L'integrazione del Framework Nazionale per la Cybersecurity e la Data Protection con la ISO/IEC 27701 e lo ISDP©10003
Il Global Risks Report 2020, emesso dal World Economic Forum nell’ambito dell’iniziativa “Global Risks”, segnala, per il 2020, un incremento atteso di Cyberattack. Si teme che non siano state prese sufficienti misure per contrastare il rischio cyber e che la comunità globale è generalmente mal posizionata per affrontare le vulnerabilità che hanno affiancato gli avanzamenti del XX secolo.
Oltre il 50% della popolazione mondiale è ora online, circa un milione di persone vanno online per la prima volta ogni giorno e due terzi della popolazione globale possiedono un dispositivo mobile. Se da un lato la tecnologia digitale sta portando enormi vantaggi economici e sociali per gran parte della popolazione, la mancanza di un quadro di governance globale della tecnologia rappresenta un rischio significativo.
Il quadro normativo nazionale ed europeo in tema di cybersecurity definisce in modo chiaro quali siano gli obblighi che le organizzazioni devono rispettare a fronte di un incidente di sicurezza, dettagliando cosa fare e quando farlo, lasciando tuttavia alle singole organizzazioni la scelta di come organizzare i propri processi interni per ottimizzare la gestione degli incidenti di sicurezza, nel rispetto della legge.
Il legislatore infatti, riconoscendo che rischi, minacce, vulnerabilità e tolleranze di rischio sono peculiari a ciascuna organizzazione, non impone le misure da adottare per la gestione del rischio cyber. Ciascuna organizzazione determina in autonomia le azioni da intraprendere, le priorità e l’entità degli investimenti necessari per ridurre e gestire tali rischi, in una logica classica di valutazione costi/benefici.
La cybersecurity è tuttavia un problema complesso che richiede l’attuazione di un modello strutturato di intervento per essere affrontato in modo efficace. Le organizzazioni devono necessariamente abbandonare la logica individualista e cooperare con le altre organizzazioni, affinché le esperienze di ciascuna siano portate a fattor comune, implementando processi organizzativi e tecnologici in grado di abilitare una tale vision.
La letteratura propone vari framework per il disegno e l’implementazione di sistemi di gestione per la cybersecurity, che potrebbero vantaggiosamente essere utilizzati da un’organizzazione per contrastare i rischi cyber.
Approfondiamo come gestire un evento di Data Breach e proponiamo l’applicazione del Framework Nazionale per la Cybersecurity e la Data Protection, integrandolo sia con le pratiche di sicurezza previste dallo standard internazionale ISO/IEC 27701 , sia con quelle dello Schema internazionale ISDP©10003 .
Lo schema di certificazione ISDP©10003 è stato analizzato nell’ambito dello Studio della Commissione Europea sui meccanismi di certificazione GDPR ex art.42 e 43, condotto dalla Tilburg University, che ne ha sancito la conformità allo scopo di cui all’art. 42 del GDPR.
In Italia nel 2015 è stato presentato il Framework Nazionale per la Cybersecurity, che è stato sviluppato dalla proficua collaborazione tra imprese private, accademia, enti pubblici. Esso si basa sul Framework del Nist, estendendolo con tre concetti (Priorità, Maturità, Contestualizzazioni) che lo rendono uno strumento di elevata efficacia applicativa:
I Livelli di Priorità (Alta; Media; Bassa) sono associati alle singole Subcategory e permettono di supportare le organizzazioni nella definizione del cronoprogramma da implementare per raggiungere il profilo atteso di cybersecurity.
I Livelli di Maturità, da specificare almeno per le Subcategory a priorità alta, consentono di valutare il grado di maturità raggiunto dallo specifico processo di sicurezza cui si riferiscono. Definiti secondo una scala crescente, abilitano percorsi incrementali di miglioramento.
Con la contestualizzazione si adatta il Framework alle caratteristiche della singola organizzazione, attraverso un processo di selezione delle Subcategory pertinenti, delle priorità, dei livelli di maturità.
La ISO/IEC 27701, che estende i controlli della ISO/IEC 27001 alla privacy, non è richiamata nel Framework, essendo stata pubblicata successivamente (ad agosto 2019) all’emissione dell’attuale Versione (2.0) del Framework, pubblicata a febbraio 2019, che, della famiglia ISO 27000, richiama solo la ISO/IEC 27001.
Il GDPR (all’art. 42) incoraggia l’istituzione di meccanismi di certificazione della protezione dei dati per dimostrare la conformità al GDPR dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento.
Le caratteristiche degli Organismi di Certificazione (OdC) che certificano la conformità dei trattamenti di dati personali conformi al GDPR sono stabilite al successivo art. 43 del GDPR, che chiarisce che tali OdC debbano essere accreditati conformemente alla ISO/IEC 17065, che definisce i requisiti propri degli OdC che certificano prodotti, processi e servizi.
La ISO/IEC 27001 (e la sua estensione ISO/IEC 27701) non sono però in linea con l’art. 43 del GDPR; infatti esse sono riferite a Sistemi di Gestione e, come tali, possono essere certificate da Organismi di Certificazione accreditati secondo la ISO/IEC 17021-1, che definisce i requisiti degli organismi che forniscono audit e certificazione di sistemi di gestione.
Per questo motivo si ritiene opportuno introdurre nel contesto del Framework anche lo schema ISDP©10003. (Vedasi tabella integrazione)