Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
CM
MY
CY
CMY
Sommario
PREFAZIONE
4. Il fattore umano,
e Ilaria Guindani
importanza e gestione
» PAG 53
Giorgia Dragoni
9. I modelli di sicurezza
asset fondamentale
caso 3 BAYER
delle organizzazioni
Luca Dozio
Mariano Corso
caso 5 EDISON
e Marina Natalucci
» PAG 5
» PAG 26
caso 8 INFRACOM
5. Il ruolo
INTRODUZIONE
» PAG 58
un rischio percepito
ma spesso sottovalutato
approccio all'information
Raoul Brenna
rilevanza e modelli
security
e Roberto Puricelli
comportamentali
Gabriele Faggioli
» PAG 35
Luca Dozio
» PAG 7
» PAG 67
6. Le competenze e i ruoli
of Things (IoT),
E LE LEVE DI PROGETTAZIONE
Alessandro Piva
competenze e processi
Luca Dozio,
Angela Tumino,
caso 7 SNAM
Giulio Salvadori
Alessandro Piva
» PAG 42
Giorgia De Bernardi
» PAG 9
7. L'information security
caso 10 BTICINO
2. La rilevanza
» PAG 70
Luca Dozio
Alessandro Piva
» PAG 49
12. Le opportunità
» PAG 14
e i rischi
3. Lo stato attuale
dell'information security
Parte II L'INNOVAZIONE
Stefano Zanero
Andrea Antonielli
DIGITALE E LE IMPLICAZIONI
» PAG 76
e Giorgia Dragoni
SULLA SECURITY
13. L'assicurazione
scenari e mercato
ASSICURAZIONI
Alessandro Piva
Giorgia Dragoni
» PAG 18
» PAG 78
NORMATIVO DI RIFERIMENTO
E I PERCORSI DI CERTIFICAZIONE
di adeguamento
Sergio Fumagalli
Gabriele Faggioli
» PAG 94
» PAG 86
17. Le certificazioni
Regulation (GDPR)
caso 11 EUROPCAR
per la sicurezza
Gabriele Faggioli
e Guglielmo Troiano
Fabio Guasconi
» PAG 81
e Luciano Quartarone
» PAG 99
ELXX
GLI AUTORI
Mariano Corso è Professore Ordinario di “Leadership and Innovation” al Politecnico di Mila
fondatore degli “Osservatori Digital Innovation” del Politecnico di Milano e responsabile di n
in Sanità”, “Agenda Digitale”, “Smart Working”, “HR Innovation Practice” e “Information Se
fondatore e direttore scientifico di P4I -
Partners for Innovation società di Advisory del gruppo Digital 360. È autore o coautore di num
Gabriele Faggioli, legale, è Presidente del Clusit (Associazione Italiana per la Sicurezza Infor
Politecnico di Milano. È
stato membro del Gruppo di Esperti sui contratti di cloud computing della Commissione Euro
cloud computing” (Franco Angeli), “I contratti per l’acquisto di servizi informatici
Alessandro Piva si occupa da oltre dieci anni di ricerca sui temi dell’innovazione digitale. Do
Milano, quali l’Osservatorio Information Security & Privacy, l’Osservatorio Cloud & ICT as a
Analytics & Business Intelligence, l’Osservatorio Enterprise Application Governance e l’Osse
PREFAZIONE
Mariano Corso
asset fondamentale
Osservatorio Information
delle organizzazioni
ABSTRACT
Oggi vi è una nuova
Makers e degli stessi cittadini. Sin dalla loro fondazione nel 1999, gli
possibilità dell’influenza di
operazioni di cyberspionaggio
sicurezza.
nuove competenze.
Ricerca.
Proprietario ed editore
finalità.
GIORGIO FOSSA
Servizio clienti
Vice Presidente
CARLO ROBIGLIO
Tel. 02.30300600
servizioclienti.periodici@ilsole24ore.com
Amministratore Delegato
FRANCO MOSCETTI
INTRODUZIONE
La guida
Gabriele Faggioli
Politecnico di Milano
all'information security
e Presidente CLUSIT
ABSTRACT
Isistemi connessi in rete e la crescita senza sosta del digitale, che permea
ormai ogni momento della nostra vita, rendono il tema della protezione dei
base nei primi capitoli, per poi entrare in modo più approfondito e verticale su
svariati esperti del settore, che collaborano con l’Osservatorio per portare la
propria esperienza.
delineati nel capitolo uno i principali trend che influenzeranno l’evoluzione del
panorama della sicurezza nei prossimi mesi, in accordo con quanto emerso
dalla Ricerca e identificato dai principali player del mercato dell’offerta. Nel
dello stato attuale del mercato italiano, con una panoramica sulle scelte delle
della sicurezza, quello del fattore umano, dal punto di vista delle azioni da
intraprendere per garantire una corretta cultura delle persone nell’utilizzo dei
tema delle campagne di phishing simulato. Il sesto capitolo tocca il ruolo del
professionali per la gestione della sicurezza. Il settimo parla infine dello stato di
l’analisi è rivolta alle grandi imprese e alle PMI e alle principali certificazioni che
internazionale.
attuale e non potrà che esserlo ulteriormente nel futuro. Quello che speriamo di
stimoli che portino ad una riflessione più approfondita e matura sul tema, che
Infine ringraziamo il Gruppo Sole 24 Ore che ha pensato a noi per questa
pubblicazione.
Alessandro Piva*
quali il riscaldamento e la
aumentare drasticamente
causando l’impossibilità di
particolarmente rilevante in
l’attenzione al cybercrime in
le elezioni presidenziali
cyberspionaggio in grado di
consultazioni.
dell’anno va sicuramente
1 . http://www.pcworld.com/article/3133847/internet/ddosattackondynknocks-
spotifytwittergithubetsyandmoreoffline.html.
10
menzionato il caso “WannaCry”,
dell’Information Technology è
business un cambiamento
fenomeni di consolidamento, di
pagamento di un riscatto da
effettuare in Bitcoin.
I fattori macroeconomici
parti.
il cambiamento di approccio al
persone.
Le implicazioni del digitale
nelle imprese
informazioni a disposizione,
processo di trasformazione
nazionali e hacker.
da logiche di evoluzione
logiche di cambiamento
disruptive. I trend
possesso.
vede l’emergere di
principalmente il Cloud
(figura 1.1) .
nuova regolamentazione UE in
quotidiano di persone ed
terroristiche.
informativi flessibili e
Le informazioni trafugate a
riconfigurabili, in grado di
cittadini ed organizzazioni
La stratificazione di tecnologie,
Wikileaks.
Il cambiamento generazionale,
11
progressivamente prodotti
mancano le competenze
necessario, durante la
Vulnerability Assessment e
inarrestabile. Analisti
organizzazione, a maggior
device.
convergenza dell’Information
fondamentale. Sicurezza by
Technology e dell’Operational
Technology. In particolare
monitoraggio elettronico di
player.
2 . http://www.gartner.com/newsroom/id/3598917.
12
informazioni personali e
le competenze ed i modelli
definizione di policy e
l’introduzione di strumenti di
Management) orientati al
potrebbero diventare la
fraudolenti.
ridefinendo implicitamente i
potenziale destinatario di attacchi
comprometterli e prenderne il
opportunità di conoscenza ha
controllo laddove si tratti di droni
l’utilizzo di videocamera o
militare.
applicazioni social.
diffusione di sistemi di
apprendimento automatico ha
rappresentano la capacità di
In particolare aumenta
l’interesse da parte di
algoritmi predittivi, utilizzando
telecomunicazioni, impianti
sicurezza.
13
Things.
su altre destinazioni.
lo scenario è in continuo
L’assicurazione
causati direttamente al
targettizzata su soggetti di
riguardano, a titolo
esemplificativo, l’investigazione e
compromissione di un processo,
direttamente. •
CODICE CIVILE
TRIBUTARIA 2017
D.Lgs. 202/2016).
NELLE LIBRERIE
tel. 02/30.300.600
ON LINE
PROFESSIONALI
servizioclienti.libri@ilsole24ore.com
www.shopping24.it
www.librerie.ilsole24ore.com
14
2. La rilevanza di gestire
l'information security
Alessandro Piva*
I principi di gestione
organizzazione in relazione al
confidenzialità, integrità e
password, dall’intercettazione di
e il livello di criticità e di
persone in grado di
compromettere la confidenzialità
Un meccanismo di sicurezza
strumenti e regole di
autorizzate.
significa prendere in
autorizzati. La confidenzialità
autorizzate ad informazioni da
comunicazioni, le procedure di
autentificazione, la creazione di
connessione.
sugli utenti.
Per assicurare l’integrità è
Il concetto di confidenzialità
15
di autentificazione chiare e
monitorare costantemente
DoS/DDos (Denial of
Service/Distributed Denial of
Management), procedure di
autentificazione, sistemi di
motivazioni imputabili ad
ad esempio il sovrautilizzo di
indisponibilità di servizio o
perdita di dati.
rischio la disponibilità di un
e sistemi di monitoraggio
interruzioni dell’erogazione
16
inoltre l’implementazione di
revisionato continuativamente,
I concetti di confidenzialità,
di circoscrivere processi e
dell’organizzazione, diventa
Dalla consapevolezza
misure tecnologiche,
limiti accettabili.
organizzative e di processo.
e della privacy
analizzato dall’Osservatorio
perimetrale ad un approccio
consapevolezza organizzativa
business.
dell’informazione. Cambia
persona da sensibilizzare ed
incoraggiare a comportamenti
responsabili.
l’organizzazione intende
pluriennale.
La roadmap evolutiva
L’identificazione di metriche di
dell’organizzazione e di essere
monitoraggio e di misurazione
1
. Nella trattazione si fa riferimento a grandi organizzazioni identificando imprese con più di 2
aziende più piccole.
IL SOLE 24 ORE | Giugno 2017 | Numero 3
17
osservando le aree di
prospettiva futura. •
TRIBUTI LOCALI
Giuseppe Debenedetto
NELLE LIBRERIE
ON LINE
PROFESSIONALI
tel. 02/30.300.600
www.shopping24.it
www.librerie.ilsole24ore.com
servizioclienti.libri@ilsole24ore.com
18
3. Lo stato attuale
dell'information security
Andrea Antonielli*
L'investimento in information security richiede
Giorgia Dragoni**
Le principali minacce
organizzazioni intervistate) ed i
in pericolo la sicurezza
informatica.
collaboratori e consulenti
aziendali (30%).
Le principali minacce
“malware” identifica
compiuti da cybercriminali
a “cybercrime” e “hacktivism”.
accedere segretamente a un
creare malfunzionamenti o
criptarne i dati.
l’organizzazione).
Generalmente un attacco di
1 . Rapporto Clusit 2017 sulla sicurezza ICT in Italia, Clusit, marzo 2017.
IL SOLE 24 ORE | Giugno 2017 | Numero 3
19
monetaria relativamente
pratiche di comportamento
introdotte in azienda, la
di credito).
imponente e indiscriminato di
all’obsolescenza dell’architettura
destinatario. Si tratta
IT o al mancato aggiornamento
contenuto pubblicitario.
› Attacchi ransomware: un
“ransomware” è un particolare
presenti su un dispositivo,
un insieme di dispositivi
inconsapevole, facilitando i
dall’azienda.
un importante vantaggio ai
Sono numerose le
cybercriminali, in quanto
20
in Italia
organizzazioni.
L’Osservatorio Information
organizzazioni italiane di
credenziali di accesso e
di imprese e il coinvolgimento
Il mercato preso in
dell’offerta di sicurezza ha
competition.
integrazione IT e consulenza
framework di
2
. Le informazioni price sensitive sono informazioni riguardanti una società oppure un titolo su
3
. Gartner stima per il mercato globale dell’information security nel 2016 un valore di 81,6 mi
IL SOLE 24 ORE | Giugno 2017 | Numero 3
21
DATA
SECURITY
NETWORK
APPLICATION
SECURITY
SECURITY
REGOLAM.
POLICY
ENDPOINT
SECURITY
WEB
BYOD
SECURITY
PENETRATION
SIEM
TEST
SOCIAL
MEDIA TEST
ACCESSI
MESSAGING
LOGICI
IDENTITY
SECURITY
THREAT
GOVERNANCE
INTELLIGENCE
CLASSIFICAZ.
DATI
TRANSACTION
CICLO DI VITA
SECURITY
CRIPTAZIONE
DEL DATO
DATI
SOCIAL
MEDIA
UTILIZZO
CLOUD
BACKUP
INCIDENT
RESPONSE
ripristino.
gestione consapevole
seguito ad un incidente.
dell’information security:
› Identificazione: capacità di
necessariamente una
implementazione sequenziale, ma
rischio cyber.
› Protezione: capacità di
di sicurezza in grado di
sicurezza di un sistema o di
garantire la regolare
un malintenzionato, con
l’obiettivo di metterne in
le attività necessarie a
evidenza le vulnerabilità.
riconoscere un evento di
organizzazioni di maggiori
ad un evento identificato.
4
. Si prendono a riferimento in particolare le “Functions” del “Framework for improving Crit
22
ELX
E X
L’Osservatorio Information Security & Privacy, nell’ambito della Ricerca, organizza annualm
chiuse finalizzati ad attivare un tavolo di confronto permanente tra i CISO delle grandi aziend
appuntamenti vengono spesso utilizzate metodologie di lavoro interattivo, sviluppate ad hoc: i
in gruppi, all’interno dei quali viene richiesto ad ognuno di effettuare una mappatura della rea
framework di gioco e una successiva discussione all’interno del team di lavoro. Tali metodolo
estese all’applicazione in singole realtà aziendali. In particolare è stata sviluppata una metodol
diversi approcci e strategie di gestione dell’information security e privacy, con l’obiettivo di a
messe in atto dalle aziende e a comprendere i driver di spinta, i benefici e le criticità delle diffe
La metodologia prevede i seguenti step, finalizzati a rispondere alle relative domande:
software di gestione e
archiviazione.
monitoraggio.
comprende le modalità di
da un amministratore di rete (o
protezione dell’infrastruttura di
interruzione di servizio.
di software, hardware e
la regolamentazione delle
sicurezza relativamente
procedure comportamentali
all’utilizzo di Internet.
aziendale rispettino
determinati standard di
critici, proteggendo
sicurezza.
contestualmente i dati
personali.
consiste nell’attribuzione di un
prevede la raccolta di
informazioni, il monitoraggio e
5
. Per “backup” si intende la duplicazione di un file o di un insieme di dati su un supporto este
riserva.
IL SOLE 24 ORE | Giugno 2017 | Numero 3
23
ha il diritto.)
Complessivamente, è possibile
successivi verranno
progressivamente aumentando,
I trend emergenti
dell’innovazione digitale
strategie e di implementazione di
all’information security, in
Security. •
24
EL1
LO STATO ATTUALE DELL'INFORMATION SECURITY
La Ducati Motor Holding S.p.A. è una casa motociclistica italiana con sede nel quartiere Borg
2012 l’azienda è stata acquisita da AUDI AG ed è entrata quindi a far parte del Gruppo Volks
L’offerta di Ducati non si focalizza soltanto sul prodotto: l’azienda punta infatti a fornire un’e
Oltre alla produzione di motoveicoli, Ducati si dedica al mondo delle competizioni attraverso
All’interno del Gruppo Volkswagen i temi della sicurezza e della protezione delle informazion
attenzione: la struttura del Gruppo, un network di imprese distribuito e costituito da diversi no
Ducati stessa viene inoltre sottoposta ad una costante copertura mediatica, che genera g
stesso tempo ha come conseguenza una forte esposizione a minacce di sicurezza.
L’azienda è molto sensibile agli stimoli, in termini di regole di sicurezza, provenienti dalla Ca
il rispetto delle normative nazionali e internazionali (regolamenti e direttive europee tra le qua
Per garantire la massima sicurezza possibile assicurando allo stesso tempo un alto livello di se
Business, è stato creato un ISMS (Information Security Management System), che si avval
tecnologica, che mira a ricercare continuamente le tecnologie migliori in relazione al budget d
creato ha l’obiettivo di proteggere i dati strategici dell’azienda, minimizzare i rischi e
qualora si verifichino data breach o situazioni di crisi in generale.
Il tema della sicurezza informatica in azienda è gestito da un CISO, collocato all’interno della
CIO. Il CISO si avvale sia di competenze di specialisti interni, soprattutto per la gestione dell’
tecnologica, sia per la parte normativa, contrattuale e organizzativa, ad alcuni partner, tra i qua
Il tema della sicurezza informatica non interessa soltanto la funzione IT, ma è pervasivo a live
di coinvolgere l’intera popolazione dell’organizzazione. È in fase di progettazione un’in
Il tema della gestione delle vulnerabilità riguarda anche i prodotti finali. L’azienda si sta infatt
25
ne di una moto connessa, con interazioni anche al di fuori dalla vettura in un ecosistema di ogg
questo progetto, Ducati sta valutando non solo il coinvolgimento di attori primari del settore d
quello di soggetti più vicini al mondo hacker, che aiutino l’azienda nella scoperta di vulnerabi
Proteggere contro gli incendi è stato il primo servizio offerto ai soci assicurati. Nel tempo, ITA
attività ed esteso la propria presenza sul territorio, conservando integra la sua natura mutualist
Il Gruppo ITAS, una delle poche mutue presente nel territorio italiano, vanta una rete di circa
collaboratori e al personale di agenzia danno vita a una famiglia di 4.500 persone, dislocate in
Tra i primi 10 gruppi assicurativi italiani, ITAS mette quotidianamente al centro del p
mutualità, i valori fondanti della Compagnia, che si concretizzano anche nel sostegno di inizia
sociali impegnate nello sviluppo della comunità.
Il Gruppo ITAS ha recentemente introdotto un sistema piramidale di policy valido per tutte le
mantenere alti i livelli di sicurezza sulle informazioni, con particolare attenzione ai dati ineren
attenzione si applica a tutti i dati presenti sia presso le sedi ITAS sia presso terze parti che trat
La Compagnia adotta un sistema di gestione della sicurezza delle informazioni atto a salvagua
economici che di reputazione.
Per aumentarne l’efficacia all’interno dell’organizzazione, le policy sono state concepite su tre
› “Information Security Policy” apicale, che ha come obiettivo quello di definire la politica azi
› “Disposizioni”, che definiscono le azioni necessarie al fine di soddisfare quanto richiesto dal
Policy” e disciplinano temi quali: sistema di gestione delle policy sulla sicurezza, organizzazio
delle attività operative, protezione da minacce esterne, sicurezza delle comunicazioni, acquisiz
continuità operativa, conformità, leggi e regolamenti ecc.;
› “Standard”, che sono stati creati con lo scopo di dettagliare temi inseriti all’interno delle “Di
ritenuti particolarmente significativi ai fine della sicurezza delle informazioni. Esempi di “stan
di dettaglio su temi quali ad esempio: la configurazione sicura di sistemi ed apparati “hardenin
Le policy, al fine di essere sempre attuali, sono riviste a intervalli regolari, condivise con le fu
alle parti interessate.
26
4. Il fattore umano,
importanza e gestione
Giorgia Dragoni*
un aspetto fondamentale
incertezza legato al
propri dipendenti di utilizzare i
comportamento umano.
giorno.
grado di proteggere
furto o lo smarrimento di un
l’organizzazione da attacchi
aziendali.
Un ulteriore diffusissimo
particolarmente sofisticati, ma
informatici che cercano di trarre
distrazione o la mancanza di
1 . Secondo quanto emerge dal “Cyber Security Intelligence Index”, IBM, 2015.
27
civili.
raccolta di informazioni
globale 2 .
Le conseguenze di un data
risposta all’attacco, ma
diffusione di ransomware, ha
phishing.
fase operativa.
Engineering
essere molteplici: un
comportamento individuale di
spionaggio, trafugando
una persona, con l’obiettivo di
cybercriminali utilizzino le
politiche (hacktivism).
comportamento umano è il
informazioni e strumenti
fraudolente. Un attacco di
tecnologico.
accidentale la distruzione, la
un allegato infetto.
2
. Secondo quanto emerge dal Report “2016 Cost of Data Breach Study: Italy”, 2016, Ponemo
28
essere organizzazioni
contatta telefonicamente la
l’utente potrebbe
esempio un dipendente
contattano la vittima
bancario o di un ufficio
momentaneamente l’antivirus e
un problema oppure
installare un programma
richiedendo la verifica e
l’utente, inducendolo a
contenente malware. Un
l’inserimento di alcune
ha bisogno.
metodologia di Social
tailgating, semplicemente
nominativo familiare al
seguendo un dipendente
supporto di memorizzazione,
all’area.
esempio il comportamento
inconsapevole di un utente, la
perdita di un dispositivo o la
essere molto efficaci. Una volta
aziendale.
cancellazione involontaria.
trappola dell’attaccante,
I programmi di creazione
a informazioni riservate è il
di awareness
inserendo le proprie
informazioni personali o
dispositivo, il cybercriminale
bollette, estratti conto ed altri
prenderne progressivamente il
controllo.
possibile annullare
completamente il rischio
informatico, un adeguato
programma di sensibilizzazione
preziose informazioni.
Generalmente i programmi di
› Pretexting: nell'ambito
29
obiettivo:
livello di provocare un
siano maggiormente
privacy.
evitarle;
riconoscimento di un attacco
› Aumentare l’empowerment
programma di sensibilizzazione
informatico).
informazioni aziendali;
comportamentali definite
dall’organizzazione (policy
seguito da un momento di
stesse.
circonda.
ecc.
Le iniziative di sensibilizzazione
riferimento: è ugualmente
appartenenza, ma le attività
interattive, distribuzione di
programmi di formazione
engineering, ecc.),
ecc.
Solitamente le aziende
prevenzione e di risposta ad
eventuali incidenti.
pubblico.
La simulazione di attacchi
informatici rappresenta un
ulteriore strumento di
da risultare maggiormente
formazione, basato sull’esperienza
30
riguardano comunicazioni
portate avanti.
Team) dell’organizzazione.
A seguito di un’iniziativa di
e progettare accuratamente il
formazione, mediante la
definizione di metriche e
simulazioni di attacchi
indicatori di riferimento.
prassi comportamentali da
simile.
strutturati di sensibilizzazione,
l’istituzione in azienda di un
coprono un orizzonte
pluriennale. •
31
EL1
L’Osservatorio Information Security & Privacy, nell’ambito della Ricerca, organizza annualm
chiuse finalizzati ad attivare un tavolo di confronto permanente tra i CISO delle grandi aziend
appuntamenti vengono spesso utilizzate metodologie di lavoro interattivo, sviluppate ad hoc p
vengono suddivisi in gruppi, all’interno dei quali viene richiesto ad ognuno di effettuar
propria azienda su un framework di gioco e una successiva discussione all’interno del team di
› Descrizione delle tecnologie: Quali sono le soluzioni tecnologiche implementate per mitigare
umano?
32
CASO 3 BAYER
Bayer è un’azienda globale, con sede a Leverkusen (Germania), che ha competenze chiave nei
Agricoltura.
In Italia conta 3 siti produttivi con impianti fra i più avanzati al mondo, circa 2.100 collaborato
Bayer in Italia attualmente è costituita da società che consentono al Gruppo di essere presente
L’attività, messa in opera da un team di progetto di 15 diversi gruppi con esperti IT e di busine
diversi cluster di informazioni suddivisi in 3 tipologie, ognuno con caratteristiche ben definite
misure di protezione comportamentali, organizzative e tecniche. All’interno di ogni funzione a
una figura a cui è stata assegnata la responsabilità di garantire la sostenibilità del processo di I
Rispetto al piano Awareness Campaign, nel corso degli anni sono state svolte diverse iniziativ
utenti e creare consapevolezza sul tema della sicurezza e della protezione dei dati a tutti i livel
Nel 2015 è stato realizzato l’Information Security Awareness Workshop, preceduto dalla distr
principi chiave della sicurezza”, raccomandazioni che invitano i dipendenti ad adottare compo
azioni quotidiane, dalla gestione prudente delle informazioni e dei dispositivi aziendali alla pro
L’attività, svolta con l’obiettivo di trasmettere i principi generali sulla sicurezza, ha seguito un
down: la formazione è
stata inizialmente somministrata ai manager, dapprima ingaggiati come partecipanti ai corsi, c
ha permesso di sottolineare come ogni team e ogni singola persona all’interno di essi abbia un
È stata successivamente promossa una Campagna AntiPhishing, che ha previsto, previo annun
annuncio della campagna, contenente una checklist di elementi utili per individuare e
mail di phishing e la procedura corretta da
seguire per gestire comunicazioni sospette. A questo proposito è stato implementato il servizio
mail di dubbia provenienza perché possano essere esaminate e verificate.
Un’ulteriore iniziativa facente parte del piano Awareness Campaign è il Cyber Security Day, u
organizzata per la prima volta a marzo 2017. Durante l’evento sono stati toccati argomenti rela
ma anche tematiche di attualità che hanno messo in relazione sicurezza aziendale e protezione
sono susseguiti hanno visto la partecipazione di esperti esterni all’organizzazione e di figure a
sicurezza, sia a livello di Corporate Security sia di Information Security, che hanno raccontato
Carrefour è una del e maggiori catene del a grande distribuzione a livel o mondiale. Fondata n
Africa, per un totale di circa 30 Paesi. La casa madre si trova in Francia, nei pressi di Parigi. Il
vendita dislocati in 18 regioni e oltre 20.000 col aboratori. Nel 2015 Carrefour Italia ha ottenu
In tema di cybersecurity, le strutture dei singoli Paesi sono misurate rispetto a una serie di indi
principalmente in base allo standard ISO/IEC 27001, che hanno la funzione di valutare il livel
degli obiettivi anno per anno. Tali indicatori costituiscono intrinsecamente una linea guida, in
Anche l’Italia ha nominato formalmente un Chief Information Security Officer (CISO) al qual
non meno importante, la definizione del corpo documentale della sicurezza. Il CISO è collocat
che riporta alla Divisione Amministrazione, Finanza e Controllo. Gli aspetti di sicurezza fisica
diversa a riporto del CEO (Direzione Risk & Compliance).
Carrefour Italia è attiva sul tema del fattore umano, poiché ritiene che sia necessario non solo
2010, un programma pluriennale di formazione in materia di cybersecurity, optando per un mo
inizialmente sulla Direzione Sistemi Informativi per poi estendere progressivamente le attività
alle altre funzioni e alle altre sedi.
Il training, svolto sia in aula che online e supportato da comunicazioni periodiche effettuate vi
mail o sfruttando il periodico interno, viene annualmente rilanciato ed arricchito.
Il programma rivolto alla Direzione Sistemi Informativi prende il nome di “Security Week”: le
La Security Week viene organizzata come un convegno a sessioni parallele in cui ogni person
formativo. La settimana inizia con una sessione introduttiva di inquadramento del problema e
si raccolgono le impressioni ed i commenti di tutti i partecipanti. Quest’anno è stato aggiunto
valutazione dell’efficacia della formazione: a tutti i partecipanti viene proposto un questionari
L’incremento del numero di risposte esatte dirà in modo concreto ed immediato quanto l’attiv
34
credibilità e l’efficacia di tali iniziative vengono utilizzate tecniche di social engineering e atti
mail contenenti
link sospetti, oppure sono stati realizzati finti attacchi con la tecnica del baiting, avvenuti disse
CASO 5 EDISON
La funzione di Information Security dell’azienda ha portato avanti negli ultimi anni diversi pro
volti a sensibilizzare il personale sui rischi e sulle minacce informatiche.
In particolare, Edison ha sviluppato tre tipologie di iniziative:
› Hacker lunch: in primo luogo sono stati organizzati degli incontri informali, aventi ad oggett
di evitare incidenti di sicurezza. In sede di programmazione si è deciso di trattare non solo tem
procedure lavorative, ma anche relative alle consuetudini nei comportamenti degli utenti nella
Nel corso del 2016 la formazione è stata impartita attraverso una decina di sessioni. Una serie
› In secondo luogo, allo scopo di raggiungere l’intera popolazione aziendale, Edison ha puntat
learning. Nel 2016 il corso, sviluppato in logica tradizionale, si è focalizzato sull’importanza d
mail di phishing.
A partire dal 2017, invece, per aumentare il livello di engagement dei dipendenti, l’azienda ha
line imperniato su una serie di nozioni a difficoltà crescenti (ad esempio come riconoscere i vi
› Infine, sempre nel 2016, la società ha distribuito un libro sulla sicurezza, sviluppato da un es
Le iniziative sono state proposte dalla funzione Security, in collaborazione con la funzione Hu
coinvolto anche la Comunicazione, che si è occupata degli aspetti relativi all’organizzazione d
mail e dell’aggiornamento della Intranet aziendale.
Per verificare l’efficacia delle iniziative messe in atto e l’effettivo livello di apprendimento de
learning basato sul modello “gamification”, ad esempio, sono stati previsti
degli appositi momenti di verifica, in cui sono stati accuratamente analizzati i punteggi ottenut
dei giochi online.
L’identificazione e la definizione delle azioni in tema di sicurezza si basa sulla revisione annu
ISO27001, da cui è emerso in particolare che il rischio connesso al fattore umano era sopra la
Dall’assessment sui rischi scaturiscono anche le scelte relative alle soluzioni tecnologiche da i
l’esistenza di un problema in tale ambito.
35
ma spesso sottovalutato
Raoul Brenna *
Roberto Puricelli **
simulato
ci mostrano come
persona all’interno di
evoluzione. Ce lo confermano
l’accresciuta disponibilità di
rivelati al pubblico.
deve”.
di grandi imprese.
sull’identificazione e sulla
36
EL1
Gli Advanced Persistent Threat (APT) sono una tipologia di attacchi sofisticati e mirati a uno
lo scopo di ottenere accesso ai sistemi informatici e sottrarre informazioni critiche o riservate
intellettuali o dati sensibili di utenti.
Gli APT sono tipicamente guidati da organizzazioni criminali di attivisti o addirittura da gover
essere scoperto le informazioni di valore.
Questo tipo di attacchi è salito alla ribalta nelle cronache negli ultimi anni attraverso i nomi de
colpite. RSA, Sony, JP Morgan Chase, Target sono solo alcune delle aziende che sono state c
Gli APT seguono uno schema comune che, a fronte dell’ottenimento di un primo punto d’acce
struttura informatica interna, mantenendo il più possibile il basso profilo per non esser
questa fase può arrivare a durare settimane o mesi, senza che l’azienda vittima se ne accorga. U
le informazioni critiche, si procede con la loro distruzione o sottrazione, in relazione alle final
È facile comprendere come in attacchi di questo tipo il solo antivirus (ma in generale gli strum
possa non bastare. Al contrario, la vulnerabilità può essere indirizzata a livello “culturale”: risu
inconsapevoli, quantomeno in
proprio PC (o smartphone). In
va a colpire il personale
dell’amministrazione di un’azienda,
in modo significativo la
dall’amministratore delegato
imprescindibile considerare il
Nonostante la relativa
QUANDO IL PERSONALE
RAGGIRATO È IN POSIZIONI
permesso di compromettere
l’account personale di
quest’ultimo e di ottenere le
37
EL2
utilizzabilità in ottica di
Gli attaccanti sono ben consci di poter manipolare gli utenti per ottenere da logiuslavoristico.
ro informazioni sensibili relative alla privacy, ad aspetti finanziari e di business
informatica. Naturalmente i
del governo degli Stati Uniti, è emerso lo scandalo relativo alle email trafugate
dagli account di Hilary Clinton e di John Podesta, il responsabile della campascrupolo a fare q
gna presidenziale. Anche in quel caso, proprio una finta email che sembrava
co. Le email di phishing sono inoltre la base di Carbanak, considerato uno dei
iniziative sporadiche. Un
di Euro.
tipo di verifica.
comporta.
tipologia di attività da parte di
strettamente tecnica. È
nome di “SocialDriven
fondamentale includere
imparare a comprendere e
verificandone la propensione a
rischio.
aziendale.
umano?
La verifica prende in
l’esecuzione di campagne di
supporto.
possono agevolare lo
38
rilevanti).
convenzioni) e un blando
adeguatamente predisposte e
circa 40.000 persone
complessivamente sottoposte a
di anonimato e comprendere la
iniziative aziendali
vittime ad adottare
lusso, i beni di consumo e le
(opportunamente adattate, ma
comportamenti impropri.
pubbliche amministrazioni.
informazioni pubblicamente
reperibili).
sconosciuto e sospetto
correlata al livello di
Coordinatore Scientifico.
informazioni di contesto!
contestualizzazione a gruppi di
Purtroppo i risultati lo
dimostrano.
39
un’azione potenzialmente
mettendo a confronto le
primi 20 minuti!
Ogni esecuzione è
L’analisi è ovviamente
dimensione fornisce
dimensione dell’azienda. Il
“cessione” credenziali!
orizzontale abbiamo la
Ma è l’allargamento dell’analisi
presupponendo un’identificazione
nell’email; in verticale la
tutta la sua concretezza: una
simulazioni effettuate
strumenti antiphishing
blandamente contestualizzata
consente ad un attaccante di
quello di identificare
un’appropriata strategia di
l’awareness. Il termine è da
di cybersecurity … e la loro
sostenibilità
simulazioni: intercettare le
costruzione di reale
impatto (o quantomeno di
motivazione, attenzione e
dettagli di un’analisi
significative differenziazioni
In un momento storico di
del test.
ruolo/seniority lavorativi. In
mostrano un’efficacia
coinvolgono largamente la
“gamification” (difficile da
padroneggiare, ma efficace in
destinatari): riconoscimenti,
anticipo.
costruzione di un’efficace
41
da monitorare è in continua
l’evoluzione tecnologica è
Pertanto, è essenziale
aziendali complesse.
un opportuno ingaggio
tecnologia.
mitigarne il relativo rischio dal
informatica. L’introduzione di
strategici di cybersecurity
soprattutto di carattere
dell’avvenuto test).
soli “tecnocrati”).
(o considerando solo
condivisione formali e a tavoli
È sufficiente?
sicurezza.
introducendo elementi di
complessiva.
sufficiente a mitigare
efficacemente il rischio
Il perimetro tecnologico
le reazioni maggiormente
allargando, ma anche
“sfilacciando”. Le nuove
Regulation).
variamente presidiato.
aziendali. •
42
6. Le competenze e i ruoli
Alessandro Piva*
Concentrandosi sull’aspetto di
tuttavia la responsabilità
evidente la necessità di
aziendale.
auspicabile riportasse
competenze tecnologiche e
delle problematiche di
la capacità di comprendere il
dell’Information Technology,
responsabili di prodotto, e di
43
› Crisis management:
Board ed influenzarne le
l’accadimento di un incidente
sistemica. Le conoscenze di
decisioni diventa un elemento
fondamentale e discriminante.
implementarle coerentemente
comunicazione e della
contemporanea risposta
competenze tecnologiche
fondamentale.
in grado di interpretare la
strategia aziendale e
tecnologici rappresentano il
di Project Management e di
quest’ultima e le scelte di
security.
umano.
› Communication: la
aziendali, comportando la
necessità di avere
linguaggio tecnico.
gestita all’interno
possano implicarne
l’assunzione. La sensibilità a
modellizzare i possibili
qualità imprescindibile.
tecnologica.
di controllo e supervisione di
esperti di cybersecurity e di
dell’organizzazione.
quantitative.
› Regulation awareness: la
Le caratteristiche
di un CISO moderno
repentino e quotidianamente
permettono di raccogliere e
Le principali caratteristiche di un
richiedono competenze
la natura stessa di molte grandi
così riassunte:
organizzazioni multinazionali
richiedono la capacità di
ed il posizionamento
rapidi, soppesando le
comprendere le differenti
44
implicazioni in termini di
responsabilità di definire le
regolamentazioni vigenti e
informazioni aggiornate. È
rilevate.
CISO.
dell’impresa, la conduzione
ed organizzativa e
l’identificazione di un piano
ed il monitoraggio continuo il
aumentare la readiness
dell’organizzazione.
prende in considerazione
L’importanza di attuare una
di servizi gestiti.
organizzativi.
Dall’identificazione di una
di impresa diventa
creazione di un piano
identificazione. La capacità di
budget a disposizione.
Insurance.
da mettere in atto
› Definizione dell’architettura: il
all’accadimento di un incidente
coinvolgimento di differenti
e di individuare il team da
coinvolgere. In seguito ad un
sicurezza ed il monitoraggio
conseguenze e risolvere il
incontri periodici di
allineamento.
separazione netta di
responsabilità; è quindi
indagini forensi.
45
specialistiche esterne
all’organizzazione. La
La sua designazione è
› il trattamento è effettuato da
un’Autorità pubblica o da un
meccanismi di coordinamento
organismo pubblico;
La situazione in Italia
richiedono il monitoraggio
Officer (DPO)
formalizzata, mentre in un
Il nuovo Regolamento europeo
giudiziari”.
La Ricerca dell’Osservatorio,
dell’information security è
fondamentale importanza in
servizi di security.
all’azienda.
di analisi di processo e si
occupa di valutare le
Le nuove professionalità
in ambito security
analytics, si occupa di
applicazioni e servizi
proponendo soluzioni ed
strutturazione di funzioni
accorgimenti pratici. Fa
scouting di mercato,
tematiche di security
cognitivo.
› Security Administrator: si
La complessità delle
soluzioni tecnologiche di
problematiche richiede
di soluzioni e policy a
mercato.
realizzazione di nuovi
utenti finali.
prodotti/servizi di security.
competenze informatiche
si occupa di monitorare i
di certificazioni, indirizzate a
dell’integrazione di servizi di
terze parti.
come nell’identificazione di
principali modalità di
sicurezza dell’organizzazione.
operazioni in grado di
compentenze modellistiche, si
dimostrate l’effettiva
pericolosità di alcune
Practitioner (Security+).
l’azienda. Redige la
È possibile identificare
policy adottate
dall’organizzazione. Viene
security dell’organizzazione. •
47
EL-
1 LE COMPETENZE E I RUOLI DELLA GESTIONE DELL'INFORMATION SECUR
IKEA è un’azienda multinazionale fondata in Svezia nel 1943 e specializzata nella vendita di
per l’arredamento della casa. La società ha sede legale in Olanda e opera in 48 Paesi
sparsi in tutto il mondo. Nel 2016 il suo fatturato ha superato i 34 miliardi di Euro.
In tema di sicurezza informatica, la casa madre del Gruppo IKEA definisce gli end
point da utilizzare e i sistemi di prevenzione e rilevamento, per un totale pari a circa il 70% de
perdita di controllo.
Per valutare gli aspetti di sicurezza delle local solutions che le Countries hanno intenzione di i
completa dell’affidabilità della soluzione e della credibilità del fornitore. I penetration test ven
anche sui sistemi già esistenti.
Ogni struttura nazionale ha la facoltà di creare figure locali che possono rappresentare una sor
in seguito “internazionale”, tanto che ogni Paese è spinto dalla casa madre ad istituirla. Al mo
figura in ambito locale non esistevano linee guida, obiettivi o attività di riferimento e la direzio
da zero, anche in seguito a consulenze esterne.
La funzione Information Security in IKEA Italia è inserita all’interno della funzione Risk Man
Un tema importante per IKEA Italia è quello relativo alla creazione di consapevolezza. La soc
formazione, indirizzato al management dei vari store, relativo ai rischi legati al mondo IT; in e
casi concreti di incidenti cyber particolarmente rilevanti ed è stato distribuito a tutti i dipenden
Per quanto riguarda la Data Privacy si è invece tenuto un corso dedicato, rivolto alle
aventi normalmente a che fare con i dati personali dei clienti (ad esempio il customer service),
In generale, essendo ormai ben sviluppato un team anche a livello globale, le linee guida sono
Per IKEA l’attenzione al brand è massima, e quello che succede sui social network viene mon
è quella di essere pronti e reattivi nel momento in cui dovessero verificarsi particolari situazio
CASO 7 SNAM
Snam è il leader europeo nella realizzazione e gestione integrata delle infrastrutture del gas na
tra i più importanti a livello continentale (con una capacità di 16,5 miliardi di metri cubi) e il p
Italia. È inoltre presente attraverso sue partecipate in Austria, Francia e Regno Unito.
48
Gli investimenti di Snam sono finalizzati a sostenere lo sviluppo delle infrastrutture italiane e
quelle europee, rafforzando la sicurezza, la flessibilità e la liquidità dell’intero sistema gas.
In qualità di Infrastruttura Critica e Strategica per il Paese, Snam gestisce con la massima atten
estremamente diversificate e di natura geopolitica, sociale, e tecnologica, solo per fare alcuni e
supervisionare nella maniera più completa e affidabile le fonti di minaccia, a prescindere da co
sul piano pratico. In altre parole, deve essere superato il paradigma della sicurezza “a silos”; la
logica, la cybersecurity, la travel security e la security intelligence sono le anime di un unico e
In Snam, tutti questi temi sono affidati a una funzione di Corporate Security che ha la respons
complessiva e gli interventi tattici conseguenti, monitorandone i risultati al fine di identificare
con le esigenze di sicurezza della Società, e dall’altro di vigilare sull’evoluzione delle minacce
come quello tecnologico.
Al contempo, la consapevolezza che i rischi di security costituiscono solo una parte, seppur di
complessivi che Snam deve monitorare e gestire, ha portato la funzione Corporate Security a r
l’adozione di tassonomie e algoritmi coerenti con quelli utilizzati dall’unità di Enterprise Risk
nella condizione di comprendere anche un ambito (la security) con peculiarità specifiche e spe
In questo modello di governo della sicurezza a 360 gradi rientrano inoltre tutti i dipen
chiesto, ciascuno nei limiti del proprio ruolo e mansioni, di partecipare attivamente al manteni
adeguati e coerenti con le esigenze della Società. Dal punto di vista pratico ciò si traduce in du
Nella consapevolezza, infine, che un adeguato governo della security passi anche attrav
continuativa di logiche di infosharing, Snam sta facendo sistema con il mondo istituzionale (at
tempestività di risposta alle minacce secondo un modello di governo della security il più possi
49
7. L'information security
nelle piccole
e medie imprese
Luca Dozio*
per le PMI
fondamentale.
fronteggiarle.
garantire il core business,
poter salvaguardare le
possono inconsapevolmente
quello di minimizzare le
recentissimo, dell’attacco
50
impianti di refrigerazione. È
La Ricerca ha analizzato la
diffusione di soluzioni di
l’approccio sia prevalentemente
l’organizzazione.
imprese non si muovano solo a
sicurezza, garantiti da
rilevazione, le soluzioni di
in maniera autonoma.
ad un utilizzo maturo e
consapevole.
La situazione
All’interno dell’Osservatorio
business (31%).
51
diffuso (66%).
di aggiornamento, distribuzione
tecnologiche: la percentuale di
convinte che una soluzione di
un ragionamento comune,
249 addetti).
(36%).
programmi di formazione
orientati ad aumentare la
caratterizzate da un maggior
produttivi.
installazione di un antivirus.
definiscano le azioni da
compromesso, è necessario
per l’azienda. •
53
PARTE II -
L'INNOVAZIONE DIGITALE E LE IMPLICAZIONI SULLA SECURITY-
8. I Big Data
e la Cyber Intelligence:
raccolta e utilizzo
Giorgia Dragoni*
La disponibilità di grandi quantità di dati offre
Ilaria Guindani**
delle minacce
a disposizione
disponibili quotidianamente.
le seguenti caratteristiche:
elettronici ( machinetomachine;
persone (p eopletopeople;
miliardi 2 ; in un minuto vengono
difficilmente prevedibili;
LinkedIn.
Le organizzazioni si trovano
proliferazione di dispositivi
** Ricercatrice Osservatorio Big Data Analytics & Business Intelligence, Politecnico di Milan
1 . Dal Report“10 Key Marketing Trends For 2017,” IBM Marketing Cloud.
2 . Fonte: www.wearesocial.com.
INFORMATION SECURITY & PRIVACY |
54
provenienti da un numero
e ottimizzazione. Le soluzioni di
Euro.
Se da un lato è bene
organizzazioni;
› Veridicità: il termine fa
rappresentare la situazione
molto importante;
personali o particolarmente
› Variabilità: esprime la
dell’interpretazione di un dato
logica di anticipazione e
previsione.
Un cambiamento di approccio
informazioni a disposizione
55
Se da un lato all’attaccante
individuare un breach di
un intervallo di tempo
l’interruzione di un servizio
essenziale.
capacità di intercettare e
anticipare le minacce.
precedentemente: nell’ambito
sicurezza.
il perimetro aziendale da
aziende colpite.
critica.
momentaneamente inosservato.
comportamento di un
› Produzione e Disseminazione
l’intelligence viene
effettivamente prodotta e
informativa.
organizzazioni nazionali e
internazionali;
di raccolta di informazioni
minacce emergenti.
8.2).
Ricerca dell’Osservatorio
source.
Internamente è possibile
› Pianificazione e definizione
organizzazioni intervistate,
analizzare e monitorare,
vulnerabilità dell’azienda. In
molte organizzazioni le
nell’individuazione delle
competenze;
(figura 8.3).
(Security Information
l’integrazione, la valutazione e
notifica.
metodologie di Analytics, in
3
. I CERT (Computer Emergency Response Team) sono organizzazioni, generalmente finanziat
raccogliere le segnalazioni di incidenti informatici e potenziali vulnerabilità nei software che
stessi informazioni utili per la prevenzione e soluzione di problemi legati alla sicurezza inform
IL SOLE 24 ORE | Giugno 2017 | Numero 3
57
strategie di risposta/azione. •
58
PARTE II -
L'INNOVAZIONE DIGITALE E LE IMPLICAZIONI SULLA SECURITY-
9. I modelli
di sicurezza
Luca Dozio*
Marina Natalucci**
gestione IT tradizionale.
progetti IT si riduce
da un investimento in capitale
variabili.
servizi aggiornati e
tecnologicamente avanzati di un
servizio:
pagandoli direttamente al
› Infrastructure as a Service
asset-light e il time-to-market
in quanto l’aggregazione di
installare e gestire
autonomamente le proprie
applicazioni;
sviluppo, il testing e
59
operazioni di manutenzione e
aziende.
di gestione;
applicazioni gestite su
› Cloud Pubblico: l’infrastruttura
un’infrastruttura Cloud.
disponibili al pubblico
modelli di deployment:
investimenti infrastrutturali
provider ha capacità di
rimane dedicata
sono interamente sostenuti dal
esclusivamente
ne ha il pieno controllo. Il
› Community Cloud:
l’infrastruttura è condivisa da
un numero limitato di
esterno specializzato,
realizzazione dell’infrastruttura
gestito internamente
(figura 9.1).
(25%) e le problematiche di
60
modifica il perimetro di
relativamente agli ambienti Cloud,
(23%) 1 .
protezione.
derivanti dal lock in con il
definiti.
funzionato.
informazioni confidenziali
semplici da aggiornare e di
rubate o utilizzate da un
attaccabili, e la sicurezza diventa
interni all’azienda.
dell’Osservatorio Information
Politecnico di Milano,
1
. L’indagine ha coinvolto 110 grandi organizzazioni e 800 piccole e medie organizzazioni pre
2
. L’indagine ha coinvolto 148 grandi organizzazioni e 803 piccole e medie organizzazioni pre
61
problema.
› Gestione inadeguata di
le identità e le chiavi
vulnerabilità in termini di
quando applicazioni e
infrastrutture di Information
pratiche di protezione e
interconnettere i sistemi di
supporto al business ma ne
comportamentale e il 5%
sicurezza correlata.
nell’introduzione di nuove
Un’autenticazione multi-
suddetti servizi2.
seguenti:
› Denial-of-Service (DDoS): I
periodicamente in modo da
drasticamente il
aumentare significativamente il
riducendone la convenienza. È
62
sicurezza relativi a
confidenzialità, integrità e
mettono a disposizione il
› Sicurezza dell’Hypervisor:
rappresenta un punto di
infrastrutture sottostanti. In
sviluppatori durante la
(Application Programming
Dunque, se il modello di
sicurezza dell’Hypervisor
e integrandoli in maniera
autorizzato ai dati.
Cloud o installazione di
amministratori IT vi siano
controllo o distruggere le
complessità di gestione. La
accesso al portale di
prendendo il controllo
di accesso e password,
di attacco. Le conseguenze di
di monitoraggio e dipendenze
workstation degli
amministratori, limitandone
Internet o controllandone il
l’aggiornamento dei sistemi, i
intenzionale esponendo
l’azienda a problemi di
63
con il fornitore
modalità di virtualizzazione e di
isolamento dell’Hypervisor,
d’impresa.
la garanzia di sicurezza e
nonché sull’aggiornamento dei
sistemi.
di impossibilità di utilizzazione
prevedono la limitazione o
maniera estremamente
sbilanciata a favore di
esageratamente generiche,
unilaterale. La valutazione
dunque un momento
immediatamente e correttamente
attenzione alle caratteristiche
economiche e ai termini di
sottoposte e comunicate in
64
rinnovo contrattuale.
crittografiche, e ai dati di
efficacemente la transizione in
(figura 9.2).
la transizione di dati e
La Ricerca 2016
è posizionato al primo posto,
delle organizzazioni1.
piattaforme. Un esempio di
coinvolgimento di subfornitori, e
freno a quest’evoluzione ma
EL1
c U
o T
m IN
pl G
esso rafforzati. •
CASO 8 INFRACOM
Infracom Italia opera dal 1999 sul mercato nazionale dei servizi ICT, offrendo alle azi
servizi e piattaforme tecnologiche abilitanti per indirizzare le esigenze di comunicazione
L’headquarter è a Verona e l’azienda è presente in tutta Italia, con centri di competenza a Mila
Infracom conta su una rete in fibra ottica proprietaria di oltre 9.000 chilometri, 3 Data Center p
di oltre 300 professionisti con i quali ha costruito un ecosistema integrato e distintivo di asset,
Guidata da questa visione, e con l’obiettivo di supportare le aziende clienti sul tema sempre pi
delle potenziali minacce al loro business, Infracom ha costruito un vero e proprio centro di com
che, anche grazie alla collaborazione con Nest2, ha l’obiettivo di continuare il percorso di raff
65
Disponibilità, confidenzialità e integrità si basano a loro volta su tre pilastri:
› Garanzia dell’autenticità, che passa per l’autenticazione degli utenti e dalla gestione d
attività che necessitano di essere svolte;
› Attribuzione, che prevede il tracciamento delle attività compiute dagli utenti identificati sulle
› Garanzia del “non ripudio” delle attività realizzate (chi ha fatto una determinata attività su un
La confidenzialità è quindi garantita dal fatto che l’utente sia perfettamente identificato e che l
stessi.
L’integrità è assicurata dal fatto che i dati siano mantenuti coerenti con le azioni svolte dall’ut
delle persone autorizzate, possa accedervi.
La disponibilità, intesa come garanzia della continuità di servizio, è invece sostenuta attravers
e geograficamente distribuiti che evitano eventuali interruzioni nelle attività dell’utente.
Infracom dispone, infatti, di 3 Data Center, situati a Milano Caldera, Assago e Verona. Assago
costituiscono una sorta di Data Center esteso. Le macchine in ridondanza tra le due strutture o
incidente in una delle due infrastrutture, quindi, la Business Continuity è assicurata, senza nes
Sono poi disponibili sistemi di Disaster Recovery, che garantiscono la continuità anche in caso
Data Center sopracitati, dando la possibilità di ripristinare le informazioni con la potenziale pe
cliente.
In Infracom operano anche sistemi di behaviour analysis, dedicati a verificare che le informaz
rete vengano trasferite in modo “consono”, tramite l’acquisizione e la storicizzazione dei dati,
learning che identificano il comportamento standard delle macchine utente. Tramite monitorag
quindi in grado di rilevare automaticamente comportamenti anomali, che si discostano dallo st
Il punto di riferimento per la parte di difesa perimetrale è Nest2, per tutto quello che riguarda s
Firewall, Intrusion Detection e Sandboxing.
Il contesto esterno in costante evoluzione implica la necessità di continui investimenti in sicur
fault safe environment.
[1] Per latenza si intende l’intervallo di tempo che intercorre fra il momento in cui arriva l'inpu
cui è disponibile il suo output. In altre parole, la latenza costituisce il ritardo nella comunicazio
Lending Solution S.r.l. nasce nel 2010 come società di consulenza e software destinati
creditizia. L’obiettivo dell’azienda è quello di aiutare le imprese operanti in tale settore a migl
66
› Creazione di software destinati al settore dell’intermediazione finanziaria, tra cui il primo Sis
Per le PMI, e in particolare per un’azienda come Lending Solution, che deve rispettare requisi
piccola di non immobilizzare capitale ingente togliendo risorse ad altri impieghi.
Il Cloud consente di gestire agevolmente aspetti critici come il Disaster Recovery e la Busines
delle apparecchiature dipende anche dalla loro localizzazione. Una società di grandi dimension
piccola è imprescindibile l’utilizzo di un Data Center esterno
per avere accesso a certe tecnologie.
Un’altra possibile vulnerabilità è legata alla gestione delle risorse umane. Pur essendo impossi
non è possibile avere pieno controllo sull’essere umano, che tramite comportamenti inconsape
Un metodo efficace per prevenire problemi legati anche al fattore umano è innanzitutto quello
di audit, ossia svolgendo periodicamente azioni di controllo anche sulla struttura che ospita i d
verificare il rispetto degli standard di sicurezza adottati.
[1] Il Recovery Point Objective (RPO) rappresenta il tempo massimo che deve intercorrere tra
sua messa in sicurezza, fornendo la misura della quantità di dati che il sistema può perdere a c
[2] Il Recovery Time Objective (RTO) rappresenta il tempo necessario per il pieno recupero d
67
PARTE II -
L'INNOVAZIONE DIGITALE E LE IMPLICAZIONI SULLA SECURITY-
rilevanza
e modelli comportamentali
Luca Dozio*
fa percepire, erroneamente,
a strumenti social e di
mondiale.
fortunatamente, di attacchi a
1 . https://www.statista.com/statistics/330695/numberofsmartphoneusers-
worldwide/.
2
. Secondo quanto emerge dalla Ricerca 2016 dell’Osservatorio Smart Working del Politecnico
68
del device.
incredibile di informazioni:
conseguenze.
piattaforme di Social
forma di sicurezza.
quella aziendale.
la possibilità di apportare
conseguire. Oppure le
potenzialmente violabili.
modo da manipolare il
dotati di microfono e
aziende intenzionate ad
immagini.
all’insaputa dell’utente e
69
governare/limitare l’utilizzo di
definizione standardizzata di
interfaccia, distribuire e
aziendali, connettere le
norme che limitano l’accesso a
aziendale.
(figura 10.1).
necessarie azioni di
percepire maggiormente i
ha in previsione azioni e a un
È pertanto indispensabile
promuovere iniziative di
valutazione.
dispositivi aumenteranno ancora
sensibilizzazione la cui
implementando riguardano
approfondita all’interno di
l’introduzione di piattaforme e
consapevole di queste
tecnologie. •
70
PARTE II -
L'INNOVAZIONE DIGITALE E LE IMPLICAZIONI SULLA SECURITY-
of Things (IoT),
competenze e processi
Luca Dozio*
Angela Tumino**
Giulio Salvadori***
Giorgia De Bernardi****
seguenti funzionalità:
possesso di un identificativo
digitale univoco, la
localizzazione, ovvero la
statistiche, previsioni);
ovvero la capacità di
necessità di assistenza;
interconnette: utilizzo di
permettono di monitorare
accessibilità al dato e
chi li indossa.
(sensing) – come la
multifunzionalità sono
concentrazione di inquinanti –
o di variabili di flusso
Definite le caratteristiche, è
71
climatizzazione e gli
elettrodomestici) per il
guasti e manomissioni,
fenomeno:
risparmio energetico, il
localizzazione, tracciabilità e
gestione inventariale;
Environment: monitoraggio e
suo interno;
trasporto pubblico,
l’illuminazione pubblica, i
parcheggi) e dell’ambiente
all’ospedalizzazione, a fini
migliorarne vivibilità,
modo da garantirne la
sostenibilità e competitività;
sicurezza;
fatturazione e la telegestione;
management e gestione
informazioni geo-referenziate
fornitori;
sulla viabilità;
distribuzione, gestendo
di parametri micro-climatici a
produzione distribuita e
mobilità elettrica;
monitoraggio della catena del
utilizzate e l’impatto
delle flotte;
ambientale;
per l’illuminazione e la
72
utente e incrementare le
e immagazzinati. Quest’aspetto è
monitorare apparecchiature
strutture di telecomunicazione
negozio.
valvole).
e rischi connessi
casa o al lavoro.
smartphone o in un servizio
di Milano).
Analisti internazionali, in un
informativo aziendale.
Un esempio importante è
possono derivarne.
strettamente industriale i
1 . http://www.gartner.com/newsroom/id/3198018.
2 . http://www.techrepublic.com/article/thedarksideofwearableshowtheyre-
secretlyjeopardizingyoursecurityandprivacy/.
3 . http://www.ilpost.it/2016/10/24/attaccoinformaticovenerdi21ottobremirai-
dyn/.
73
oggetti smart.
espressione si intende un
riferimento ad attacchi a
all’esposizione a terzi di
informazioni sensibili
di credenziali e l’aderenza a
aumentando le potenzialità
Le rilevazioni dell’Osservatorio
pratiche di programmazione
migliori.
Si tratta di un approccio
vulnerabilità. I protocolli di
fase di progettazione,
74
termini di sicurezza.
limitano solamente ad un
economico.
offre. •
EL1
BTicino S.p.A. è un’impresa italiana che si colloca tra i leader mondiali nel settore delle infras
L’azienda è attiva nel campo della domotica e da tempo si occupa della produzione di oggetti
Dall’idea del prodotto fino alla sua messa in produzione, la sicurezza si articola nelle seguenti
› Verifica interna –
Il team di security è chiamato in causa per verificare l’effettiva adozione dei requisiti minimi
› Rilascio in produzione.
Il processo adottato da BTicino adempie i requisiti imposti dal GDPR, poiché rispetta il princi
prevede la realizzazione di Privacy Impact Assessment (PIA). Vengono quindi valutati sia asp
aspetti più specifici sulla protezione dei dati personali, di natura legale e di compliance norma
75
ldwide, ed è pertanto necessario prestare attenzione alle differenze esistenti tra le varie legislaz
Un altro aspetto innovativo riguarda l’interazione con le terze parti. Mentre in passato il sistem
Nei rapporti con l’esterno la security è gestita differentemente a seconda dei casi: nei confront
requisiti di sicurezza sono definiti a livello tecnico e contrattuale attraverso un “agreement ad
per lo specifico progetto; negli altri casi, invece, viene creato un ambiente comune in cui una t
singolo sviluppatore o una piccola software house, può “accreditarsi” mediante la sottoscrizion
e alle policy aziendali, in base alle quali è libera di poter sviluppare servizi e nuove funzionali
L’aspetto della sicurezza interessa tutta la filiera, dalla produzione aziendale, passando per gli
76
PARTE II -
L'INNOVAZIONE DIGITALE E LE IMPLICAZIONI SULLA SECURITY-
12. Le opportunità
e i rischi
Stefano Zanero*
concordano: la rivoluzione
e just-in-time di scorte,
di Industry 4.0 e la
essere connessi.
le linee di produzione e la
approfonditi.
storia.
macchine in produzione,
profondamente complessa
robot! Contemporaneamente,
automazione rappresentano un
informativi aziendali (e i sistemi
di e-commerce) ai sistemi di
77
all’operatore stesso.
finali 2 .
stakeholder: produttori ed
“scollegate”.
consulenti e ricercatori di
indiscriminato!).
indipendenti … e aziende
coinvolgono i robot fa
immediatamente appello
esempio, il progetto
“FilieraSicura”, finanziato da
Laboratorio Nazionale di
monitoraggio. In un altro
estorcere un cyber-criminale ad
di logistica. •
1 . http://necst.it.
78
PARTE II -
L'INNOVAZIONE DIGITALE E LE IMPLICAZIONI SULLA SECURITY-
13. L'assicurazione
scenari e mercato
Alessandro Piva*
Management le necessità e le
Il progressivo superamento
all’information security, in
valutarne le implicazioni.
identificazione di scenari di
79
capacità di misurarne
rischio cyber e comprenderne
finanziariamente le implicazioni.
tipo.
dell’offerta, vi è innanzitutto la
dell’esposizione, dovuta ad un
un’intrusione o ad una
condividere informazioni
rivelazione di dati dovuta a
furto;
informativo.
implicazioni difficilmente
riguarda i danni causati
direttamente al sottoscrittore o a
esemplificativo:
eventi. Comprende il
ed informatici e ha come
anno.
comunicazione dell’attacco,
telecomunicazioni.
all’identificazione delle
del danno;
80
FIGURA 13.1 – LA CYBER INSURANCE
ransomware).
condotta dall’Osservatorio
mercato Cyber Insurance e il 21%
personali;
immature nell’utilizzo di
intrusioni oppure
da downtime di rete,
81
PARTE III -
IL QUADRO NORMATIVO DI RIFERIMENTO E I PERCORSI DI CERTIFICAZIO
Regulation (GDPR)
Gabriele Faggioli*
Guglielmo Troiano**
Controller
Il percorso legislativo che ha passato, quello della direttiva, che, di tale Direttiva. Il Regolame
Il Regolamento Generale è
servizi di comunicazioni
Commissione europea ha
entrato in vigore il 24 maggio
anni.
fondamentali: da un lato,
Regolamento (« Regulation on
Communications») volta ad
contemporaneamente al GDPR, in
82
fisiche.
valutazione di un determinato
formali e su un elenco di
sicurezza da adottare), ad un
proponendo miglioramenti e
design».
responsabilizzazione sostanziale
completamente riskbased.
adempimento ancillare al
conformità al GDPR e
scelte/valutazioni.
in UE (anche se il trattamento
«privacy by design»).
organizzazioni localizzate extra
Oltre al sostanziale
rovesciamento di prospettiva, il
monitorano il loro
scelte effettuate.
(art. 3).
trattamento il soggetto
responsabile di garantire il
sostanzialmente invariati. In
correttezza e trasparenza”,
i seguenti aspetti:
svolgimento di un trattamento
conservazione” e “integrità e
di dati;
diritti e le libertà
› obbligo di informativa;
› obbligo di consenso;
83
trasmessi/conservati o
comunque trattati.
dal Titolare;
contenere almeno le
36 e considerando 75-77) -
Qualora un trattamento
e proporzionalità dei
finalità;
dell’Autorità di Controllo.
designato) è chiamato ad
interessati.
Regolamento (consultazione
all'interno di un'azienda,
mitigare sufficientemente il
organizzative (anche di
valutazione d’impatto è
trattamento e i Responsabili, a
valutazione sistematica e
eventualmente da implementare a
su un trattamento
si tratti di un trattamento su
divieto di procedere al
ed il Responsabile devono
determinazioni assunte
pubblico.
elementi:
finalità di trattamento,
all'Autorità di controllo e il
84
misure tecniche ed
organizzative al fine di
trattamento). La valutazione
Titolare/Responsabile e, appunto,
Titolare e il Responsabile ad
Titolare e al Responsabile in
rapporto ai rischi
specificamente individuati e
controllo, e in particolare al
prima persona
dell’implementazione della
costi di attuazione.
interpretativi e analitici: il
alcuni interni
modalità del trattamento, fra cui,
trattamento dati.
ad esempio, quello di
fondamentale importanza in
ed ai Responsabili, l’obbligo di
organizzazioni, delle
organizzative “adeguate al
(pseudonimizzazione; cifratura;
capacità di assicurare la
concreti) le competenze
professionali (conoscenza
compiti.
La sua designazione è
capacità di ripristinare
tempestivamente la
garanzie di indipendenza e
› il trattamento è effettuato da
un’Autorità pubblica o da un
organismo pubblico;
controllo all'interno
85
richiedono il monitoraggio
rimangono impregiudicati i
controllo competenti.
giudiziari”.
elevata.
Processor che:
Garante;
trattamento, incluse le
› è direttamente passibile di
sanzioni amministrative;
interessati;
tema di trasferimento
membri;
relativi al trattamento dei dati
Responsabili.
› inosservanza di un ordine, di
personali.
definitiva di trattamento o di
promuove l'istituzione di
all’interno di un contratto o di un
meccanismi di certificazione
Responsabile al Titolare. In
La certificazione è volontaria ed
Responsabile, all’organismo di
certificazione e all’organismo di
controllo.
basata su criteri previamente
controllo competenti.
Inoltre, se il Titolare e il
L’ottenimento della
uniformità e armonizzazione a
dell’art. 82.
livello europeo. •
86
PARTE III -
IL QUADRO NORMATIVO DI RIFERIMENTO E I PERCORSI DI CERTIFICAZIO
Regulation (GDPR),
la roadmap di adeguamento
Gabriele Faggioli*
essere necessariamente
esistenti;
Autorizzazioni Generali
Regolamento.
Provvedimenti dell’Autorità
Lo scopo di un progetto di
documentazione, volta a
adeguamento al nuovo
comprendere l’organizzazione
quello di:
modello di adeguamento al
gap da colmare;
› assicurare un’applicazione
87
costantemente l’uscita di
intervento).
5 aprile 2017).
dovranno preliminarmente
sull’organizzazione aziendale
analizzando e valutando la
documentazione in uso e le
scelte di adeguamento
raccogliere e analizzare la
documentazione organizzativa,
personali;
procedure interne da
modello AS-IS.
principio di accountability.
30 del Regolamento, è un
88
aggiornata secondo le
garantire e dimostrare la
vigente normativa).
principio di
responsabilizzazione contenuto
individuare e contrattualizzare
di lasciare maggiore
trattamento:
3 macro-attività:
da adottare;
› nell’individuazione della
Officer.
l’organizzazione aziendale;
politiche di sicurezza e
prendendo in considerazione
documentazione: è importante
89
comunicazione richiederebbe
metodologia individuata in
predisposto un piano di
formalizzata in apposita
impresa.
32).
del trattamento dovranno
personali: la necessità di
di adempimenti, attribuiti al
adeguata reportistica e
comunica la violazione
la distruzione, la perdita, la
all’interessato senza
singoli trattamenti. La
90
recenti strumentazioni
Titolare/Responsabile del
processi;
› goda di indipendenza e
tecnologie avanzate.
personali.
autonomia;
misure adottare.
protezione) all’interno di
aziende e le pubbliche
amministrazioni devono
immediatamente preoccuparsi di
dell’eventuale attivazione di tali
consigliare il Titolare o il
dettaglio.
verificarne l’applicazione e
Garante.
è necessario che:
governance. •
91
EL-
XX GENERAL DATA PROTECTION REGULATION (GDPR), LA ROADMAP DI AD
Nata in Francia oltre 65 anni fa, Europcar è leader europeo nel noleggio di autoveicoli, oltre ch
mercato della mobilità. Il Gruppo Europcar, attivo in oltre 140 Paesi con i marchi Europcar ed
dei più grandi network di autonoleggio del mondo tramite società interamente controllate, non
all'attività core del noleggio di auto, furgoni e scooter, il Gruppo Europcar ha ampliato negli u
Europcar, che vanta numerosi premi “World Travel Awards” relativi all’offerta di mobilità ed
consta di 6000 dipendenti e nel 2016 ha fatturato 2,151 miliardi di Euro.
Da un punto di vista organizzativo, la società operante sul territorio nazionale Europcar Italia S
sia di adeguamenti tecnologici sia di compliance dei processi verso gli standard di settore, ven
direttamente dalla casa madre in Francia e messi in atto dalle singole Country.
Sin dalla pubblicazione del General Data Protection Regulation ed in vista della sua prossima
immediatamente attivata per strutturare il processo di adeguamento alla normativa in materia d
percorso è iniziato conducendo una gap analysis e proseguirà con una serie di investimenti stra
propri clienti, ma anche perfettamente rispondente ai requisiti imposti dalla nuova normativa.
Volgendo lo sguardo ad uno dei principali compiti che le aziende facenti parte di un gruppo de
in vigore della nuova normativa, ovvero quello di definire il perimetro di responsabilità rispett
esigenze tipiche del mercato italiano, ma allo stesso tempo fa riferimento a diversi mezzi e stru
Una ulteriore criticità introdotta dal GDPR riguarda l’applicazione del meccanismo dello “spo
quanto previsto dalla normativa, qualora un’organizzazione vantasse più stabilimenti all’intern
avere un'unica Autorità sovrintendente riconosciuta come "Autorità principale" (o capofila), su
proprio "stabilimento principale" (ossia il luogo dove avvengono le più significative attività di
Parigi, se si adottasse tale meccanismo, l’Authority di riferimento (in merito alla maggior part
esclude che per i casi regolati specificatamente dalla normativa locale (come ad esempio i dive
sempre confrontare con l’Autorità di Controllo nazionale, dovendo quindi sostenere i processi
i due “canali”, quello locale e quello internazionale.
Un ulteriore punto di attenzione è relativo all’applicazione del principio della “Data Protection
richiede l’attuazione di misure tecniche ed organizzative adeguate al fine di proteggere efficac
un periodico censimento dei dati personali; dovranno inoltre definire i tempi di conservazione
92
posite procedure che permettano, in automatico, di cancellarli quando non sono più necessari.
Europcar Italia si sta impegnando molto per far sì che la formazione raggiunga ogni dipendent
disseminati sul territorio.
La Robert Bosch GmbH nasce nel 1886 a Stoccarda come "Officina di meccanica di precision
In Italia e Grecia conta una ventina di entità legali, tra sedi commerciali, sedi produttive (powe
idraulica, attrezzatura d’officina) ed entità di Ricerca e Sviluppo, per un totale di circa 6000 co
Il Board di Bosch è particolarmente attento e sensibile alle implicazioni del General Data Prot
prevede sanzioni consistenti – fino al 4% del fatturato globale annuo –
in caso di mancato adempimento.
Dal momento della pubblicazione del GDPR, la funzione Sicurezza Dati e Informazioni si è im
Il primo passo effettuato è stato chiedersi quanto la situazione dell’azienda fosse “lontana” dai
Regolamento. Il documento è stato analizzato nel dettaglio per arrivare alla stesura di una lista
GDPR (informative, notifiche, registro dei trattamenti, implementazione TOMs (Technic
analisi dei rischi, Data Protection Impact Assessment, misure IT, ecc.) composta da 70 punti.
A seguito della redazione della lista, si è passati all’individuazione delle persone coinvolte. So
riferimento: società di consulenza informatica, supporto informatico interno all’azienda, suppo
di vari enti commerciali, di servizi e di produzione.
Successivamente, l’azienda si è dedicata alla valutazione dell’impegno connesso ad ognuna de
Per rendersi effettivamente conto del gap esistente e misurare l’impatto e l’impegno che il per
Questo impegno è stato poi tradotto in costi, per definire l’ammontare del budget necessario a
entità legali italiane e greche. Al costo per lo svolgimento delle attività per le 4 categorie di re
costo della formazione, ottenendo una stima complessiva che è stata poi suddivisa sui 2 anni d
Il budget calcolato ammonta in totale a circa 2 milioni di Euro, ovvero in media intorno a 10.0
Per assicurare che la formazione fosse adeguata al target dei diversi soggetti, sono state definit
93
In Italia attualmente non vengono realizzati prodotti che raccolgono dati personali, a differenz
nazioni. Questa tipologia di prodotti viene però commercializzata anche sul territorio it
venga affrontato anche questo ambito.
Ogni sessione di formazione è tenuta da un legale esterno e ha una durata di mezza giornata.
Una volta terminata la formazione ai Responsabili, per tutti gli altri collaboratori che trattano d
sessioni di aggiornamento da un’ora ciascuna, in cui verranno illustrate le novità introdotte da
rispetto all’attuale legge vigente. La formazione specifica sulla nuova regolamentazione si affi
relative al tema della privacy che vengono veicolate da anni agli utenti dell’organizzazione.
A seguito della formazione verrà effettuata una revisione dell’analisi preliminare. Infatti quand
a conoscenza dei requisiti del GDPR, potrebbero emergere trattamenti non considerati precede
A valle della rifinitura, verranno stabilite con l‘ausilio del supporto legale le priorità d’azione
ai rischi ad essi connessi.
L’attività entrerà poi nel vivo e sarà coordinata a livello globale, attraverso incontri per temati
nella documentazione, ottimizzando così i costi di consulenza esterna.
Le maggiori difficoltà incontrate ad oggi riguardano la raccolta dei dati, poiché spesso le infor
tutto coerenti e richiedono un continuo coordinamento, la definizione in dettaglio delle attività
94
PARTE III -
IL QUADRO NORMATIVO DI RIFERIMENTO E I PERCORSI DI CERTIFICAZIO
16. Protezione
Sergio Fumagalli*
giurisdizioni nazionali;
Regolamento UE 2016/679
nell’organizzazione e nella
› la concentrazione di quantità di
di rilevare, automaticamente e
di un numero ridotto di
corpo: un’esplosione di
informazioni personali, in
rilevanti.
dunque, difficilmente
riconducibili a legislazioni e
chissà dove.
95
continua, frenetica e
aziendale evoluta e
spesa adeguata.
grande complessità.
operatori multinazionali. Il
le misure di sicurezza da
in grado di comprovarlo
applicare.
periodica.
applicare e applicheranno in
di cui sopra: governare un
96
liberalizzazione dell’accesso al
grande pubblico.
significative o no, al di là di
testo dell’articolo).
professionali – commercialisti,
sfortunati?
Articolo 82
Realisticamente, senza
…
medici, laboratori di analisi –
tranquillizzante. Il contesto di
effettivo dell'interessato.
assumersi
interconnessione. Le grandi
16.1. Un atteggiamento
margini.
differente.
costituirebbe un parziale
97
Codici di condotta
Dove il GDPR indica obiettivi e
tecnico dell’impianto di
controllo, il comitato e la
Commissione incoraggiano
dollari!
valutazione.
per l’adeguamento al GDPR e la
interessanti.
quotidiana.
introducono e regolano la
Regolamento.
strutture organizzative
Articolo 40
confrontabili.
iniziativa.
98
in caso di contestazioni o di
CdC.
di entrambi.
Analoghe considerazioni
sicurezza.
influenzare positivamente la
ISO9000.
determinazione dell’ammontare
della stessa.
Articolo 28
40 o a un meccanismo di
business.
predisposizione a condividere i
L’adesione di un Titolare al
attività pre-competitiva:
Regolamento.
riferimento il box.
Riallacciandoci alle
obiettivo che può interessare anche
contemporaneamente sostenibile
Peraltro, la sicurezza e la
ed efficace. La capacità di
disponibilità di un Codice di
GDPR.
investimenti.
PARTE III -
IL QUADRO NORMATIVO DI RIFERIMENTO E I PERCORSI DI CERTIFICAZIO
17. Le certificazioni
per la sicurezza
Fabio Guasconi*
Luciano Quartarone**
conseguente diffusa
“sicurezza cibernetica”, né su
accettabile in un momento di
aumenteranno inevitabilmente
tecnologica aumenterà,
mediatica tale da indurre a
100
addetti ai lavori.
certificazione.
trasferimento tecnologico,
informazioni è universalmente
organismo governativo in
squisitamente legali.
valutandone principalmente le
e perché serve
parte), indipendente e
specificatamente designato e
effettivo, oggettivo e
distinte.
documentato, di un prodotto, di
un processo o di un servizio ai
realizzazione di un prodotto, di
riferimento.
un processo o di un servizio,
informatici industriali. La
obbligatorio conformarsi. Il
101
funzioni di sicurezza di un
organismi di certificazione di
monitorare, mantenere e
organizzazioni, pubbliche e
assegnati.
finanza, assicurazioni,
sostanzialmente una
telecomunicazioni, trasporti e
certificazione, aziendale o
ha realizzato l’oggetto di
In ogni organizzazione
richiedente la certificazione un
ed ogni organizzazione è
valutazioni. Organismi di
certificazione e di valutazione
certificazione, la quale
preservarne l'integrità, la
nazionale è Accredia 1 .
riservatezza e la disponibilità.
La definizione dei criteri in base
accreditamento è armonizzato a
La norma internazionale
“glossario” complementare,
rappresentano il quadro
Security”.
1 . http://www.accredia.it.
102
corrispondente ad un pacchetto di
valutare le proprietà di un
La norma internazionale
rispettivamente specificano in
ISO/IEC 15408
“Protection Profile”) e
stati soddisfatti
rigoroso e standard.
supporto di questa
documentazione, aumenta al
103
valutazione e la certificazione
dell’informazione. In una
creare e commercializzare
software.
autenticazione.
Impatti economici
2 . http://www.ocsi.isticom.it.
104
certificazione volontaria
semplificazione di obblighi in
informazioni è particolarmente
competenze diffuse.
Considerati i vantaggi in
spionaggio industriale e
dell’attenzione di intelligence
straniere.
Sviluppi futuri,
105
contestualizzato in precedenza
normazione, prediligendo
inspiegabilmente, mancava.
logiche di certificazione di
disposizione un eccellente
l’implementazione di questi
un ambiente controllato ma
In questo contesto,
Regolamento stesso,
internazionali, in essere.
acerba, crescerà
legato ai cybersecurity
anni. Come tale crescita avverrà è,
nostre mani. •
106
ELXX
IL GRUPPO DI LAVORO
Gabriele Faggioli –
Responsabile Scientifico Osservatorio Information Security & Privacy e Presidente CLUSIT
Giorgia Dragoni –
Ricercatrice Senior Osservatorio Information Security & Privacy
Guglielmo Troiano –
Senior Advisor Osservatorio Information Security & Privacy
Si ringraziano inoltre:
Cefriel
DEIB
Sergio Fumagalli –
Membro direttivo CLUSIT e coordinamento Europrivacy.info
Ilaria Guindani –
Ricercatrice Osservatorio Big Data Analytics & Business Intelligence
Piergiorgio Grossi –
Chief Information & Digital Transformation Officer, Ducati Motor Holding
Salvatore Mafodda –
CFE (Certified Fraud Examiner) ed Amministratore, Lending Solution
Sergio Mattioli –
Information Security and Data privacy Director, Gruppo Bosch Italia
Stefano Pastori –
Information Security & Data Privacy Specialist / Risk & Compliance, IKEA Italia Retail
Raffaele Regni – Responsabile Cyber Security, Infracom Italia
Corrado Salvemini –
Responsabile della Sicurezza delle Informazioni, Carrefour Italia
Accenture AlmavivA Marsh & McLennan Nest2 Poste Italiane Spike Reply -
Symantec Tesisquare
Per entrare in contatto con l’Osservatorio potete scrivere a: Alessandro Piva: alessandro.piva@
Giorgia Dragoni: giorgia.dragoni@polimi.it
Document Outline
InstantEdicola ... 23/06/2017
LAVORO
3 - sommario
4 - sommario
5 - prefazione
6 - prefazione
7 - introduzione
8 - introduzione
9 - capitolo3
10 - capitolo3
11 - capitolo3
12 - capitolo3
13 - capitolo3
14 - capitolo4
15 - capitolo4
16 - capitolo4
17 - capitolo4
18 - capitolo5
19 - capitolo5
20 - capitolo5
21 - capitolo5
22 - capitolo5
23 - capitolo5
24 - capitolo5
25 - capitolo5
26 - capitolo6
27 - capitolo6
28 - capitolo6
29 - capitolo6
30 - capitolo6
31 - capitolo6
32 - capitolo6
33 - capitolo6
34 - capitolo6
35 - capitolo7
36 - capitolo7
37 - capitolo7
38 - capitolo7
39 - capitolo7
40 - capitolo7
41 - capitolo7
42 - capitolo8
43 - capitolo8
44 - capitolo8
45 - capitolo8
46 - capitolo8
47 - capitolo8
48 - capitolo8
49 - capitolo9
50 - capitolo9
51 - capitolo9
52 - capitolo9
53 - capitolo10
54 - capitolo10
55 - capitolo10
56 - capitolo10
57 - capitolo10
58 - capitolo11
59 - capitolo11
60 - capitolo11
61 - capitolo11
62 - capitolo11
63 - capitolo11
64 - capitolo11
65 - capitolo11
66 - capitolo11
67 - capitolo12
68 - capitolo12
69 - capitolo12
70 - capitolo13
71 - capitolo13
72 - capitolo13
73 - capitolo13
74 - capitolo13
75 - capitolo13
76 - capitolo14
77 - capitolo14
78 - capitolo15
79 - capitolo15
80 - capitolo15
81 - capitolo16
82 - capitolo16
83 - capitolo16
84 - capitolo16
85 - capitolo16
86 - capitolo17
87 - capitolo17
88 - capitolo17
89 - capitolo17
90 - capitolo17
91 - capitolo17
92 - capitolo17
93 - capitolo17
94 - capitolo18
95 - capitolo18
96 - capitolo18
97 - capitolo18
98 - capitolo18
99 - capitolo19
100 - capitolo19
101 - capitolo19
102 - capitolo19
103 - capitolo19
104 - capitolo19
105 - capitolo19
106 - gruppo_lavoro