Il tema information security vs compliance da sempre appassiona CRO, CISP e CSO; se ne parla da anni nei convegni e numerosi sono stati i tentavi, sia da parte dei team di governance aziendale che di gestione del rischio, di conciliare i due aspetti ed evitare la manichea e semplicistica visione che pone la compliance semplicemente come un “alleato” o “nemico” della sicurezza informatica.

Il fatto che continuiamo a dibattere sul tema information security vs compliance, dimostra come la risposta non sia ovvia e può avere declinazioni diverse a seconda della dimensione della società alla quale si riferisce, del suo modello di business, della industria di riferimento e di conseguenza del suo livello di maturità nella gestione della governance del rischio e della sicurezza informatica. Particolarmente significativo è l’impatto della compliance su progetti ed iniziative di sicurezza informatica in tutti quei settori dove è importate a livello politico e regolatorio il tema del “trust dei clienti” (si pensi al mondo bancario ed assicurativo) o il tema della protezione delle infrastrutture critiche nazionali (utility, telecomunicazioni, etc.) dei settori strategici a livello di homeland security (difesa, aerospaziale, etc.).

Vale quindi la pena entrare nel concreto delle normative di compliance; io lo farò basandomi sulla mia esperienza nel campo Telco in un orizzonte temporale di circa 20 anni, con l’obiettivo di dare una panoramica di altissimo livello, rimandando i lettori ad approfondimenti che si possono fare direttamente on line e sui numerosi siti dedicati alla spiegazione di queste normative (con tanto di possibilità di acquistare corsi di formazione e consulenza ad-hoc).

Un primo esempio di normativa con impatto sulla sicurezza informatica è stata la Sarbanes-Oxley Act (SOX), approvata nel 2002 dal Congresso degli Stati Uniti per proteggere azionisti e pubblico generale dagli errori di contabilità e dalle prassi fraudolenti in azienda; con essa sono stati introdotti i controlli di tracciabilità sui sistemi finanziari ma anche una più attenta gestione di ruoli e profili (IUAM) e il rafforzamento dei principi della “segregation of duties” e del “need to know”.

Sulla scia della normativa americana, l’Italia ha introdotto la legge 231/2001 che, per la prima volta nel nostro ordinamento giuridico, prevede il principio della responsabilità amministrativa delle persone giuridiche per specifiche tipologie di reato commesse da amministratori e dipendenti delle Aziende; la normativa disciplina anche i delitti informatici ed il trattamento illecito dei dati.

Un’altra area di compliance importante per la sicurezza informatica è quella che fa capo alla privacy, con riferimento in particolare alla “data protection”. In Italia per anni i responsabili privacy (ed in seguito il Data Protection Officer -DPO) hanno lavorato a fianco del CISO per la gestione delle misure minime di società informatica previste dall’allegato B della legge 196/2003.

Il cambiamento più significativo alla normativa privacy a livello Europeo è arrivato nel 2018 con il GDPR; tra i principi cardine della normava ci sono il “privacy by design” e “privacy by default”; “privacy by design” significa introdurre la gestione dei dati personali come uno step necessario dall’inizio della progettazione di un servizio o prodotto; “privacy by default” significa mettere in atto i principi di minimizzazione e limitazione dei tempi di conservazione dei dati (data retention).

Entrambi i principi sottendono la necessita di un approccio “tecnologico” alla gestione e protezione del dati personali (di clienti, dipendenti io terze parti); approccio metodologico e relativo framework aziendale devono essere progettati per sfruttare al massimo le sinergie tra la funzione legale & compliance e la funzione di sicurezza informatica che si occupa prevalentemente della protezione delle applicazioni, della infrastruttura, delle reti (“data on-fly”) e dei database (“data at-rest”) che quel dato personale utilizzano (data processing).

Negli utili anni è stata grande la spinta normativa per garantire la “business resilence”. Sempre a livello europeo è stata emanata nel 2016 la direttiva NIS (Network and Information Security) che impone agli operatori di servizi essenziali (energia, trasporto, banche etc.), in tutti gli Stati che fanno parte dell’Unione, l’adozione di misure tecniche e organizzative per rendere sicure le proprie reti e i sistemi informatici. Le società coinvolte inoltre sono tenute a comunicare all’autorità competente senza ingiustificato ritardo qualsiasi incidente di sicurezza che abbia un impatto significativo sulla continuità del servizio. I numerosi feedback ricevuti in fase di attuazione della normativa e l’evoluzione del contesto geo-politico hanno spinto la Commissione Europea apresentare una proposta di revisione sostanziale della Direttiva NIS (chiamata NIS 2).

Nel contesto italiano è di fondamentale importanza citare il ruolo della appena nata Agenzia Nazionale di Cybersicurezza (ACN) e le misure di sicurezza da poco emanate con l’obiettivo di proteggere il perimetro di sicurezza cibernetica nazionale. Infine, per le aziende (soprattutto Business to Consumer) che gestiscono transazioni con Carte di credito, esiste lo standard di riferimento PCI-DSS che copre tutti gli aspetti tecnici ed organizzativi e di processo per la protezione delle carte e delle relative transazioni (sia a livello di merchant che di acquirer e service provider).

A mio avviso, la spinta normativa nel contesto italiano fatto prevalentemente da piccole e medie società è stato un volano per la sicurezza informatica ed uno stimolo per i responsabili legali e della compliance di tali realtà ad investire nella sicurezza informatica o semplicemente a definire il ruolo del CISO e del DPO.

Per grandi società con modelli di governance evoluti ed in grado di effettuare attività di enterprise risk management e/o con strutture di sicurezza complete (dal demand management di sicurezza, alla information security governance risk & compliance, dalla cyber-prevent alla cyberdefence) la normativa è stata un sicuro supporto tutte le volte che è stata “principle driven” evitando di entrate troppo nel dettaglio dei controlli o di fissate delle scadenze di compliance troppo ravvicinate (sotto i 24/36 mesi).

Tutte le volte che le normative di sicurezza si sono spinte nel merito della definizione del livello di “risk acceptance” di specifiche industries o peggio ancora nella definizione di dettaglio dei controlli di sicurezza tecnici il rischio è stato multiplo: aggravio di burocrazia, perdita di vista della visione risk-based per passare a quella delle “check the box”, poca rilevanza con il passare del tempo di alcuni controlli tecnici.

Per concludere ben vengano le normative di compliance, perché spesso rappresentano un acceleratore per la sicurezza informatica e permettono ai CISO e DPO di porre il tema all’attenzione dei vertici dell’azienda; ma è importante sempre lavorare affinché Legislatori e Regolatori, sia a livello italiano che europeo, abbiamo un approccio “principle driven” non “technology driven”, con il rischio di definire ed imporre controlli tecnici che diventano immediatamente obsoleti con la sempre più rapida evoluzione tecnologia (vedi 5G e mobile, IOT, Cloud).

Autore: Corradino Corradi

Twitter
Visit Us
LinkedIn
Share
YOUTUBE