Implementazione di un modello organizzativo aziendale per la cybersecurity

L’instaurazione di un modello organizzativo cybersecurity conforme a quanto disposto dai principali standard internazionali in materia risponde all’esigenza di mitigare i rischi di natura informatica e contestualmente fornisce un vantaggio alle aziende in termini di business.


 

Nello scenario globale odierno, caratterizzato da un aumento costante delle minacce informatiche, l’implementazione di un modello organizzativo aziendale per la cybersecurity, calibrato sulle esigenze di business e aderente alle disposizioni normative sulla sicurezza informatica, risulta più che mai fondamentale.
Ciò al fine non solo di un’idonea definizione dei processi impattanti sui fattori esterni e interni dell’organizzazione, ma anche per rendere possibile l’attuazione e la formalizzazione di misure tecniche e organizzative adeguate, volte a mitigare i fattori di rischio incombenti sugli asset aziendali.

La Direttiva 1148/2016 (NIS), il Regolamento UE 679/2016 (GDPR) e le nuove disposizioni normative sul c.d. Perimetro di Sicurezza Nazionale Cibernetica permettono di veicolare l’adozione di una visione multidisciplinare della sicurezza informatica.
Quelle discipline che per loro stessa natura sono scevre da approcci tecnici forniscono alle aziende punti di vista diversi, atti a rafforzarne la conformità normativa e mitigarne i rischi informatici; simili prospettive dovrebbero essere integrate con l’approccio tecnologico, rafforzando la rilevanza del fattore umano nella sicurezza informatica, e quindi della sua estrinsecazione in termini organizzativi.

In tal senso, l’approccio del legislatore ai temi della sicurezza informatica è pregevole e considera decenni di evoluzione della disciplina in un’ottica di analisi dei rischi: tende a non imporre tassativamente misure di sicurezza ma guida le aziende verso un percorso di responsabilizzazione e, di conseguenza, verso la scelta delle migliori misure di sicurezza contro gli attacchi informatici. In tale ottica, secondo le normative afferenti alla sicurezza informatica, come ad esempio, lo standard internazionale ISO/IEC 27001:2013, le misure di sicurezza tecniche e organizzative devono essere definite sulla base di un’analisi del rischio accompagnata da un criterio di gradualità nella loro adozione.

Alla luce di quanto esposto, è evidente che l’instaurazione di un solido modello organizzativo basato sui principali standard internazionali in materia di governance aziendale risulta un vantaggio per le aziende nell’adempimento ai citati obblighi normativi.
Perimetro, GDPR, Direttiva NIS e in generale l’approccio del legislatore mostrano un’aumentata sensibilità nei confronti della cybersecurity e quanto essa sia rilevante non solo sotto un profilo tecnologico ma anche – e soprattutto – umano e organizzativo.

Condividi

Condividi

Francesco Capparelli

Interessato alla
Masterclass?

Iscriviti

Potrebbe interessarti anche