Abbiamo già parlato dell’importanza dell’approccio al rischio per qualsiasi organizzazione seguendo la norma ISO 27013:2021 uscita lo scorso anno, ma è necessario effettuare un ulteriore passo per comprendere come un’organizzazione possa difendere il proprio business proprio grazie alla valutazione del rischio  elevata a livello Entreprise. Ancora una volta ci aiuta in questa spiegazione Federica Maria Rita Livelli consulente di Business Continuity & Risk Management certificata in Business Continuity, AMBCI BCI (UK) e CBCP DRI (USA), Risk Management FERMA Rimap ®.

La normativa italiana del Perimetro Nazionale di Sicurezza Cibernetica (PNSC – Legge 133/2019) fornisce chiare indicazioni non solo alle organizzazioni che sono dentro al perimetro ma potenzialmente a qualsiasi attore di mercato, per attuare una efficace difesa dalle minacce digitali. Se l’obiettivo ultimo è la resilienza, ossia la capacità di restare oiperativi sotto attacco, llora questa capacità deve essere costruita mediante una iniziale analisi del rischio e la progressiva attuazione di misure preventive di protezione, parallelamente allo sviluppo della capacità di individuazione di incidenti informatici e della correlata capacità di risposta e di recupero secondo le indicazioni del framework di Cybersecurity del NIST (NIST CF), ovvero della sua trasposizione italiana Framework Nazionale di Cybersecurity. Il fine ultimo è allineare gli obiettivi di sicurezza informatica agli obiettivi di business realizzando la business continuity a garanzia della resilienza di una organizzazione in qualsiasi condizione operativa per essere veramente efficaci nella protezione del business. Chiediamo quindi a Federica Maria Rivelli come dovrebbe procedere una organizzazione dato che per molte la conoscenza e implementazione della normativa ISO 27001 è legata solo a temi di compliance.

Quali sono gli elementi cruciali della normativa del Perimetro Nazionale di Sicurezza Cibernetica (PNSC)?

La normativa del Perimetro di Sicurezza Nazionale Cibernetica si prefigge ad assicurare la sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori pubblici e privati aventi una sede nel territorio nazionale, che esercitano le cosiddette funzioni o servizi essenziali dello Stato. Di fatto con il PNSC si vuole sottolineare l’importanza strategica di difendere gli asset particolarmente critici. Innalzare il livello di cybersecurity significa garantire la sicurezza dello Stato. La norma si ispira fortemente al NIST Cybersecurity Framework (NIST CF), conservandone la struttura e la ripartizione in funzioni, categorie e sottocategorie di controlli di sicurezza, mantenendo però una forte consapevolezza del contesto e del tessuto produttivo nazionale, profondamente diverso da quello statunitense sia in termini di digitalizzazione, sia in termini di tipologie di organizzazioni.

In che modo la ISO 27001 può essere messa in relazione con il framework nazionale per la cybersecurity derivato dal NIST CF visto che il Framework è richiesto dalla normativa mentre molte aziende avevano ISO 27001 già da prima della normativa PNSC?

È doveroso ricordare che sia il NIST CF sia la ISO 27001 sono complementari ed entrambi richiedono il supporto dell’alta dirigenza, un processo di miglioramento continuo e un approccio basato sul rischio, oltre ad avere controlli in comune. Pertanto, si può affermare che quando un’organizzazione ha implementato la ISO 27001, ha praticamente raggiunto il 60% del NIST CF, mentre, se si è implementato NIST CF, si è al 78% di implementazione della ISO 27001. Ne consegue che, essendo il PNSC impostato sul NIST CF, anche quelle organizzazioni che avevano la ISO 27001 prima dell’entrata in vigore della normativa, si troveranno facilitate e potranno avviare un approccio omnicomprensivo che attui una correlazione dei diversi strumenti: da un lato i modelli di gestione e di supporto (NIST CF, ISO 27001), dall’altro la normativa e la legislazione nazionale ed europea, che impongono l’adozione delle regole di sicurezza e quelle sul trattamento dei dati. Di fatto, così facendo, potranno contare su leve strategiche e sinergiche atte a garantire sia la resilienza delle organizzazioni sia la protezione del perimetro nazionale di sicurezza.

Perchè quindi a protezione del business è necessario ora più che mai adottare una Cybersecurity Strategy?

Le organizzazioni di qualsiasi settore e dimensioni devono sempre più confrontarsi con la gestione dei rischi cyber e, per poter essere competitive e resilienti, devono essere protagoniste del cyberspace. Pertanto, per farlo, devono agire con piena consapevolezza delle problematiche di cybersecurity.

Per raggiungere questa maturità occorre, indipendentemente dalla dimensione della organizzazione, predisporre una cybersecurity strategy che attinga ai vari standard e linee guida della cybersecurity come suggerisce la nuova norma.

Le organizzazioni devono essere maggiormente in grado di acquisire consapevolezza partendo dai propri obiettivi di business. Si tratta di identificare le informazioni ed i servizi critici per il business, rendendo la cybersecurity parte integrante della propria cultura e considerando quali impatti sulla cybersecurity possono avere le decisioni prese dall’organizzazione.

Pertanto, la cybersecurity non può essere considerata solo a posteriori, bensì deve essere integrata nelle priorità del business sin dall’inizio. Essa non può limitarsi alla gestione del rischio o essere affidata ai soli esperti di tecnologia, deve essere responsabilità di tutti. Risulta quanto mai necessario affrontare e gestire la cybersecurity come un vero e proprio processo di sviluppo che porti alla realizzazione di un programma strutturato di sicurezza e resilienza aziendale. Il che presuppone, inevitabilmente, una governance stringente in ottica cybersecurity e la valorizzazione delle risorse umane con competenze cyber (in termini di talenti e di esperienze)

Ci sono best practice che lei consiglia di seguire per adottare la norma ISO 27013: 2021 in modo che il cyber risk sia gestito in modo integrato con un approccio risk & resilience-based”?

A seguito dell’ottiva strategica, la correlata tattica prevede l’implementazione della ISO 27013:2021, che può convertirsi in una leva strategica dato che evidenzia come il cyber risk debba essere gestito in modo integrato con un approccio risk & resilience-based. In questo sarà possibile creare un ecosistema più flessibile e sicuro, capace di anticipare, resistere e riprendersi da eventi cyber avversi e inattesi che possono compromettere l’operatività dell’organizzazione sotto diversi aspetti, quali:

• Strategico: tutti i sistemi sono da considerarsi parte di un sistema di gestione aziendale globale, contribuendo al miglioramento continuo dei risultati dell’organizzazione. Obiettivi e piani devono essere coerenti e collegati al piano aziendale complessivo.
• Gestionale: si evita la creazione di sistemi di gestione ” isolati” per i servizi ICT e la sicurezza delle informazioni, concentrandosi come parti di una gestione integrata all’interno dell’organizzazione. L’unificazione di obiettivi e finalità contribuisce a un approccio al lavoro di squadra.
• Economico: sono prevedibili i risparmi sui costi motivati dall’eliminazione di compiti duplicati per processi come audit interni, controllo della documentazione, ecc.
• Operativo: la gestione integrata aiuta a garantire che tutte le conseguenze di qualsiasi azione vengano prese in considerazione. Ad esempio, una modifica alla progettazione di un servizio può influire non solo sulla sua qualità, ma anche sulla sicurezza delle informazioni correlate. Ovvero, un approccio più integrato alla gestione dei rischi aziendali.
• Strutturale: l’implementazione di un nuovo sistema di gestione sarà molto più semplice ed efficiente. Parimenti si evitano conflitti in termini di funzioni e responsabilità, in quanto il sistema integrato richiede la definizione chiara dei limiti di autorità e responsabilità.

Può fare un esempio pratico per far comprendere meglio in pratica come si dovrebbe procedere?

In particolare, quando si parla di cybersecurity è necessario partire dal censimento degli asset software e hardware, la gestione degli accessi, l’utilizzo delle password e implementazione di approcci zero-trust, ad esempio, dato che il business nell’era digitale richiede soluzioni basate su fondamenta solide, sicure e resilienti.

Come far diventare la Cybersecurity un elemento imprescindibile dell’azienda?

La cybersecurity deve diventare, una componente fondamentale del modello operativo e della cultura aziendale, pertanto, è quanto mai strategico e fondamentale:

• Garantire il numero di risorse adeguate, dotate di competenze specialistiche in grado di gestire la continua evoluzione della cyber security oltre a definire e comunicare a tutti i livelli organizzativi i ruoli e le responsabilità delle risorse.
• Il Top Management dovrà comprendere i rischi di cyber security che l’azienda deve gestire;
• Le soluzioni tecnologiche dovranno essere progettate, integrate e gestite tenendo conto degli aspetti normativi in termini di sicurezza e della privacy;
• L’azienda dovrà incentivare l’adozione di pratiche di sicurezza e di default sulle imprese e sui prodotti in cui investe;
• I rischi di terze parti dovranno essere gestiti in modo efficace.

 

È ulteriormente fondamentale e in accordo con Risk Manager, Business Continuity Manager e le altre funzioni preposte alla sicurezza aziendale, aggiornare e mettere in pratica i piani di risposta e di continuità aziendale al fine di riuscire a garantire la transizione verso un’organizzazione agile, flessibile ed anti-fragile. Solo attraverso una collaborazione “olistica” tra le varie funzioni di sicurezza si riuscirà a supportare l’organizzazione nel gestire efficacemente i cyber risk, sostenere meglio la sicurezza e mantenere la continuità aziendale, rispettando – al contempo – i propri obblighi nei confronti degli stakeholder aziendali. Ricordo che l’obiettivo finale è la resilienza, concepita come risultato di un calibrato processo di prevenzione, adattamento e “metabolizzazione” delle esperienze vissute, ovvero le cosiddette lesson learned scaturite anche da questa crisi contingente che possono essere ottimizzate attraverso l’implementazione della nuova ISO 27013.