Cybersecurity: nuove prospettive di compliance

Abstract

Norme comunitarie, norme nazionali e standard internazionali concorrono nel definire i requisiti che una moderna organizzazione deve avere per mitigare i rischi di compromissione dei propri asset, dati e informazioni.
L’esigenza di mitigare rischi di natura informatica si coniuga con i percorsi di compliance aziendali, in un connubio che consente alle aziende di raggiungere la conformità, sia alle norme sia agli standard in materia, acquisendo contestualmente un vantaggio in termini di business.

 

Nello scenario globale odierno, caratterizzato da un aumento costante delle minacce informatiche, l’implementazione di un modello organizzativo aziendale per la cybersecurity, calibrato sulle esigenze di business e aderente alle disposizioni normative sulla sicurezza informatica, risulta più che mai fondamentale.
Ciò al fine non solo di un’idonea definizione dei processi impattanti sui fattori esterni e interni dell’organizzazione, ma anche per rendere possibile l’attuazione e la formalizzazione di misure tecniche e organizzative adeguate, volte a mitigare i fattori di rischio incombenti sugli asset aziendali.

La Direttiva 1148/2016 (NIS), il Regolamento UE 679/2016 (GDPR) e ora il D.L. 105/2019 sul Perimetro di Sicurezza Nazionale Cibernetico permettono di veicolare l’adozione di una visione multidisciplinare della sicurezza informatica.
Quelle discipline che per loro stessa natura sono scevre da approcci tecnici forniscono alle aziende punti di vista diversi, atti a rafforzarne la conformità normativa e mitigarne i rischi informatici; simili prospettive dovrebbero essere integrate con l’approccio tecnologico, rafforzando la rilevanza del fattore umano nella sicurezza informatica, e quindi della sua estrinsecazione in termini organizzativi.

In tal senso, l’approccio del legislatore ai temi della sicurezza informatica è pregevole e considera decenni di evoluzione della disciplina in un’ottica di analisi dei rischi: tende a non imporre tassativamente misure di sicurezza ma guida le aziende verso un percorso di responsabilizzazione e, di conseguenza, verso la scelta delle migliori misure di sicurezza contro gli attacchi informatici.
In tale ottica, secondo le normative afferenti alla sicurezza informatica, come ad esempio, lo standard internazionale ISO/IEC 27001:2013, le misure di sicurezza tecniche e organizzative devono essere definite sulla base di un’analisi del rischio accompagnata da un criterio di gradualità nella loro adozione.

Alla luce di quanto esposto, è evidente che l’instaurazione di un solido modello organizzativo basato sui principali standard internazionali in materia di governance aziendale risulta un vantaggio per le aziende nell’adempimento ai citati obblighi normativi. Perimetro, GDPR, Direttiva NIS e, in generale, l’approccio del legislatore mostrano un’aumentata sensibilità nei confronti della cybersecurity ed evidenziano quanto essa sia diventata rilevante non solo sotto un profilo tecnologico ma anche – e soprattutto – umano e organizzativo.

Condividi

Condividi

Francesco Capparelli

Interessato alla
Masterclass?

Iscriviti

Potrebbe interessarti anche