L’importanza di una compliance integrata legal-cybersecurity
L’odierno dinamismo delle aziende è caratterizzato da un notevole aumento delle minacce informatiche. Il problema riguarda sia le PMI sia le multinazionali, poiché tali rischi sono anche frutto della congiuntura creatasi su scala internazionale: l’emergenza sanitaria e l’affermazione di scenari riconducibili al cyberwarfare.
L’implementazione di un modello organizzativo aziendale per la cybersecurity, calibrato sulle esigenze di business dell’azienda e aderente alle disposizioni normative sulla sicurezza informatica, è fondamentale, non solo ai fini di un’idonea definizione dei processi impattanti sui fattori esterni e interni dell’organizzazione, ma anche per rendere possibile l’attuazione e la formalizzazione di misure tecniche e organizzative adeguate, volte a mitigare i fattori di rischio incombenti sugli asset aziendali.
Correlazioni tra framework legislativi: i vantaggi competitivi di una compliance integrata - La Direttiva 1148/2016 (NIS), il Regolamento UE 679/2016 (GDPR) e ora il D.L. 105/2019 sul Perimetro di Sicurezza Nazionale Cibernetico permettono di veicolare l’adozione di una visione multidisciplinare della sicurezza informatica. Quelle discipline che per loro stessa natura sono scevre da approcci tecnici forniscono alle aziende punti di vista diversi, atti a rafforzarne la conformità normativa e mitigarne i rischi informatici; simili prospettive dovrebbero essere integrate con l’approccio tecnologico, rafforzando la rilevanza del fattore umano nella sicurezza informatica, e quindi della sua estrinsecazione in termini organizzativi.
In tal senso, l’approccio del legislatore ai temi della sicurezza informatica è pregevole e considera decenni di evoluzione della disciplina in un’ottica di analisi dei rischi: tende a non imporre tassativamente misure di sicurezza ma guida le aziende verso un percorso di responsabilizzazione e, di conseguenza, verso la scelta delle migliori misure di sicurezza contro gli attacchi informatici.
ISO/IEC 27001:2013 e ISO 22301:2019: compliance benchmark e best practice - Il fil rouge che collega le normative afferenti alla sicurezza informatica è rappresentato dall’approccio risk-based: le misure di sicurezza tecniche e organizzative devono essere definite sulla base di un’analisi del rischio accompagnata da un criterio di gradualità nella loro adozione.
Alla luce di quanto esposto, è evidente che l’instaurazione di un solido modello organizzativo basato sui principali standard internazionali in materia di governance aziendale, in particolare per quanto riguarda la sicurezza delle informazioni (ISO/IEC 27001:2013) e la business continuity (ISO 22301:2019), risulta un vantaggio per le aziende nell’adempimento ai citati obblighi normativi.
Perimetro, GDPR, Direttiva NIS e in generale l’approccio del legislatore mostrano un’aumentata sensibilità nei confronti della cybersecurity e quanto essa sia rilevante non solo sotto un profilo tecnologico ma anche – e soprattutto – umano e organizzativo.
Un modello di gestione aziendale risk-based e un’identificazione puntuale di ruoli e responsabilità interne all’azienda incrementano considerevolmente i livelli di sicurezza aziendale.
L’idonea integrazione del principio cybersecurity by design nei processi aziendali consente una governance più competitiva e proiettata verso le sfide future che il mondo offre, che peseranno sul piatto della bilancia del business globale e della sicurezza nazionale e internazionale.
A cura di Francesco Capparelli, Chief Cyber Security Advisor di ICT Legal Consulting e Alessandro Fratini, Cyber Security Advisor di ICT Legal Consulting