazioni di dati personali, a

cyber. Solamente il 15% delle

ultimi mesi, con l’avvicinarsi

intrusioni oppure

imprese ha infatti già attive


dell’entrata in vigore delle nuove

omesso/errato trattamento dei

coperture assicurative, sebbene

regolamentazioni europee e con il

dati, oppure a danni derivanti

solo nella metà dei casi si tratta di

crescente numero di attacchi che

da downtime di rete,

polizze espressamente orientate al

quotidianamente fanno notizia •

INFORMATION SECURITY & PRIVACY

81

PARTE III -
IL QUADRO NORMATIVO DI RIFERIMENTO E I PERCORSI DI CERTIFICAZIO

14. Le novità introdotte

dal General Data Protection

Regulation (GDPR)

Gabriele Faggioli*

Il General Data Protection Regulation (GDPR) sta

Guglielmo Troiano**

introducendo importanti novità nella gestione dei dati


personali. Il focus passa da un sistema normativo di tipo

formalistico ad un sistema di governance basato

su un'alta responsabilizzazione sostanziale del Data

Controller

Il percorso legislativo che ha passato, quello della direttiva, che, di tale Direttiva. Il Regolame

portato all’emanazione del

necessitando di recepimento nei

Generale non abroga invece la

Regolamento Generale sulla

singoli Paesi, crea differenze

Direttiva 2002/58/CE (c.d.

Protezione dei Dati (n. 2016/679,

normative, a volte rilevanti, fra i

« Direttiva ePrivacy») che prevede

c.d. GDPR) è iniziato il 4

singoli Stati membri.

obblighi specifici per i fornitori di

novembre 2010, quando la

Il Regolamento Generale è

servizi di comunicazioni

Commissione europea ha
entrato in vigore il 24 maggio

elettroniche (e quindi, nel nostro

elaborato una proposta di riforma

2016 e diventerà applicabile a

ordinamento le disposizioni del

della normativa in materia di

partire dal 25 maggio 2018, dopo

Codice Privacy di attuazione della

protezione dei dati personali.

un periodo di transizione di due

stessa). Tale direttiva dovrebbe

Il GDPR persegue due obiettivi

anni.

essere sostituita da un ulteriore

fondamentali: da un lato,

Il GDPR abroga la precedente

Regolamento: il 10 gennaio 2017,

adeguare la normativa, ormai

normativa in materia, ossia la

infatti, la Commissione europea

risalente al 1995, alle nuove


Direttiva 95/46/CE del 24 ottobre

ha adottato una proposta di

tecnologie, dall’altro armonizzare

1995 , “relativa alla tutela delle

Regolamento (« Regulation on

ed uniformare la normativa stessa

persone fisiche con riguardo al

Privacy and Electronic

a livello europeo, creando un

trattamento dei dati personali,

Communications») volta ad

quadro normativo comune. Per

nonché alla libera circolazione di

allineare la normativa e-Privacy

perseguire questo secondo

tali dati”, con l’effetto di abrogare

con le nuove regole previste dal

obiettivo, lo strumento giuridico

anche le normative nazionali

GDPR. Nelle intenzioni della

prescelto dal legislatore europeo è


emanate in applicazione della

Commissione anche tale ulteriore

stato quello del Regolamento,

stessa, come il D.Lgs. 196/2003

Regolamento dovrebbe entrare in

direttamente applicabile in tutti

(c.d. “Codice Privacy”), almeno

vigore il 25 maggio 2018,

gli Stati membri, e non, come in

nelle parti di diretta trasposizione

contemporaneamente al GDPR, in

* Responsabile Scientifico Osservatorio Information Security & Privacy e Presidente CLUSIT

** Senior Advisor Osservatorio Information Security & Privacy, Politecnico di Milano.

INFORMATION SECURITY & PRIVACY |

82

modo che, entro tale data, possa

› protezione delle sole persone

grado di documentare il processo

aversi un quadro giuridico

fisiche.

che ha portato alla definizione del


completo in materia di protezione

Ciò che cambia radicalmente è

registro dei trattamenti, alla

dei dati personali in ambito

invece la filosofia della norma.

valutazione di un determinato

europeo. Sulla proposta di

Si passa, infatti, da un sistema

rischio in materia di sicurezza,

Regolamento e-privacy, il Gruppo

normativo di tipo formalistico

alla decisione di notificare o meno

di lavoro ex articolo 29, “Article 29

(basato sulla previsione di regole

agli interessati una violazione dei

Data Protection Working Party”

formali e su un elenco di

dati personali (c.d. «data breach»),

(c.d. “WP29” ) ha adottato il 4

adempimenti e misure minime di

di aver attuato in relazione ad un


aprile 2017, l’Opinion 01/2017,

sicurezza da adottare), ad un

nuovo trattamento le necessarie

proponendo miglioramenti e

sistema di governance dei dati

valutazioni legate alla privacy «by

suggerimenti per rendere il testo

personali basato su un’alta

design».

più chiaro. I provvedimenti

responsabilizzazione sostanziale

Viene inoltre introdotto un

dell’Autorità Garante non

(« accountability») del Data

nuovo approccio metodologico

decadranno fino a quando non

Controller, a cui è richiesta

completamente riskbased.

verranno modificati, sostituiti o

proattività, cioè capacità di

Pare quindi opportuno


abrogati, mentre le autorizzazioni

prevenire (e non solo di

sottolineare che la privacy non

generali sul trattamento dei dati

correggere) gli errori, nonché

potrà più essere considerata come

sensibili o giudiziari rimarranno

capacità di dimostrare, anche

una seccatura o al più come un

in vigore fino al 24 maggio 2018.

documentalmente e/o tramite

adempimento ancillare al

Da notare che l’ambito di

l’adozione di appropriate policy

business. Al contrario la tutela dei

applicazione della nuova

interne (da esibire in caso di

dati personali dovrà essere un

normativa è più ampio rispetto

richiesta da parte dell’Autorità), la

presupposto da considerare già


alla precedente (tanto che si è

conformità al GDPR e

nella fase di progettazione dei

parlato di “extraterritorialità” del

l’adeguatezza delle proprie

processi di trattamento degli

GDPR): il nuovo Regolamento

scelte/valutazioni.

stessi, dei servizi e dei prodotti, e

Generale si applica infatti non

La maggiore discrezionalità per

la tematica dovrà essere calata

solo alle organizzazioni stabilite

i Titolari del trattamento di

all’interno dei processi e

in UE (anche se il trattamento

decidere le modalità attraverso le

dell’organizzazione aziendale (c.d.

avviene fuori EU), ma anche ad

quali conformarsi alle disposizioni

«privacy by design»).
organizzazioni localizzate extra

del GDPR è gravata, inoltre,

Oltre al sostanziale

UE che offrono beni o servizi a

dall’onere di provare le ragioni

rovesciamento di prospettiva, il

interessati che “si trovano” in

che hanno portato a tali decisioni

GDPR ha introdotto anche

territorio comunitario o che

e le motivazioni alla base delle

ulteriori novità rilevanti:

monitorano il loro

scelte effettuate.

› Registro delle attività di

comportamento all’interno di esso

Nell’art. 5 del GDPR, infatti, non

trattamento (art. 30 del GDPR)

(art. 3).

solo si individua nel Titolare del

- Ai sensi dell’art. 30 del GDPR,


Rispetto al Codice Privacy, le

trattamento il soggetto

sia i Titolari che i Responsabili

definizioni e i principi generali in

responsabile di garantire il

dovranno tenere un registro dei

esso previsti rimangono

rispetto dei principi applicabili al

trattamenti (con la sola

sostanzialmente invariati. In

trattamento di dati personali

esclusione delle società e degli

particolare non sono variati o

(ovvero i principi di “liceità,

enti con meno di 250

sono variati in maniera marginale

correttezza e trasparenza”,

dipendenti). Tale deroga viene

i seguenti aspetti:

“limitazione della finalità”,

meno in alcuni casi specifici


› definizione di trattamento;

“minimizzazione dei dati”,

come per esempio lo

› definizione di dato personale;

“esattezza limitazione della

svolgimento di un trattamento

› principi relativi al trattamento

conservazione” e “integrità e

di dati personali a rischio per i

di dati;

riservatezza”), ma si stabilisce che

diritti e le libertà

› liceità del trattamento;

il medesimo debba essere altresì

dell’interessato e che risulti non

› obbligo di informativa;

“in grado di comprovarlo”. Sarà

occasionale o che includa

› obbligo di consenso;

necessario, per esempio, essere in

categorie particolari di dati


IL SOLE 24 ORE | Giugno 2017 | Numero 3

83

personali o dati relativi a

trasmessi/conservati o

compreso, ove applicabile,

condanne penali e a reati. Il

comunque trattati.

l’interesse legittimo perseguito

registro dei trattamenti dovrà

› Valutazione d’impatto (art. 35-

dal Titolare;

contenere almeno le

36 e considerando 75-77) -

› una valutazione delle necessità

indicazioni previste nel

Qualora un trattamento

e proporzionalità dei

suddetto art. 30 ed essere

presenti un rischio elevato per i

trattamenti in relazioni alle

redatto in forma scritta, anche


diritti e le libertà delle persone

finalità;

in formato elettronico. Inoltre,

fisiche, il Titolare (assieme al

› una valutazione dei rischi per i

dovrà essere esibito su richiesta

Data Protection Officer qualora

diritti e le libertà degli

dell’Autorità di Controllo.

designato) è chiamato ad

interessati.

Come precisato dal Garante per la

effettuare, prima di procedere

Qualora all’esito di tale

protezione dei dati personali nella

al trattamento dei dati, una

valutazione il Titolare ritenga che

Guida all’applicazione del

valutazione d’impatto sui

il trattamento presenti un rischio

Regolamento Generale del 28


trattamenti che intende porre

elevato per i diritti e le libertà

aprile 2017, il registro dei

in essere. Il Garante, nella

delle persone fisiche coinvolte,

trattamenti sarà uno strumento

Guida sopra citata, mette in

dovrà consultare l’Autorità di

fondamentale non soltanto ai fini

rilievo che per rischio si

controllo, secondo quanto

dell'eventuale verifica da parte del

intende il rischio di impatti

disposto dall’art. 36 del

Garante, ma anche allo scopo di

negativi sulle libertà e sui diritti

Regolamento (consultazione

disporre di un quadro aggiornato

degli interessati. Tali impatti

preventiva). All'esito di questa

dei trattamenti in essere


dovranno essere analizzati

valutazione d’impatto il Titolare

all'interno di un'azienda,

attraverso un apposito processo

potrà decidere in autonomia se

indispensabile per ogni

di valutazione tenendo conto

iniziare il trattamento (avendo

valutazione e analisi del rischio.

dei rischi noti o evidenziabili e

adottato le misure idonee a

Lo stesso, infatti, non costituisce

delle misure tecniche e

mitigare sufficientemente il

un adempimento formale, bensì

organizzative (anche di

rischio) ovvero consultare

parte integrante di un sistema di

sicurezza) che il Titolare ritiene

l'Autorità di controllo competente

corretta gestione dei dati


di dover adottare per mitigare

per ottenere indicazioni su come

personali. Per tale motivo, il

gli stessi. Ai sensi del GDPR, la

gestire il rischio residuale.

Garante invita tutti i Titolari di

valutazione d’impatto è

L'Autorità non avrà il compito di

trattamento e i Responsabili, a

richiesta in particolare qualora

"autorizzare" il trattamento, bensì

prescindere dalle loro dimensioni,

s’intenda effettuare una

di indicare le misure ulteriori

a dotarsi di tale registro (e, in ogni

valutazione sistematica e

eventualmente da implementare a

caso, a compiere un'accurata

globale di aspetti personali

cura del Titolare e potrà, ove

ricognizione dei trattamenti svolti


relativi a persone fisiche, basata

necessario, adottare tutte le

e delle rispettive caratteristiche),

su un trattamento

misure correttive ai sensi dell'art.

inserendo, se opportuno, ulteriori

automatizzato oppure quando

58: dall'ammonimento del

informazioni rispetto a quelle

si tratti di un trattamento su

Titolare fino alla limitazione o al

prescritte dall’art. 30.

larga scala di categorie

divieto di procedere al

› Analisi dei rischi (art. 32 del

particolari di dati o dati relativi

trattamento. Dunque, l'intervento

GDPR) - Nel valutare l’adeguato

a condanne penali e a reati,

delle Autorità di controllo sarà

livello di sicurezza, il Titolare


ovvero in caso di sorveglianza

principalmente "ex post", ossia si

ed il Responsabile devono

sistematica ad ampio raggio di

collocherà successivamente alle

effettuare un’analisi dei rischi

una zona accessibile al

determinazioni assunte

derivanti dal tipo di

pubblico.

autonomamente dal Titolare; ciò

trattamento che intendono

La valutazione d’impatto deve

spiega l'abolizione a partire dal 25

porre in essere, quali quelli di

contenere almeno i seguenti

maggio 2018 di alcuni istituti

distruzione, perdita, modifica,

elementi:

previsti dalla direttiva del 1995 e

divulgazione non autorizzata e


› una descrizione sistematica dei

dal Codice italiano, come la

accesso, in modo accidentale o

trattamenti previsti e delle

notifica preventiva dei trattamenti

illegale, ai dati personali

finalità di trattamento,

all'Autorità di controllo e il

INFORMATION SECURITY & PRIVACY |

84

cosiddetto prior checking (o

regolarmente l’efficacia delle

dell'organizzazione del Titolare.

verifica preliminare ex art. 17

misure tecniche ed

Il WP29 ha anche specificato che

Codice), sostituiti dall’obbligo di

organizzative al fine di

il DPO non è personalmente

tenuta di un registro dei

garantire la sicurezza del


responsabile in caso di mancato

trattamenti da parte del

trattamento). La valutazione

rispetto del GDPR. Infatti sono il

Titolare/Responsabile e, appunto,

sarà rimessa, caso per caso, al

Titolare e il Responsabile ad

di effettuazione della valutazione

Titolare e al Responsabile in

essere tenuti a garantire (e

di impatto in piena autonomia.

rapporto ai rischi

dimostrare) che il trattamento

Peraltro, alle Autorità di

specificamente individuati e

venga effettuato in conformità

controllo, e in particolare al

tenuto conto non solo della

con il Regolamento Generale sulla

"Comitato europeo della

natura, ambito, contesto e


Protezione dei Dati. Il DPO non

protezione dei dati" (l'erede

finalità del trattamento, ma

sarebbe, dunque, responsabile in

dell'attuale Gruppo "Articolo 29")

anche dello stato dell’arte

prima persona

spetterà un ruolo fondamentale al

(evoluzione tecnologica) e dei

dell’implementazione della

fine di garantire uniformità di

costi di attuazione.

privacy in azienda, ma una figura

approccio e di fornire ausili

› Responsabile della protezione

di controllo priva di responsabilità

interpretativi e analitici: il

dei dati - c.d. DPO - (artt. 37-

esecutive. Egli esprime solo

Comitato sarà chiamato infatti a

39) - Il GDPR introduce la


pareri, ma le decisioni (anche

produrre linee-guida e altri

figura del Data Protection

eventualmente in contrasto con il

documenti di indirizzo su queste e

Officer (DPO). Si tratta di una

suo parere) sono assunte da altri.

altre tematiche connesse, anche

figura con compiti eterogenei,

Per tale motivo non deve quindi

per garantire quegli adattamenti

alcuni di natura ispettiva

avere un ruolo all’interno

che si renderanno necessari alla

interna (sorvegliare), altri

dell’organizzazione che gli

luce dello sviluppo delle

consulenziali (dare pareri),

consenta di determinare finalità e

tecnologie e dei sistemi di

alcuni interni
modalità del trattamento, fra cui,

trattamento dati.

all’organizzazione del Titolare,

ad esempio, quello di

› Misure tecniche organizzative

altri esterni (rapporto con gli

“amministratore delegato, direttore

adeguate (art.32) - Come sopra

interessati e con l’autorità di

generale, direttore finanziario,

anticipato, non sono più

controllo). La sua figura è di

direttore sanitario, direttore

previste misure "minime" di

fondamentale importanza in

marketing, risorse umane e IT” o

sicurezza (ex art. 33 Codice), ma

quanto è volta a facilitare il

anche di altre figure non apicali,

è prescritto, in capo al Titolare

rispetto, da parte delle singole


se tali posizioni portano alla

ed ai Responsabili, l’obbligo di

organizzazioni, delle

determinazione delle finalità e

adottare misure tecniche ed

disposizioni dettate dalla nuova

modalità del trattamento. Inoltre,

organizzative “adeguate al

disciplina. I requisiti soggettivi

il GDPR prevede che il Titolare e il

rischio.” Al riguardo quelle

e oggettivi di questa figura

Responsabile del trattamento

elencate nell’art. 32 del GDPR

sono stati specificati, in

debbano assicurarsi che il DPO

sono indicate a titolo

particolare, nelle Linee Guida

non riceva alcuna istruzione in

esemplificativo e non esaustivo

sul DPO adottate dal WP29 il 5


merito all’esecuzione dei suoi

(pseudonimizzazione; cifratura;

aprile 2017 (WP243), illustrando

compiti e che non debba essere

capacità di assicurare la

(anche attraverso esempi

rimosso o depenalizzato, da parte

continua riservatezza, integrità,

concreti) le competenze

del Titolare o del Responsabile,

disponibilità e resilienza dei

professionali (conoscenza

per aver adempiuto ai propri

sistemi e dei servizi che

specialistica della normativa e

compiti.

trattano i dati personali;

delle prassi in materia di

La sua designazione è

capacità di ripristinare

protezione dei dati) e le


obbligatoria nei seguenti casi:

tempestivamente la

garanzie di indipendenza e

› il trattamento è effettuato da

disponibilità e l’accesso dei dati

inamovibilità di cui il DPO deve

un’Autorità pubblica o da un

in caso di incidente fisico o

godere nello svolgimento delle

organismo pubblico;

tecnico; una procedura per

proprie attività di indirizzo e

› il “core business” dell’azienda

provare, verificare e valutare

controllo all'interno

consiste in attività che

IL SOLE 24 ORE | Giugno 2017 | Numero 3

85

richiedono il monitoraggio

Garante sia l'autorità giudiziaria

› Entità delle sanzioni (artt. 83 -


regolare e sistematico di dati

sono libere di valutare. Infatti

84) – Il GDPR prevede la

degli interessati su larga scala;

rimangono impregiudicati i

possibilità per le Autorità

› il “core business” dell’azienda

compiti e i poteri delle autorità di

nazionali di irrogare sanzioni

consiste nel trattamento su

controllo competenti.

fino a € 20.000.000 o, in caso

larga scala di dati “sensibili” e

› Maggiore responsabilità dei

di imprese, al 4% del fatturato

giudiziari”.

“Responsabili” (art. 82) - Il

globale annuo, a seconda di

Nelle suddette Linee Guida sul

GDPR sancisce una maggiore

quale risulti la sanzione più


DPO, il WP29 ha precisato che se

responsabilità del Data

elevata.

un ente non è tenuto a nominare

Processor che:

Le sanzioni più alte si applicano

un DPO e decide di designarlo su

› può ricevere direttamente

nel caso di:

base volontaria, si applicheranno

richieste da parte dell’Autorità

› violazioni dei principi del

comunque gli stessi requisiti di

Garante;

trattamento, incluse le

cui agli artt. da 37 a 39 sulla sua

› è direttamente passibile di

condizioni per il consenso;

designazione, ruolo e compiti,

sanzioni amministrative;

› violazione dei diritti degli


come se la nomina fosse stata

› può rispondere direttamente

interessati;

obbligatoria. In ogni caso, un ente

per il danno causato dal

› inosservanza delle norme in

che non è obbligato a nominare il

trattamento non solo se non ha

tema di trasferimento

DPO e non desidera nemmeno

rispettato le istruzioni del

internazionale dei dati;

farlo su basi volontarie, può

Titolare, ma anche se non ha

› violazione di obblighi previsti

comunque utilizzare staff o

adempiuto agli obblighi del

dalle legislazioni degli Stati

consulenti esterni con compiti

GDPR specificamente diretti ai

membri;
relativi al trattamento dei dati

Responsabili.

› inosservanza di un ordine, di

personali.

I trattamenti effettuati dal

una limitazione provvisoria, o

› Certificazione dei trattamenti

Responsabile, ai sensi dell’art. 28,

definitiva di trattamento o di

(artt. 42 – 43) – Il GDPR

devono essere disciplinati

un ordine di sospensione dei

promuove l'istituzione di

all’interno di un contratto o di un

flussi dei dati dell’autorità di

meccanismi di certificazione

altro atto giuridico a norma del

controllo, o il negato accesso.

della protezione dei dati allo

diritto dell’Unione o degli Stati

Le sanzioni più basse (fino a €.


scopo di dimostrare la

membri, che vincoli il

10.000.000 o al 2% del fatturato

conformità al Regolamento dei

Responsabile al Titolare. In

globale annuo) si applicano in

trattamenti effettuati dai

particolare dovranno essere

caso di violazione degli obblighi

Titolari e dai Responsabili.

indicati la materia disciplinata, la

previsti in capo al Titolare e al

La certificazione è volontaria ed

durata, la natura e la finalità del

Responsabile, all’organismo di

accessibile tramite una procedura

trattamento, il tipo di dati

certificazione e all’organismo di

trasparente che dovrà essere

personali e le categorie di dati

controllo.
basata su criteri previamente

degli interessati, gli obblighi e i

Non potendo fissare

approvati dalle Autorità di

diritti del Titolare.

direttamente, per difetto di

controllo competenti.

Inoltre, se il Titolare e il

competenza, le sanzioni penali,

L’ottenimento della

Responsabile sono coinvolti nel

l’UE demanda ai singoli Stati

certificazione non riduce le

medesimo trattamento saranno

membri l’individuazione delle

responsabilità in capo al Titolare e

chiamati a rispondere in solido

stesse. Pertanto, sotto questo

al Responsabile del trattamento

per l’intero ammontare del danno

aspetto, non vi sarà concreta


ma offre una mera presunzione

causato dallo stesso, ai sensi

uniformità e armonizzazione a

relativa di conformità che sia il

dell’art. 82.

livello europeo. •

INFORMATION SECURITY & PRIVACY

86

PARTE III -
IL QUADRO NORMATIVO DI RIFERIMENTO E I PERCORSI DI CERTIFICAZIO

15. General Data Protection

Regulation (GDPR),

la roadmap di adeguamento

Gabriele Faggioli*

Il General Data Protection Regulation (GDPR) richiede

la definizione di una roadmap di adeguamento nelle

organizzazioni. Lo scopo di un progetto in tal senso

è quello di assicurare un'applicazione coerente

e omogenea delle norme, di valutare le implicazioni

su processi e sistemi già esistenti e di stabilire l'impatto

delle disposizioni, per arrivare pronti al momento


di entrata in vigore della normativa

Il 25 maggio del 2018 il

trattamento dei dati personali;

significa che le attività devono

Regolamento Generale sulla

› valutare le implicazioni che le

essere necessariamente

Protezione dei Dati (n.

nuove disposizioni determinano

conseguenziali, posto che, per

2016/679), attualmente in vigore,

sui processi/sistemi già

esempio, la Fase 5 inerente alla

diverrà finalmente applicabile.

esistenti;

definizione delle politiche di

Alla luce delle normative

› stabilire quali disposizioni

sicurezza e la valutazione dei rischi

esistenti, il Regolamento andrà ad

presentano un maggiore impatto


e la fase 7 inerente alla valutazione

abrogare la Direttiva 1995/46 e le

per le imprese dal punto di vista

di impatto devono essere svolte

Autorizzazioni Generali

delle azioni che le stesse devono

tipicamente in modo contiguo a

dell’Autorità Garante (italiana). Al

intraprendere per adeguarsi al

valle del registro dei trattamenti.

contrario, non decadranno i

Regolamento.

Ciò detto, le principali

Provvedimenti dell’Autorità

Da un punto di vista generale, è

caratteristiche delle singole fasi

Garante, gli Accordi internazionali

necessario seguire un modello di

sopra indicate sono:

sul trasferimento di dati e le

funzionamento della Data


› analisi dell’organizzazione

Decisioni della Commissione UE.

Protection quale quello di seguito

aziendale e studio della

Lo scopo di un progetto di

rappresentato in figura 15.1.

documentazione, volta a

adeguamento al nuovo

Ciò detto, è possibile suddividere

comprendere l’organizzazione

Regolamento Europeo deve essere

da un punto di vista pratico il

stessa e a mappare gli eventuali

quello di:

modello di adeguamento al

gap da colmare;

› assicurare un’applicazione

Regolamento Europeo in 9 fasi,

› predisposizione del piano di

coerente e omogenea delle

come rappresentato in figura 15.2.


intervento per l’adeguamento al

norme a protezione del

La numerazione progressiva non

GDPR (tabellazione della

* Responsabile scientifico Osservatorio Information Security & Privacy e Presidente CLUSIT

IL SOLE 24 ORE | Giugno 2017 | Numero 3

87

FIGURA 15.1 – IL MODELLO GDPR

normativa applicabile in ragione

Regolamento stesso, monitorando

titolare e degli eventuali

delle specificità dei singoli

costantemente l’uscita di

responsabili, le finalità del


settori e stesura di un piano di

disposizioni e linee guida emanate

trattamento stesso, una

intervento).

dalle diverse Autorità competenti

descrizione delle categorie di

› Fase 1 – Valutazione della

(es. Guidelines on DPOs, WP29, del

interessati e dei dati personali, i

compliance: le singole imprese,

5 aprile 2017).

destinatari, gli eventuali

per conformarsi ai nuovi

È necessario quindi compiere

trasferimenti verso Paesi terzi e

obblighi previsti dal GDPR,

un’analisi del contesto di

una descrizione generale delle

dovranno preliminarmente

riferimento in cui opera la società

misure di sicurezza. Questa


raccogliere tutte le informazioni

oggetto di adeguamento (es.

attività ha una duplice finalità:

sull’organizzazione aziendale

peculiarità del settore di business,

› il registro dei trattamenti deve

analizzando e valutando la

anche sotto il profilo del

essere uno strumento operativo

documentazione in uso e le

trattamento di dati personali),

di lavoro mediante il quale

scelte di adeguamento

raccogliere e analizzare la

censire in maniera ordinata i

normativo effettuate in passato.

documentazione organizzativa,

trattamenti e gli altri elementi

Qualora, a seguito di tale

tecnologica e legale disponibile (es.

rilevanti per assicurare una


valutazione, emerga una non

informative, moduli di consenso,

corretta gestione dei dati

conformità alle nuove

mappatura applicazioni e servizi

personali;

disposizioni, sarà necessario per

utilizzati, censimento data

› il registro dei trattamenti deve

l’impresa predisporre un piano

processor, ecc.). In figura 15.3 sono

essere anche un documento con

di intervento volto a definire le

indicati i macro passaggi

valore probatorio mediante il

procedure interne da

fondamentali dell’assessment del

quale il Titolare del trattamento

implementare al fine di evitare

modello AS-IS.

deve poter dimostrare di aver


di incorrere in sanzioni. Questo

› Fase 2 – Creazione del registro

adempiuto alle prescrizioni del

attraverso due fasi:

dei trattamenti: il registro dei

GDPR nell’ottica del generale

In pratica, per poter adempiere al

trattamenti, disciplinato dall’art

principio di accountability.

GDPR, occorre prima di tutto

30 del Regolamento, è un

Il registro dei trattamenti deve

svolgere una identificazione,

documento volto a tenere traccia

contenere una serie di dati

comprensione e classificazione dei

delle operazioni di trattamento

obbligatori imposti dal GDPR ma

requisiti normativi indicati nel

effettuate e contenente i dati del

può comprendere anche elementi


INFORMATION SECURITY & PRIVACY |

88

aggiuntivi che risulteranno utili sia

aggiornata secondo le

Titolare del trattamento deve

per lo svolgimento delle fasi

prescrizioni del nuovo

mettere in atto misure tecniche

successive del piano di

Regolamento (solo come

e organizzative adeguate per

adeguamento al GDPR sia per il


esempio è bene ricordare che il

garantire e dimostrare la

lavoro di chi si dovrà occupare

GDPR impone che le informative

conformità del trattamento

della materia privacy, compreso il

abbiano un contenuto più ampio

stesso al Regolamento. Tale

Data Protection Officer (come

rispetto a quanto stabilito dalla

condotta, espressione del

esplicitato in figura 15.4).

vigente normativa).

principio di

È bene ricordare che l’art. 30 co.

› Fase 4 – Individuazione dei

responsabilizzazione contenuto

V del GDPR esonera le imprese con

ruoli e delle responsabilità: è

nell’art. 5, comma II, e nell’art.

meno di 250 dipendenti


tassativamente necessario, sulla

24 (accountability), nasce dalla

dall’obbligo di tenere il registro dei

base della nuova normativa,

volontà del Legislatore Europeo

trattamenti, fatta eccezione per

individuare e contrattualizzare

di lasciare maggiore

alcune specifiche ipotesi (ad

tutti i responsabili del

discrezionalità ai titolari del

esempio, qualora il trattamento

trattamento; per molti settori di

trattamento:

possa presentare un rischio per i

mercato, anche alla luce delle

Tale fase consta di

diritti e le libertà dell’interessato).

linee guida specifiche del WP

3 macro-attività:

› nella definizione delle politiche


Article 29, è inoltre

› Definizione della metodologia di

da adottare;

indispensabile provvedere alla

analisi dei rischi: il GDPR

› nell’individuazione della

nomina di un Data Protection

contiene continui richiami al

metodologia più compatibile con

Officer.

concetto di rischio (es.: artt. 25,

l’organizzazione aziendale;

› Fase 5 – Definizione delle

32 e 35) e, dunque, alla necessità

› nell’analisi e valutazione dei

politiche di sicurezza e

di definire le azioni da adottare

rischi che potrebbero sorgere in

valutazione dei rischi: tenuto

prendendo in considerazione

relazione alla violazione del


conto della natura, dell'ambito di

l’origine, la natura e la gravità

trattamento dei dati personali.

applicazione e delle finalità del

del rischio stesso;

› Fase 3 – Stesura/Modifica della

trattamento, nonché dei diversi

› Effettuazione dell’analisi del

documentazione: è importante

rischi per i diritti e le libertà

rischio e gap analysis;

che essa risulti completa ed

delle persone fisiche, ogni

› Definizione del piano di


IL SOLE 24 ORE | Giugno 2017 | Numero 3

89

FIGURA 15.3 – L’ASSESSMENT DEL MODELLO AS-IS

intervento: una volta effettuata

comunque trattati». Pertanto, ai

esempio, qualora detta

l’analisi dei rischi in base alla

sensi dell’art. 33 del

comunicazione richiederebbe

metodologia individuata in

Regolamento, nel caso in cui si

sforzi sproporzionati). È quindi

precedenza, dovrà essere


verifichino violazioni di dati

necessario che la gestione dei

predisposto un piano di

personali, il Titolare ne deve

casi di violazione dei dati venga

intervento contenente le misure

dare comunicazione all’Autorità

formalizzata in apposita

tecniche ed organizzative più

di Controllo (entro 72 ore

procedura adottata da ciascuna

opportune da adottare per

dall’avvenuta conoscenza della

impresa.

garantire un livello di sicurezza

violazione) e, nei casi più gravi,

› Fase 7 – Valutazione d’impatto

adeguato al rischio stesso (art.

anche agli interessati. I Titolari

sulla protezione dei dati

32).
del trattamento dovranno

personali: la necessità di

› Fase 6 – Processo di Data

assicurare di aver adottato

assicurare trasparenza nelle

Breach: con il termine “Data

procedure idonee a scoprire

operazioni di trattamento dei

Breach” si intende il complesso

eventuali violazioni, generare

dati personali e adeguata

di adempimenti, attribuiti al

adeguata reportistica e

protezione agli stessi, implica

Titolare del trattamento, da

indagarne le cause nonché gli

che il Titolare effettui precise e

porre in essere a seguito della

effetti. Qualora la violazione dei

adeguate valutazioni d'impatto.

violazione dei dati personali,


dati presenti un rischio elevato

Anche sulla base di tali

intesa come « la violazione di

per i diritti e le libertà delle

valutazioni, egli identifica le

sicurezza che comporta

persone fisiche, il Titolare

misure di sicurezza fisiche,

accidentalmente o in modo illecito

comunica la violazione

logiche e organizzative adeguate

la distruzione, la perdita, la

all’interessato senza

per minimizzare i rischi dei

modifica, la divulgazione non

ingiustificato ritardo (art. 34),

singoli trattamenti. La

autorizzata o l’accesso ai dati

fatta eccezione per alcune

valutazione d'impatto assume

personali trasmessi, conservati o


ipotesi previste dalla norma (ad

un'utilità e una centralità ancor

INFORMATION SECURITY & PRIVACY |

90

FIGURA 15.4 – IL REGISTRO DEI TRATTAMENTI

più evidente alla luce delle più

qualora le attività principali del

› abbia precise competenze

recenti strumentazioni

Titolare/Responsabile del

giuridiche, informatiche, di risk

informatiche e telematiche e dei

trattamento consistano nel

management e di analisi dei


trattamenti di dati che possono

trattamento su larga scala di

processi;

essere svolti tramite le

categorie particolari di dati

› goda di indipendenza e

tecnologie avanzate.

personali.

autonomia;

› Fase 8 – Implementazione dei

Trattasi di una figura la cui

› possa interfacciarsi con le figure

processi per l’esercizio dei

responsabilità principale è quella di

chiave dell’azienda, al fine di

diritti dell’interessato: il GDPR,

osservare, valutare e organizzare la

valutare i rischi connessi ai

oltre a ribadire le prerogative

gestione del trattamento di dati

trattamenti e suggerire quali


concesse agli interessati dalla

personali (e dunque la loro

misure adottare.

attuale normativa, introduce in

protezione) all’interno di

In conclusione, sebbene il GDPR

modo puntuale il diritto alla

un’azienda, affinché questi siano

diventerà applicabile solo a

portabilità dei dati e il diritto

regolati nel rispetto delle

decorrere dal 25 maggio 2018, le

all’oblio. È fondamentale quindi

normative sulla privacy europee e

aziende e le pubbliche

che nel progetto di adeguamento

nazionali. Il Data Protection Officer

amministrazioni devono

al GDPR il processo di gestione

deve svolgere le attività a lui

immediatamente preoccuparsi di
dell’eventuale attivazione di tali

demandate dal GDPR tra cui le

porre la tematica del trattamento e

diritti da parte di uno o più

seguenti funzioni: informare e

della sicurezza dei dati tra le

interessati del trattamento sia

consigliare il Titolare o il

priorità del management.

oggetto di apposita procedura di

Responsabile in merito agli

Inoltre, le imprese e le pubbliche

dettaglio.

obblighi del Regolamento,

amministrazioni non devono

› Fase 9 – Data Protection Officer

verificarne l’applicazione e

sottovalutare che la conformazione

(DPO): il GDPR prevede la nuova

l’attuazione, fornire pareri

alle nuove disposizioni potrebbe


figura del Data Protection

e fungere da punto di contatto sia

richiedere tempi lunghi e rilevanti

Officer o Responsabile della

con gli interessati che con il

impegni di spesa anche sotto un

Protezione dei Dati, la cui

Garante.

profilo tecnologico implicando, il

nomina è obbligatoria in una

Perché il DPO possa svolgere le

GDPR, interventi sul comparto IT,

serie di ipotesi previste dall’art.

proprie funzioni in modo efficace,

sul personale e sulla

37 del Regolamento, ad esempio

è necessario che:

governance. •

IL SOLE 24 ORE | Giugno 2017 | Numero 3

91

EL-
XX GENERAL DATA PROTECTION REGULATION (GDPR), LA ROADMAP DI AD

CASO 11: EUROPCAR

Nata in Francia oltre 65 anni fa, Europcar è leader europeo nel noleggio di autoveicoli, oltre ch
mercato della mobilità. Il Gruppo Europcar, attivo in oltre 140 Paesi con i marchi Europcar ed
dei più grandi network di autonoleggio del mondo tramite società interamente controllate, non
all'attività core del noleggio di auto, furgoni e scooter, il Gruppo Europcar ha ampliato negli u

Europcar, che vanta numerosi premi “World Travel Awards” relativi all’offerta di mobilità ed
consta di 6000 dipendenti e nel 2016 ha fatturato 2,151 miliardi di Euro.

Da un punto di vista organizzativo, la società operante sul territorio nazionale Europcar Italia S
sia di adeguamenti tecnologici sia di compliance dei processi verso gli standard di settore, ven
direttamente dalla casa madre in Francia e messi in atto dalle singole Country.

Sin dalla pubblicazione del General Data Protection Regulation ed in vista della sua prossima
immediatamente attivata per strutturare il processo di adeguamento alla normativa in materia d
percorso è iniziato conducendo una gap analysis e proseguirà con una serie di investimenti stra
propri clienti, ma anche perfettamente rispondente ai requisiti imposti dalla nuova normativa.

Il GDPR è un tema che diventa particolarmente complesso in contesti multinazionali: è


membro dell’Unione europea, infatti, risponde in maniera differente a determinati stimoli lega
europeo in modo efficace, sia in termini di tempi che di modalità, a differenza di altri Paesi la

Volgendo lo sguardo ad uno dei principali compiti che le aziende facenti parte di un gruppo de
in vigore della nuova normativa, ovvero quello di definire il perimetro di responsabilità rispett
esigenze tipiche del mercato italiano, ma allo stesso tempo fa riferimento a diversi mezzi e stru

Una ulteriore criticità introdotta dal GDPR riguarda l’applicazione del meccanismo dello “spo
quanto previsto dalla normativa, qualora un’organizzazione vantasse più stabilimenti all’intern
avere un'unica Autorità sovrintendente riconosciuta come "Autorità principale" (o capofila), su
proprio "stabilimento principale" (ossia il luogo dove avvengono le più significative attività di
Parigi, se si adottasse tale meccanismo, l’Authority di riferimento (in merito alla maggior part
esclude che per i casi regolati specificatamente dalla normativa locale (come ad esempio i dive
sempre confrontare con l’Autorità di Controllo nazionale, dovendo quindi sostenere i processi
i due “canali”, quello locale e quello internazionale.

Un ulteriore punto di attenzione è relativo all’applicazione del principio della “Data Protection
richiede l’attuazione di misure tecniche ed organizzative adeguate al fine di proteggere efficac
un periodico censimento dei dati personali; dovranno inoltre definire i tempi di conservazione

INFORMATION SECURITY & PRIVACY |

92

posite procedure che permettano, in automatico, di cancellarli quando non sono più necessari.

Infine, in Europcar, particolare attenzione è dedicata al processo di sensibilizzazione del fattor


da rendere edotti i dipendenti sulla nuova normativa europea; la seconda mette a fuoco aspetti
phishing, diffusione di malware e ransomware).

Europcar Italia si sta impegnando molto per far sì che la formazione raggiunga ogni dipendent
disseminati sul territorio.

CASO 12: GRUPPO BOSCH ITALIA

La Robert Bosch GmbH nasce nel 1886 a Stoccarda come "Officina di meccanica di precision

In Italia e Grecia conta una ventina di entità legali, tra sedi commerciali, sedi produttive (powe

idraulica, attrezzatura d’officina) ed entità di Ricerca e Sviluppo, per un totale di circa 6000 co

Il Board di Bosch è particolarmente attento e sensibile alle implicazioni del General Data Prot
prevede sanzioni consistenti – fino al 4% del fatturato globale annuo –
in caso di mancato adempimento.

Nell’ambito Sicurezza Dati e Informazioni, l’organizzazione prevede, a livello di Regione, un


che hanno direttamente a che fare con i vari collaboratori sul territorio e si occupano di sensib

Dal momento della pubblicazione del GDPR, la funzione Sicurezza Dati e Informazioni si è im

Il primo passo effettuato è stato chiedersi quanto la situazione dell’azienda fosse “lontana” dai
Regolamento. Il documento è stato analizzato nel dettaglio per arrivare alla stesura di una lista
GDPR (informative, notifiche, registro dei trattamenti, implementazione TOMs (Technic
analisi dei rischi, Data Protection Impact Assessment, misure IT, ecc.) composta da 70 punti.

A seguito della redazione della lista, si è passati all’individuazione delle persone coinvolte. So
riferimento: società di consulenza informatica, supporto informatico interno all’azienda, suppo
di vari enti commerciali, di servizi e di produzione.
Successivamente, l’azienda si è dedicata alla valutazione dell’impegno connesso ad ognuna de

in termini di tempistiche, per ogni categoria di persone coinvolte, seguita da un censimento su

Per rendersi effettivamente conto del gap esistente e misurare l’impatto e l’impegno che il per

Questo impegno è stato poi tradotto in costi, per definire l’ammontare del budget necessario a
entità legali italiane e greche. Al costo per lo svolgimento delle attività per le 4 categorie di re
costo della formazione, ottenendo una stima complessiva che è stata poi suddivisa sui 2 anni d

Il budget calcolato ammonta in totale a circa 2 milioni di Euro, ovvero in media intorno a 10.0

Il percorso di formazione delle risorse all’interno dell’organizzazione è un passaggio fondame


funzioni (come per esempio l’HR), di tutti i collaboratori per sensibilizzare a tutti i livelli l’org

Per assicurare che la formazione fosse adeguata al target dei diversi soggetti, sono state definit

› Trattamento dati dei collaboratori

IL SOLE 24 ORE | Giugno 2017 | Numero 3

93

› Trattamento dati personali con applicazioni IT

› Trattamento dati di clienti/fornitori

› Trattamento dati personali tramite prodotti

In Italia attualmente non vengono realizzati prodotti che raccolgono dati personali, a differenz
nazioni. Questa tipologia di prodotti viene però commercializzata anche sul territorio it
venga affrontato anche questo ambito.

Ogni sessione di formazione è tenuta da un legale esterno e ha una durata di mezza giornata.

Una volta terminata la formazione ai Responsabili, per tutti gli altri collaboratori che trattano d
sessioni di aggiornamento da un’ora ciascuna, in cui verranno illustrate le novità introdotte da
rispetto all’attuale legge vigente. La formazione specifica sulla nuova regolamentazione si affi
relative al tema della privacy che vengono veicolate da anni agli utenti dell’organizzazione.

A seguito della formazione verrà effettuata una revisione dell’analisi preliminare. Infatti quand
a conoscenza dei requisiti del GDPR, potrebbero emergere trattamenti non considerati precede

A valle della rifinitura, verranno stabilite con l‘ausilio del supporto legale le priorità d’azione
ai rischi ad essi connessi.

L’attività entrerà poi nel vivo e sarà coordinata a livello globale, attraverso incontri per temati
nella documentazione, ottimizzando così i costi di consulenza esterna.

Le maggiori difficoltà incontrate ad oggi riguardano la raccolta dei dati, poiché spesso le infor
tutto coerenti e richiedono un continuo coordinamento, la definizione in dettaglio delle attività

La mole di lavoro derivante dal percorso di adeguamento è molto consistente, ma rappresenta


e aumentare l’efficienza.

INFORMATION SECURITY & PRIVACY

94

PARTE III -
IL QUADRO NORMATIVO DI RIFERIMENTO E I PERCORSI DI CERTIFICAZIO

16. Protezione

dei dati personali

e PMI verso gli anni ‘20

Sergio Fumagalli*

In Italia oltre il 99% del tessuto industriale

è rappresentato da piccole e medie imprese che avranno

intrinsecamente difficoltà ad adeguarsi al General Data

Protection Regulation (GDPR). I codici di condotta sono

strumenti pensati espressamente alle PMI e possono

rappresentare una possibile via di soluzione per garantire


sostenibilità ed efficacia dello sforzo di adeguamento

e applicazione del Regolamento

Leggendo il testo del

giurisdizioni nazionali;

Ne è nato un testo che cerca di

Regolamento UE 2016/679

› la dipendenza crescente dalla

tutelare le persone in continuità

(GDPR, General, Data

tecnologia non solo

con la normativa vigente,

Protection Regulation), approvato

nell’organizzazione e nella

introducendo, però, nuovi diritti

nel maggio dell’anno scorso e

gestione delle relazioni di

per gli interessati e nuovi obblighi

pienamente operativo in tutta

business, ma anche in aspetti

per i Titolari, tra cui un approccio

l’Unione dal 25 maggio 2018, ci si


intimi della vita delle persone;

alla sicurezza basato sull’analisi

rende conto subito di quanto

› la prospettiva, ormai concreta,

dei rischi e uno alla innovazione

l’attenzione del legislatore sia

dell’ingresso massiccio nella

basato sull’analisi di impatto.

stata assorbita dai grandi

nostra vita di dispositivi anche

Un testo con il chiaro obiettivo

fenomeni che caratterizzano

a basso costo, intelligenti e

di superare i limiti territoriali di

questi primi anni del XXI secolo:

connessi in rete (IoT), in grado

applicabilità della legislazione e di

› la concentrazione di quantità di

di rilevare, automaticamente e

obbligare anche operatori di

dati personali, enormi e in


continuamente, informazioni

dimensioni assimilabili a quelle di

continua crescita, nei computer

dettagliate sui nostri

uno Stato a doversi preoccupare

di un numero ridotto di

comportamenti e sul nostro

di applicare la norma, a causa di

imprese multinazionali o, per

corpo: un’esplosione di

sanzioni potenzialmente assai

dir meglio, sovranazionali e,

informazioni personali, in

rilevanti.

dunque, difficilmente

quegli stessi server ubicati

Una legge moderna che,

riconducibili a legislazioni e

chissà dove.

dovendo regolare un fenomeno in

* Membro del direttivo di CLUSIT e del coordinamento di Europrivacy.info.


IL SOLE 24 ORE | Giugno 2017 | Numero 3

95

continua, frenetica e

contesto che si ribalta ogni sei

monetario: servono una cultura

imprevedibile mutazione, affronta

mesi con un testo che ha

aziendale evoluta e

la sfida scegliendo un approccio

impiegato quattro anni per essere

un’organizzazione articolata per

basato sulla responsabilizzazione

approvato e ne richiederebbe altri

corrispondere all’impostazione del


dei soggetti tenuti alla sua

quattro per essere aggiornato.

GDPR, non solo una capacità di

applicazione, tra cui anche PMI,

Una filosofia che, però, per

spesa adeguata.

invece del tradizionale approccio

essere tradotta in fatti concreti – e

Certo, il risultato alla fine sarà

prescrittivo e autorizzativo che

una sanzione che potenzialmente

probabilmente molto più efficace,

enfatizza il ruolo del regolatore.

può raggiungere il 4% del

ma quante organizzazioni, oggi,

Non una lista di adempimenti a

fatturato richiede un’attenzione

in Italia, sono in grado di

cui uniformarsi, dunque, ma un

molto concreta – si trascina una

assumersi questo onere?


insieme di regole generali da cui

grande complessità.

La platea dei destinatari, infatti,

derivare un modello di gestione

Prendiamo, ad esempio, il tema

non annovera solo grandissimi

specifico per il proprio contesto,

quanto mai attuale della sicurezza

operatori multinazionali. Il

mediante analisi, valutazioni,

dei dati personali: il Codice

quadro, in particolare in Italia, ha

scelte che devono poi essere

Privacy attualmente vigente

caratteristiche del tutto diverse,

documentate per poter assolvere

prevede delle misure minime che

come si evince dalla figura 16.1.

all’obbligo di saper dimostrare di

il Titolare deve rispettare.

Oltre il 99% delle imprese, in


aver adempiuto al meglio.

Il GDPR invece cancella il

Italia, ha meno di 250 addetti e

“Il titolare del trattamento è

concetto di misure minime: dovrà

una struttura organizzativa

competente per il rispetto del

essere una valutazione del

magrissima e del tutto

paragrafo 1 (che riassume i

contesto e dei rischi a guidare le

concentrata sul business. Nascono

principi generali da applicare al

scelte del Titolare nel determinare

allora due domande, cruciali per il

trattamento dei dati personali) e

le misure di sicurezza da

successo del GDPR ma anche per

in grado di comprovarlo

applicare.

le nostre vite quotidiane, se è


(«responsabilizzazione»)”: questa

Nel primo caso c’è solo un costo

vero, come personalmente

breve frase, che chiude l’articolo 5,

di attuazione, nel secondo anche

ritengo, che il GDPR affronta un

dedicato ai principi di liceità dei

un costo di analisi e valutazione e

tema centrale del nostro tempo:

trattamenti, riassume in sé tutta la

un costo di documentazione delle

1) Quante delle imprese con

filosofia del GDPR.

scelte, di controllo e di revisione

meno di 250 addetti (4.438.850

Una filosofia moderna e forse

periodica.

imprese) saranno in grado di

l’unica in grado di reggere la sfida

Il termine “costo” qui non sta

applicare e applicheranno in
di cui sopra: governare un

ad indicare un mero dato

modo efficace il Regolamento?

INFORMATION SECURITY & PRIVACY |

96

2) Se decidessero di non far

dell’operato dei suoi subfornitori

liberalizzazione dell’accesso al

nulla, ci sarebbero conseguenze

(si faccia riferimento al box per il

grande pubblico.

significative o no, al di là di

testo dell’articolo).

Dall’altro, molti studi

qualche sanzione per i più

professionali – commercialisti,

sfortunati?

Articolo 82

avvocati, consulenti del lavoro,

Realisticamente, senza


medici, laboratori di analisi –

interventi specifici, non è difficile

4. Qualora più titolari del trattamento

trattano volumi di dati personali

prevedere che gran parte delle

o responsabili del trattamento oppure

che non sono grandi se confrontati

imprese non farà nulla o quasi,

entrambi il titolare del trattamento e

con Facebook o con la GDO ma lo

perché non è in grado di farsi

il responsabile del trattamento siano

sono, invece, se rapportati al

carico della complessità e perché

coinvolti nello stesso trattamento e

contesto territoriale di pertinenza.

ha priorità di spesa del tutto

siano, ai sensi dei paragrafi 2 e 3,

Tra l’altro spesso si tratta di dati

diverse. Il GDPR troverà attuazione

responsabili dell'eventuale danno


assai delicati, quando non

solamente nelle grandi imprese e

causato dal trattamento, ogni titolare

rientrano fra i dati particolari ai

nelle grandi Amministrazioni,

del trattamento o responsabile del

sensi dell’art. 9 o 10 del GDPR.

come è successo con la normativa

trattamento è responsabile in solido

In tutti questi casi il rapporto tra

attuale, dopo il 2003.

per l'intero ammontare del danno, al

la PMI e l’interessato (la persona,

Non è, però, una prospettiva

fine di garantire il risarcimento

cioè, i cui dati vengono utilizzati) è

tranquillizzante. Il contesto di

effettivo dell'interessato.

diretto, così come il rischio che ne

allora (2003) era infatti molto

deriva: la violazione del


diverso dall’attuale: oggi il sistema

Questo, per molte PMI, pone il

Regolamento può comportare

delle PMI è profondamente

Regolamento sotto una luce assai

sanzioni rilevanti o cause civili

interconnesso al proprio interno e

diversa: chi non sarà in grado di

potenzialmente molto onerose.

con i propri clienti, effettivi e

assumersi

Certamente alcuni settori e

potenziali, e le tecnologie digitali

contrattualmente questo rischio

alcune tipologie di imprese sono

sono alla base di questa

con i suoi clienti (che lo

meno esposte e, dunque, esistono

interconnessione. Le grandi

richiederanno per sgravarsi di

PMI che potranno ignorare il GDPR


imprese tendono a esternalizzare

parte dei rischi propri), sarà

e vivere felici: probabilmente una

processi e produzioni anche

fatalmente spinto a diventare sub

parte significativa di quei 4 milioni

rilevanti e le piccole imprese

fornitore, a essere cioè mediato da

e passa di imprese della figura

sempre più spesso vivono e

un soggetto più grande e più

16.1. Un atteggiamento

prosperano all’interno di catene di

strutturato (o più irresponsabile)

minimalista è però sconsigliato per

fornitura complesse che sfruttano

con conseguente erosione dei

moltissime PMI: non è il mero

in modo intensivo le potenzialità

margini.

criterio dimensionale a definire il


del digitale per trovare sempre più

Per un’altra larga fetta di PMI

livello di esposizione dell’azienda.

avanzati livelli di efficienza.

che operano secondo schemi B2C,

Detto tutto ciò, il rischio che

Come può, però, una grande

il tema si pone in maniera

molte PMI non riescano ad

impresa garantire, ad esempio, la

differente.

applicare il GDPR o si sottraggano,

protezione dei dati personali dei

Senza la pretesa di essere

a torto o a ragione, a questo

suoi clienti se quello stesso livello

esaustivi, si possono riconoscere

obbligo rimane significativo e,

di sicurezza non è garantito da

situazioni molto diverse fra loro.

senza correttivi, questo


tutta la catena di fornitura che è

Da un lato, tutte le PMI che

costituirebbe un parziale

coinvolta nel loro trattamento?

mantengono relazioni dirette con i

fallimento anche del legislatore e

Per questa ragione il GDPR

consumatori e con i clienti stanno

delle Autorità preposte nonché un

introduce, a certe condizioni, la

utilizzando modalità e strumenti

rischio per la collettività.

responsabilità solidale del

simili a quelli dei grandi operatori:

Basti pensare che uno dei

committente e del fornitore:

non è infatti vero che solo le

principali casi di violazione della

entrambi potranno essere

grandi imprese trattano ingenti

sicurezza a fini criminali avvenuto


chiamati a rispondere in solido

quantità di dati personali. Anzi,

in USA tra il 2013 e il 2014 ai danni

dell’intero danno causato e il

una delle principali innovazioni di

di un grandissimo operatore della

fornitore risponderà anche

Internet è stata proprio la

GDO è stato originato dalla

IL SOLE 24 ORE | Giugno 2017 | Numero 3

97

FIGURA 16.2 – IL MODELLO DI CDC E SERVIZI COLLEGATI

violazione delle credenziali di un

Codici di condotta
Dove il GDPR indica obiettivi e

tecnico dell’impianto di

1. Gli Stati membri, le autorità di

criteri generali, dovendo regolare

manutenzione, impiegato in una

controllo, il comitato e la

tutti i casi e tutte le tecnologie

piccola società di servizi tecnici alle

Commissione incoraggiano

possibili, il Codice di Condotta

imprese, operante su base

l'elaborazione di codici di condotta

(CdC) può dettare modelli precisi e

regionale: i danni riportati a

destinati a contribuire alla corretta

regole chiare, espresse nel

bilancio sono stati di 162 milioni di

applicazione del presente

linguaggio proprio del settore a cui

dollari!

Regolamento, in funzione delle


è rivolto.

Per questa ragione il Legislatore

specificità dei vari settori di

Il Titolare, cioè l’azienda, a quel

ha inserito nel testo del

trattamento e delle esigenze specifiche

punto dovrà solo aderire al CdC,

Regolamento articoli specifici

delle micro, piccole e medie imprese.

adattarlo alla propria realtà e

dedicati a tracciare una possibile

applicarlo. Rimane il costo

via di soluzione che consenta

Di che cosa si tratta? I Codici di

dell’attuazione ma non più l’onere

anche alle PMI la sostenibilità e

Condotta sono strumenti

dell’analisi e l’incertezza della

l’efficacia dello sforzo necessario

espressamente rivolti alle PMI (si

valutazione.
per l’adeguamento al GDPR e la

faccia riferimento al box per il

Ci sono, poi, altri aspetti

sua applicazione nell’operatività

testo dell’articolo); in sintesi, sono

interessanti.

quotidiana.

dei modelli applicativi del

I soggetti a cui è affidato il

Gli articoli 40 e 41, in particolare,

Regolamento, specializzati per una

compito di redigere i Codici di

introducono e regolano la

determinata categoria di imprese

Condotta non sono Istituzioni

possibilità di redigere specifici

che si possono considerare

pubbliche ma attori privati: le

Codici di Condotta finalizzati a

omogenee fra loro, per quanto

associazioni di impresa. Non vi è,


ridurre l’onere a carico delle

riguarda il trattamento di dati

dunque, un ostacolo procedurale o

imprese per l’applicazione del

personali: stessa tipologia di dati,

burocratico alla loro redazione. I

Regolamento.

stesse modalità di trattamento,

CdC sono una forma di soft law

strutture organizzative

che riporta agli utenti il potere di

Articolo 40

confrontabili.

iniziativa.

INFORMATION SECURITY & PRIVACY |

98

Naturalmente, il Codice, una

committente e può essere opposta

affidato il compito di redigere i

volta redatto, deve essere approvato

in caso di contestazioni o di
CdC.

dall’Autorità di controllo (Il Garante

ispezioni, riducendo l’esposizione

È una tipologia di attività del

Privacy) a livello nazionale (in tal

di entrambi.

tutto nuova che apre la prospettiva

caso il codice avrà validità solo

Analoghe considerazioni

di una nuova gamma di servizi

locale) o europeo (e sarà pertanto

possono essere fatte sulla

(come rappresentato in figura 16.2)

applicabile in tutta la UE).

sicurezza.

per i propri associati, nel momento

Il controllo della corretta

Anche sui criteri per la

in cui quelli tradizionali, su cui

applicazione dei Codici di Condotta

determinazione dell’entità delle


l’associazionismo d’impresa si è

è, di nuovo, affidato a soggetti

sanzioni, l’adesione ad un Codice

costituito, sono resi sempre meno

privati accreditati dall’Autorità di

di Condotta è individuata come un

interessanti proprio dalla spinta

controllo, analogamente a quanto

elemento a discolpa e quindi può

alla disintermediazione insita nelle

avviene per le certificazioni

influenzare positivamente la

nuove tecnologie digitali.

ISO9000.

determinazione dell’ammontare

Insomma, i Codici di condotta

della stessa.

sono una sfida anche per le

Articolo 28

Vi è poi un ulteriore beneficio

Associazioni e per la loro capacità


Responsabile del trattamento

che può derivare indirettamente

di rinnovare l’offerta di servizi agli

5. L'adesione da parte del responsabile

dalla disponibilità, per un certo

associati, radicandola nel nuovo

del trattamento a un codice di

settore, di un Codice di Condotta.

contesto economico e competitivo

condotta approvato di cui all'articolo

Le aziende che aderiscono al

determinato dalla trasformazione

40 o a un meccanismo di

Codice adottano, di conseguenza,

digitale delle relazioni e del

certificazione approvato di cui

un modello di gestione della

business.

all'articolo 42 può essere utilizzata

protezione dei dati personali simile

Sanzioni fino al 4% del fatturato


come elemento per dimostrare le

fra loro. Questo facilita la loro

globale o fino a 20 milioni di Euro

garanzie sufficienti di cui ai paragrafi 1

predisposizione a condividere i

testimoniano l’importanza che le

e 4 del presente articolo.

servizi necessari a gestire

Istituzioni europee hanno

correttamente la materia: un unico

attribuito a questi temi, che non

L’adesione di un Titolare al

Data Protection Officer (DPO) potrà

possono essere elusi. La

Codice di Condotta è individuata,

svolgere, con più facilità, il proprio

complessità dell’attuazione del

da diversi articoli del GDPR, come

ruolo per diverse aziende, che ne

GDPR e la rilevanza delle sanzioni

un elemento che contribuisce ad


condivideranno per esempio il

previste in caso di inadempienza

attestare il soddisfacimento dei

costo e così via anche per la

riflettono però anche la

requisiti normativi. È il caso, ad

formazione o per servizi

complessità della sfida competitiva

esempio, dell’articolo che regola i

tecnologici spesso molto onerosi.

che le PMI dovranno comunque

rapporti fra Titolare e Responsabile

La conformità alla legge è una

affrontare, con o senza il

(Committente e Fornitore) a cui fa

attività pre-competitiva:

Regolamento.

riferimento il box.

condividerne e ridurne i costi è un

Il testo del GDPR indica delle

Riallacciandoci alle
obiettivo che può interessare anche

strade di soluzione, non facili ma

considerazioni svolte sopra

aziende che, per tutto il resto, sono

possibili, per una compliance

sull’impatto del GDPR sulle PMI

fra loro in competizione.

contemporaneamente sostenibile

che operano all’interno di catene di

Peraltro, la sicurezza e la

ed efficace. La capacità di

fornitura complesse, è evidente

protezione dei dati sono cruciali

percorrerle segnerà il successo o il

come, per queste aziende, la

anche per la sostenibilità del

parziale fallimento del GDPR ed è

disponibilità di un Codice di

business: condividerne i costi

figlia dell’impegno collettivo di un

Condotta possa rappresentare una


significa poter accedere ad un

insieme di attori pubblici e privati:

opportunità importante per

livello di qualità altrimenti

dall’Autorità Garante, alle

risolvere positivamente e a costi

inaccessibile e dunque ad una

Associazioni di impresa, alle

sostenibili le questioni poste dal

maggiore efficacia degli

imprese stesse. Per il Paese dei

GDPR.

investimenti.

distretti industriali e delle PMI si

L’adesione del fornitore al CdC

L’ultima considerazione riguarda

tratta di un pezzo obbligato della

del suo settore garantisce il

le Associazioni di impresa a cui è

strada verso il futuro digitale. •

INFORMATION SECURITY & PRIVACY


99

PARTE III -
IL QUADRO NORMATIVO DI RIFERIMENTO E I PERCORSI DI CERTIFICAZIO

17. Le certificazioni

per la sicurezza

e la protezione dei dati

Fabio Guasconi*

La certificazione è una procedura condotta da un ente

Luciano Quartarone**

terzo indipendente e specificatamente designato e

accreditato, che attesta il rispetto effettivo, oggettivo

e documentato, di un prodotto, di un processo o di un

servizio ai requisiti di una norma di riferimento.

La norma internazionale di riferimento per la sicurezza

delle informazioni è la ISO/IEC 27001, quella per la

sicurezza dei prodotti informatici la ISO/IEC 15408

Sicurezza cibernetica, privacy,

offrire in Italia, ma anche nella

In un contesto in cui neanche i

sicurezza dei dati e delle

gran parte dei Paesi


più qualificati esperti sono in

informazioni, di cosa parliamo?

industrializzati, con una

grado di mettersi d’accordo su

Fino agli anni ‘90 si parlava di

conseguente diffusa

cosa significhi esattamente la

sicurezza informatica per lo più in

improvvisazione costruita più

parola “cybersecurity”, da cui

contesti dedicati a pochi intimi e

sulla pratica che sullo studio.

deriva la discutibile locuzione

gli incidenti più evidenti erano

Mentre questo può essere

“sicurezza cibernetica”, né su

soprattutto scherzi goliardici.

accettabile in un momento di

come debba essere scritta (tutto

Oggi il contesto è profondamente

emergenza, lo è molto meno se si


attaccato, con un trattino in

cambiato: i sistemi informatici

protrae nel tempo come sta

mezzo o in due parole separate),

governano le nostre reti elettriche,

succedendo invece dalla fine degli

in cui i governi – quando lo fanno

guidano gli aerei su cui viaggiamo

anni ‘90 ad oggi.

– legiferano in modo compulsivo

tranne in pochi momenti di

In futuro questi trend

e incoerente l’uno dall’altro, in cui

comando manuale, controllano il

aumenteranno inevitabilmente

alcuni eventi come un recente

nostro denaro, permettono

man mano che la componente

ransomware hanno una copertura

delicati interventi medici a

tecnologica aumenterà,
mediatica tale da indurre a

distanza e molto altro.

espandendosi ad ambiti in cui

pensare di essere sull’orlo del

Il numero di esperti in materia

ancora oggi l’intervento dell’uomo

giorno del giudizio e altri, ben più

richiesto dal mercato è di molto

è dominante, quali, per fare un

gravi, passano sotto silenzio,

superiore all’offerta che le poche

esempio sotto gli occhi di tutti, la

rischia di essere sempre più

università specializzate possono

guida dei veicoli.

difficile comunicare esattamente

* Membro direttivo CLUSIT e UNINFO.

** Esperto UNINFO CT 510.

INFORMATION SECURITY & PRIVACY |

100

cosa vuol dire occuparsi di


evitare di confondere i non

suo processo di produzione

sicurezza delle informazioni, di

addetti ai lavori.

basato sul consenso e per essere

protezione dei dati e della loro

La protezione dei dati personali,

emessa da un ente di normazione

certificazione.

inserendosi nella sfera di quella

che la pubblica come strumento di

Partiamo suddividendo i due

che, sempre negli anni ‘90, veniva

trasferimento tecnologico,

temi principali: la sicurezza delle

più genericamente definita

dall’altro l’adeguamento ad una

informazioni e la protezione dei

“privacy”, rientra in questo

“regola tecnica” è obbligatorio per

dati personali. La sicurezza delle


contesto, ma si carica di ulteriori

legge. La “regola tecnica” nasce da

informazioni è universalmente

significati. Non a caso anche il

un processo basato sul concetto di

definita e riconosciuta come

nuovo Regolamento Europeo in

rappresentanza, è uno strumento

qualcosa che va oltre la semplice

materia non contiene più la parola

di regolamentazione del mercato

sicurezza informatica, ampliando

“privacy” e prevede un’esplicita

che viene pubblicato da un

il suo campo di intervento dai soli

commistione tra sicurezza e

organismo governativo in

sistemi IT a tutti i processi che

protezione dei dati personali,

Gazzetta Ufficiale o in altro atto

prevedono un qualsiasi tipo di


coniugando aspetti tecnologici e

legislativo. Le norme di legge o

trattamento delle informazioni,

organizzativi a quelli più

giuridiche sono invece regole

anche in formato non digitale,

squisitamente legali.

emanate dallo Stato che talvolta

valutandone principalmente le

includono “regole tecniche” o

proprietà di riservatezza, integrità

Cos’è una certificazione

rimandano a specifiche tecniche.

e disponibilità. Vi rientrano quindi

e perché serve

Se norme e normazione dettano

tutte le attività per la protezione

Quando si parla di norme o

e producono delle regole, la

delle informazioni su supporto

standard, capita spesso di sentir


certificazione è invece una

cartaceo, analogico o anche non

confondere la normazione che

procedura condotta da un ente

persistenti, in un quadro più

regola un determinato processo

terzo (certificazione di terza

allargato in cui il bene da tutelare

aziendale o prodotto, con la sua

parte), indipendente e

non è il sistema informativo ma il

certificazione. Norma (standard),

specificatamente designato e

dato in esso contenuto o da esso

normazione e certificazione non

accreditato, che attesta il rispetto

elaborato. Quando si è iniziato a

sono sinonimi e indicano cose ben

effettivo, oggettivo e

parlare di cybersecurity si è più

distinte.
documentato, di un prodotto, di

che altro trovato un modo più

Mentre una norma definisce i

un processo o di un servizio ai

“alla moda” di chiamare la

requisiti da rispettare nella

requisiti di una norma di

sicurezza informatica (IT security

realizzazione di un prodotto, di

riferimento.

o computer security in inglese),

un processo o di un servizio,

In questo senso la certificazione

per ricomprendere anche gli

secondo lo stato dell’arte di

serve a fornire un’assicurazione

oggetti tecnologici ma non

settore, con il termine

diretta della rispondenza di un

strettamente informatici che

“normazione” si indica il processo


prodotto, processo o servizio ad

stanno sempre più entrando nelle

condotto da un ente riconosciuto

un insieme di requisiti applicabili.

nostre vite di tutti i giorni, dagli

a tal fine detto di “normazione”

Con questa prospettiva,

smartphone all’Internet of Things

(in Italia UNI in generale e

un’azienda può pensare di

(IoT) solo per citare gli esempi più

UNINFO per la parte ICT), teso

conseguire una certificazione per

noti così come anche i sistemi

alla produzione di una norma o

dare una garanzia, spendibile sul

informatici industriali. La

“specifica tecnica” (secondo il

mercato, della sua capacità di

sicurezza delle informazioni

Regolamento europeo UE 1025 del


strutturarsi e gestire sia le proprie

rimane tuttavia un elemento di

25/10/2012), alla quale non è

risorse, sia i propri processi e

più ampio respiro. Ovviamente

obbligatorio conformarsi. Il

prodotti. In genere queste

quanto scritto si riferisce al punto

termine “specifica tecnica” non è

certificazioni aziendali possono

di vista degli autori dato che,

da confondere con il termine

riguardare i sistemi di gestione

soprattutto in campo governativo,

“regola tecnica” che si basa su

per la qualità (ISO 9001), per

la cybersecurity ha una sua

concetti differenti. Se da un lato

l'ambiente (ISO 14001), per la

precisa ragione d’essere, ma non

una norma, è caratterizzabile per


sicurezza delle informazioni

tratteremo l’argomento per

la sua adozione volontaria, per il

(ISO/IEC 27001), di fiducia delle

IL SOLE 24 ORE | Giugno 2017 | Numero 3

101

funzioni di sicurezza di un

organismi di certificazione di

impostare, attuare, utilizzare,

prodotto o sistema (ISO/IEC

prodotti, di sistemi di gestione,

monitorare, mantenere e

15408, comunemente detta

del personale, di ispezione e per i

migliorare un SGSI (Sistema di

“Common Criteria”), per la

laboratori di prova e taratura.

Gestione della Sicurezza delle

sicurezza alimentare (ISO 22000)

Vale la pena ricordare che

Informazioni o ISMS dall’inglese


e molti altri.

esistono diverse tipologie di audit:

Information Security Management

Anche le competenze delle

esistono audit di prima, seconda e

System), e, in estrema sintesi,

persone possono essere

terza parte che producono

definisce i requisiti per un

certificate, dando quindi garanzia

risultati differenti anche dal punto

processo che porti alla selezione

che determinate figure

di vista legale. Questi tre diversi

di controlli di sicurezza adeguati.

professionali siano in possesso

audit possono essere messi in

La norma ISO/IEC 27001 è

della necessaria competenza,

relazione con altrettanti distinti

applicabile a tutte le tipologie di


intesa come somma di

livelli di maturità ed efficacia

organizzazioni, pubbliche e

conoscenze elementari e delle

probatoria del risultato della

private, a prescindere dal loro

abilità richieste per i compiti

valutazione che producono.

specifico settore di appartenenza:

assegnati.

L’audit di prima parte produce

finanza, assicurazioni,

Quanto il possesso di una

sostanzialmente una

telecomunicazioni, trasporti e

certificazione, aziendale o

dichiarazione della conformità del

molti altri che, pur molto diversi

personale, sia realmente credibile

prodotto, processo o servizio, che

tra loro, possono ugualmente


e dia valore aggiunto, dipende in

può anche essere rilasciata da chi

beneficiare di un SGSI conforme

primo luogo dall’organizzazione

ha realizzato l’oggetto di

alla ISO/IEC 27001.

che emette la certificazione e che

valutazione. Un audit di seconda

In ogni organizzazione

mantiene la supervisione degli

parte è richiesto, ad esempio, da

l’informazione aggiunge valore.

organismi di valutazione, ovvero

chi ha un interesse diretto verso

Ormai la pressoché totalità delle

di chi, operativamente, svolge sul

l'oggetto della valutazione e può

informazioni sono custodite e

richiedente la certificazione un

essere eseguito anche da

transitano da supporti informatici,


insieme diversificato di

un’azienda non accreditata. È il

ed ogni organizzazione è

valutazioni. Organismi di

caso, ad esempio, di un cliente che

chiamata a garantire la sicurezza

certificazione e di valutazione

intende verificare la rispondenza

dei propri dati e di quelli che

devono essere a loro volta

del prodotto o servizio del proprio

tratta, in un contesto dove le

“accreditati” presso un ente di

fornitore alle specifiche richieste

minacce e gli scenari di rischio a

accreditamento, ovvero presso

oppure ad una norma specifica.

cui occorre saper rispondere sono

chi, autorizzato dallo Stato, può

Solo con un audit di terza parte si

in continua evoluzione. Uno degli


svolgere l’attività che consiste nell’

può raggiungere una

obiettivi della ISO/IEC 27001 è

attestare il possesso delle

certificazione, la quale

proprio quello di definire i

competenze per valutare la

rappresenta il livello massimo di

requisiti minimi di protezione

conformità di prodotti, processi e

garanzia del rispetto di una

delle informazioni (aziendali) da

servizi alle norme applicabili. In

norma specifica: può essere

minacce di ogni tipo, al fine di

Italia l'ente di accreditamento

richiesta, ad esempio, in bandi di

preservarne l'integrità, la

nazionale è Accredia 1 .

gara pubblici, per fornire

riservatezza e la disponibilità.
La definizione dei criteri in base

adeguate garanzie della bontà dei

Queste tre proprietà concorrono,

ai quali è condotto il processo di

propri prodotti, processi e servizi.

assieme ad altre, a definire quella

accreditamento è armonizzato a

che la ISO/IEC 27000, norma

livello mondiale tramite la serie di

La norma internazionale

“glossario” complementare,

norme ISO/IEC 17000 che

di riferimento per la sicurezza

identifica come “Information

rappresentano il quadro

delle informazioni: ISO/IEC 27001

Security”.

normativo di riferimento per gli

La norma internazionale ISO/IEC

Nel corso degli anni le aziende

enti di accreditamento, per gli


27001 definisce i requisiti per

hanno fatto maggior ricorso alla

1 . http://www.accredia.it.

INFORMATION SECURITY & PRIVACY |

102

FIGURA 17.1 – IL TREND DELLE CERTIFICAZIONI ISO/IEC 27001

certificazione ISO/IEC 27001,

specifico ai prodotti IT attraverso

richiesto per la valutazione del

probabilmente anche per

la quale è possibile specificare i

prodotto IT. Nella ISO/IEC 15408

affermare un loro valore distintivo

requisiti funzionali e di garanzia


questi livelli di garanzia (detti EAL

rispetto alla massa. Nella figura

che questi devono rispettare. La

– Evaluation Assurance Level)

17.1 è riportato il trend delle

ISO/IEC 15408 “Evaluation

definiscono una scala crescente di

organizzazioni certificate ISO/IEC

criteria for IT security”, nota

sette valori, ognuno

27001 in Italia registrato da

anche come “Common Criteria” è

corrispondente ad un pacchetto di

Accredia dal 2006 ad oggi.

una norma che definisce i principi

requisiti di sicurezza e alla

Come anticipato in precedenza,

ed i concetti generali di sicurezza

profondità ed al rigore della

la certificazione ISO/IEC 27001 è

IT specificando anche un modello


valutazione. Questo non implica

applicabile a diversi settori: la

generale attraverso il quale

necessariamente che ad un EAL

figura 17.2 mostra la distribuzione

valutare le proprietà di un

più alto corrisponda un livello di

delle organizzazioni certificate

prodotto o sistema IT.

sicurezza maggiore, ma solo che il

presenti in ogni settore in Italia.

Le valutazioni condotte tramite

prodotto o il servizio è stato

questa norma si basano su due

verificato in modo più estensivo, e

La norma internazionale

elementi fondamentali che

pertanto, il livello di fiducia che è

di riferimento per la sicurezza

rispettivamente specificano in

lecito riporre nel prodotto o


dei prodotti informatici:

modo rigoroso i requisiti (i

sistema. Una certificazione

ISO/IEC 15408

“Protection Profile”) e

ISO/IEC 15408 garantisce che il

Fino ad ora abbiamo parlato di

documentano come gli stessi sono

prodotto o il servizio certificato ha

norme e certificazioni applicabili a

stati soddisfatti

subito un processo di specifica,

prodotti, processi e servizi.

nell’implementazione del prodotto

sviluppo e valutazione, in modo

Abbiamo visto come la ISO/IEC

(i “Security Target”). Il livello di

rigoroso e standard.

27001 sia utilizzabile per definire

dettaglio di questi documenti,

In Italia l’ente per la


un SGSI a protezione delle

oltre all’insieme delle prove a

certificazione della sicurezza

informazioni aziendali. Esiste una

supporto di questa

informatica è l’OCSI (Organismo

norma, ed anche una

documentazione, aumenta al

di Certificazione della Sicurezza

certificazione, applicabile in modo

crescere del livello di garanzia

Informatica 2 ), il quale gestisce lo


IL SOLE 24 ORE | Giugno 2017 | Numero 3

103

schema nazionale per la

emessi, ISO/IEC dichiara a inizio

Le certificazioni citate nei

valutazione e la certificazione

2016 la presenza di 27.536

precedenti paragrafi sono nate per

della sicurezza dei prodotti e dei

certificati attivi rispetto a ISO/IEC

dare evidenza della sicurezza dei

sistemi nel campo della tecnologia


27001 nel mondo e bisogna

prodotti e servizi IT sviluppati e

dell’informazione. In una

considerare che un singolo

dare evidenza ai propri clienti e

graduatoria di 17 nazioni che

prodotto spesso viene certificato

partner dell’impegno profuso nel

adottano uno schema di

per diverse versioni del suo

creare e commercializzare

valutazione ISO/IEC 15408, l’Italia

software.

prodotti o servizi di cui avere

risulta al 14° posto con 23 prodotti

È da notare come la maggior

fiducia. Uno dei problemi

certificati, mentre la Germania è

parte dei prodotti certificati

principali della sicurezza delle

al primo posto con 636 prodotti


riguardano le smart card, le reti di

informazioni è quello di essere

certificati, la Francia è seconda

computer ed i sistemi ed apparati

una caratteristica non facilmente

con 624 e terzo il Canada con 153

ad essi collegati, seguiti dai

valutabile prima dell’acquisto se

prodotti. Se guardiamo a livello

dispositivi di autenticazione a più

non da soggetti particolarmente

mondiale il trend di crescita delle

fattori, dai sistemi operativi per

esperti che dovrebbero dedicare

certificazioni ISO/IEC 15408,

computer e dai prodotti di firma

un tempo significativo per la sua

rappresentato in figura 17.3,

digitale. A chiudere la lista dei

verifica, entrando in dettagli

notiamo a partire dal 2006 un


prodotti attualmente in possesso

potenzialmente molto interessanti

decisivo e costante aumento nel

di una certificazione ISO/IEC

per i concorrenti del fornitore e

numero dei prodotti certificati: si

15408, vi sono i sistemi ed i

che, pertanto, non sarebbero

passa infatti da 34 certificati

dispositivi biometrici: proprio

praticamente mai forniti. Le

emessi dal 1999 al 2006 a 318

quelli che rappresentano uno dei

certificazioni mirano appunto ad

certificati emessi nel solo 2007

più promettenti meccanismi di

alleviare questa difficoltà,

fino ad arrivare a 2.182 prodotti

autenticazione.

fornendo in un tempo limitato e

certificati alla data odierna. Per


in un linguaggio semplice una

fare un paragone allo stesso

Impatti economici

“garanzia” positiva rispetto a un

livello sulla quantità di certificati

di uno schema di certificazione

tema così complesso che tuteli sia

2 . http://www.ocsi.isticom.it.

INFORMATION SECURITY & PRIVACY |

104

FIGURA 17.3 – IL TREND DELLE CERTIFICAZIONI ISO/IEC 15408

l’offerente sia l’acquirente.

dei tempi più significativi

Naturalmente il rischio è che,


Come già citato in precedenza,

necessari, alla ISO/IEC 15408, sia

allargando in modo rapido e

una norma giuridica può

a livello nazionale sia in particolar

improvviso le basi di una

richiamare una norma tecnica

modo a livello internazionale. La

certificazione volontaria

come riferimento per delle regole

tendenza principale è richiedere la

rendendola obbligatoria, si porti il

tecniche o anche, in caso di

certificazione oppure offrire la

mercato verso un’adozione più

certificazione, come elemento

semplificazione di obblighi in

formale che sostanziale della

esimente o alternativo al rispetto

carico alle imprese certificate in

norma tecnica. Adottando invece


di parte di esse. Questo approccio

ambiti dove la sicurezza delle

un approccio più graduale o

facilita sia l’estensore della norma

informazioni è particolarmente

basato su incentivi per i soggetti

giuridica sia il mercato, in quanto

rilevante, come ad esempio il

certificati si possono ottenere

il primo non deve elaborare degli

settore bancario, quello sanitario,

benefici che vanno al di là del

schemi tecnici di dettaglio con

quello energetico o quello dei

semplice ambito regolato,

l’annessa necessità di ingaggiare

trasporti. L’ambito della tutela

aiutando le aziende a maturare

comitati di esperti ed effettuare

delle informazioni classificate (e.g.

una sensibilità maggiore su questi


studi specifici (dal risultato non

NATO) e bancario sono quelli che

temi e rendendo più forte l’intero

certo garantito in termini di

si concentrano di più sulla

tessuto economico di un settore o

qualità) e il secondo può già

certificazione dei prodotti.

di un Paese rispetto alle sempre

usufruire di schemi, prodotti e

In Germania, per fare qualche

più crescenti minacce alla

competenze diffuse.

esempio, gli operatori del settore

sicurezza delle informazioni sia

Considerati i vantaggi in

energetico dovranno certificarsi

da parte della criminalità

termini di costi e di efficacia

secondo la ISO/IEC 27001 entro la

organizzata sia da parte dello


dell’uso di norme tecniche

fine di gennaio 2018; gli organismi

spionaggio industriale e

all’interno di norme giuridiche,

pagatori di cui al Regolamento UE

dell’attenzione di intelligence

questo approccio si sta

907/2014 devono certificarsi anche

straniere.

gradualmente estendendo nel

loro rispetto alla norma ma già dal

settore della sicurezza delle

2016 e diversi operatori di settori

Sviluppi futuri,

informazioni con numerosi

specifici in Svezia devono

cosa bolle in pentola in Europa?

richiami alla ISO/IEC 27001 e, in

certificarsi secondo la ISO/IEC

Il futuro in materia di sicurezza

minor misura a causa dei costi e


27001.

delle informazioni appare in

IL SOLE 24 ORE | Giugno 2017 | Numero 3

105

questo momento più ricco di

una finalizzata alla certificazione

hanno definito o stanno

iniziative che mai.

di processi o servizi e l’altra alla

definendo uno schema articolato

Dall’Europa arrivano il nuovo

certificazione di prodotti. Questo

su misure di sicurezza informatica

Regolamento UE 2016/679 (detto

dualismo è già stato

da applicare a diversi soggetti di

anche “GDPR”) in materia di

contestualizzato in precedenza

particolare importanza per gli

protezione dei dati personali e la

mettendo a fianco le ISO/IEC


interessi strategici di uno Stato.

Direttiva UE 2017/1148 (detta

27001 e 15408 e attualmente è in

Mentre gli USA si sono affidati al

“NIS”) per la sicurezza delle reti e

forte discussione in ambito

NIST, ente dotato di forti

dei sistemi informativi. Anche per

europeo, contestualmente alla

competenze in materia e coinvolto

le sue caratteristiche di entrata in

nascente entità di un comitato

nell’ambito della normazione,

vigore immediata in tutti i Paesi

CEN (l’ente di normazione

l’Italia non si è affidata agli enti di

dell’Unione, il GDPR sarà l’oggetto

europeo) in materia di sicurezza

normazione, prediligendo

più impattante, portando al suo

delle informazioni e protezione


un’iniziativa che ha coinvolto un

interno un interessante Articolo

dei dati personali che finora,

numero ristretto di soggetti e che

42 dedicato alle certificazioni,

inspiegabilmente, mancava.

ha confezionato una copia

considerate come elemento

Naturalmente la cosa migliore

purtroppo non migliorativa del

funzionale a dimostrare il rispetto

sarebbe sintetizzare gli approcci

lavoro americano. In Paesi dove

degli obblighi o la conformità ai

in uno solo ma non è affatto

questo tipo di lavoro è stato

requisiti del Regolamento. Il fatto

banale. A complicare questo

correttamente affidato agli enti di

che nel GDPR non sia citato uno

ragionamento si potrebbe anche


normazione, si sta già discutendo

schema di certificazione specifico

aggiungere a ragion veduta il

della possibilità di applicare

ha dato il via ad una serie di

tema delle certificazioni

logiche di certificazione di

iniziative private, nazionali o

professionali. Avere infatti a

mercato per facilitare l’adozione e

internazionali, per definirlo e in

disposizione un eccellente

l’implementazione di questi

Italia vi sono già numerose

prodotto o servizio e collocarlo in

schemi che saranno in futuro

proposte in materia, delle quali

un ambiente controllato ma

regolati anche a livello

tuttavia vale la pena sottolineare

affidarlo a chi non è in possesso


internazionale.

che nessuna ha attualmente alcun

di competenze adeguate potrà

In questo contesto,

valore legale in quanto le autorità

comunque rischiare di produrre

considerando che il tema della

competenti (i Garanti dei Paesi

un risultato poco soddisfacente.

sicurezza delle informazioni sarà

UE) non hanno ancora definito i

Questo aspetto richiederebbe

sempre più spesso portato

requisiti aggiuntivi previsti dal

tuttavia un’ampia trattazione a sé

all’attenzione dei vertici delle

Regolamento stesso,

stante per ricomprendere le

organizzazioni (si veda il peso del

indispensabili per l’applicazione

principali iniziative, nazionali e


tema nella recente acquisizione di

dell’articolo 42. Degna di nota in

internazionali, in essere.

Yahoo!), le certificazioni saranno

tal senso è l’iniziativa del già

Altre iniziative europee rivolte

sempre più importanti come

citato comitato ISO/IEC JTC 1 SC

al difficile ambito delle PMI

oggetto di garanzia. Questo

27, che sta definendo uno schema

stanno prendendo forma, ma un

mercato, oggi in una fase ancora

di certificazione “specifico” della

tema di forte interesse, collegato

acerba, crescerà

famiglia 27000 a tal fine. Sarà

anche alla Direttiva NIS, è quello

significativamente nei prossimi

interessante vedere se e come si

legato ai cybersecurity
anni. Come tale crescita avverrà è,

affermeranno le due “linee di

frameworks. Molti Paesi,

almeno in parte, ancora nelle

pensiero” attualmente presenti,

seguendo l’approccio degli USA,

nostre mani. •

INFORMATION SECURITY & PRIVACY

106

ELXX

IL GRUPPO DI LAVORO

Il team dell’Osservatorio Information Security & Privacy

Mariano Corso – Co-


fondatore Osservatori Digital Innovation e Responsabile Scientifico Osservatorio-
Information Security & Privacy

Gabriele Faggioli –
Responsabile Scientifico Osservatorio Information Security & Privacy e Presidente CLUSIT

Alessandro Piva – Direttore Osservatorio Information Security & Privacy

Giorgia Dragoni –
Ricercatrice Senior Osservatorio Information Security & Privacy

Luca Dozio – Ricercatore Osservatorio Information Security & Privacy

Andrea Antonielli – Ricercatore Osservatorio Information Security & Privacy

Guglielmo Troiano –
Senior Advisor Osservatorio Information Security & Privacy

Si ringraziano inoltre:

Cefriel

Raoul Brenna – Responsabile della Practice Information Security, Cefriel

Roberto Puricelli – Senior Information Security Specialist, Cefriel

DEIB

Stefano Zanero – Professore Associato Politecnico di Milano

CLUSIT ed esperti di dominio

Sergio Fumagalli –
Membro direttivo CLUSIT e coordinamento Europrivacy.info

Fabio Guasconi – Membro direttivo CLUSIT e UNINFO

Luciano Quartarone – Esperto UNINFO CT 510

Osservatori Digital Innovation

Angela Tumino – Direttore Osservatorio Internet of Things

Giulio Salvadori – Ricercatore Senior Osservatorio Internet of Things

Giorgia De Bernardi – Ricercatrice Osservatorio Internet of Things

Ilaria Guindani –
Ricercatrice Osservatorio Big Data Analytics & Business Intelligence

Marina Natalucci – Ricercatrice Osservatorio Cloud & ICT as a Service

Le aziende che hanno contribuito alla realizzazione dei casi di studio

Andrea Chittaro – Head of Security, Snam

Alessandro Cosenza – Chief Information Security Officer, BTicino


Massimo Cottafavi –
Information Security & Business Continuity Manager, Snam

Piergiorgio Grossi –
Chief Information & Digital Transformation Officer, Ducati Motor Holding

Salvatore Mafodda –
CFE (Certified Fraud Examiner) ed Amministratore, Lending Solution

Sergio Mattioli –
Information Security and Data privacy Director, Gruppo Bosch Italia

Giuseppe Morimondi – Head of IT Infrastructure & IT Security, Bayer

Stefano Pastori –
Information Security & Data Privacy Specialist / Risk & Compliance, IKEA Italia Retail
Raffaele Regni – Responsabile Cyber Security, Infracom Italia

Riccardo Roncon – Responsabile Sicurezza IT, Gruppo ITAS Assicurazioni

Corrado Salvemini –
Responsabile della Sicurezza delle Informazioni, Carrefour Italia

Giampaolo Tacchini – CISO ed ICT service Manager, Edison

Ileana Vanzini – Information Security Expert, Bayer

Maria Gaia Vinciguerra Frezza –


Data Protection, Security & Compliance Manager, Europcar

Le aziende che sostengono la Ricerca dell’Osservatorio Information Security & Privacy:

Accenture AlmavivA Marsh & McLennan Nest2 Poste Italiane Spike Reply -
Symantec Tesisquare

BT Fastweb Grant Thornton Financial Advisory Services Horizon Security -


Sinergy

BDO Italia Generali Italia XL Catlin

Per entrare in contatto con l’Osservatorio potete scrivere a: Alessandro Piva: alessandro.piva@
Giorgia Dragoni: giorgia.dragoni@polimi.it
Document Outline
InstantEdicola ... 23/06/2017
LAVORO
3 - sommario
4 - sommario
5 - prefazione
6 - prefazione
7 - introduzione
8 - introduzione
9 - capitolo3
10 - capitolo3
11 - capitolo3
12 - capitolo3
13 - capitolo3
14 - capitolo4
15 - capitolo4
16 - capitolo4
17 - capitolo4
18 - capitolo5
19 - capitolo5
20 - capitolo5
21 - capitolo5
22 - capitolo5
23 - capitolo5
24 - capitolo5
25 - capitolo5
26 - capitolo6
27 - capitolo6
28 - capitolo6
29 - capitolo6
30 - capitolo6
31 - capitolo6
32 - capitolo6
33 - capitolo6
34 - capitolo6
35 - capitolo7
36 - capitolo7
37 - capitolo7
38 - capitolo7
39 - capitolo7
40 - capitolo7
41 - capitolo7
42 - capitolo8
43 - capitolo8
44 - capitolo8
45 - capitolo8
46 - capitolo8
47 - capitolo8
48 - capitolo8
49 - capitolo9
50 - capitolo9
51 - capitolo9
52 - capitolo9
53 - capitolo10
54 - capitolo10
55 - capitolo10
56 - capitolo10
57 - capitolo10
58 - capitolo11
59 - capitolo11
60 - capitolo11
61 - capitolo11
62 - capitolo11
63 - capitolo11
64 - capitolo11
65 - capitolo11
66 - capitolo11
67 - capitolo12
68 - capitolo12
69 - capitolo12
70 - capitolo13
71 - capitolo13
72 - capitolo13
73 - capitolo13
74 - capitolo13
75 - capitolo13
76 - capitolo14
77 - capitolo14
78 - capitolo15
79 - capitolo15
80 - capitolo15
81 - capitolo16
82 - capitolo16
83 - capitolo16
84 - capitolo16
85 - capitolo16
86 - capitolo17
87 - capitolo17
88 - capitolo17
89 - capitolo17
90 - capitolo17
91 - capitolo17
92 - capitolo17
93 - capitolo17
94 - capitolo18
95 - capitolo18
96 - capitolo18
97 - capitolo18
98 - capitolo18
99 - capitolo19
100 - capitolo19
101 - capitolo19
102 - capitolo19
103 - capitolo19
104 - capitolo19
105 - capitolo19
106 - gruppo_lavoro