Cyber Crime e Compliance al Polimi

di | 9 February 2017

I titoli dei giornali vanno agli attacchi del Cyber Crime, ma alla fine la Compliance è ancora la principale leva di spesa in Sicurezza IT, almeno per le PMI. E’ quanto emerge dalla Ricerca 2016 dell’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano, presentata il 2/2 al convegno “Cyber Crime: la minaccia invisibile che cambia il mondo”.

Alessandro Piva (Direttore dell’Osservatorio) ha passato in rassegna il mercato italiano della IT Security, che vede una crescita del 5% (allineato alla media mondiale), continua ad essere concentrato sulle grandi aziende (74% della spesa) ma mostra segnali di consapevolezza anche da parte delle PMI, il 93% delle quali ha speso qualcosa; poco, ma hanno speso, per cui vorrà dire che almeno si sono poste il problema. L’aspetto preoccupante che sembra emergere è l’approccio tradizionale della maggior parte delle attività: identity management, identificazione degli attacchi, analisi di processo convenzionali; assenza insomma di iniziative innovative. Scarsa anche la consapevolezza organizzativa: ancora pochi i CISO, la maggior parte dei quali risponde agli IT manager. Inadeguate anche le misure di sensibilizzazione: quasi tutte le grandi imprese ne fanno, ma in larga misura si tratta di mail periodiche; solo il 28% ha in campo progetti strutturati di sensibilizzazione o vulnerability assessment sui dipendenti.

Cinque aspetti (cloud, mobile, IOT, intelligence e insurance) sono stati approfonditi dalla Ricerca. Nel CLOUD prevale un atteggiamento difensivo, che dubitando della sua affidabilità sotto il profilo sicurezza ne limita l’utilizzo. La scarsa visibilità sulle policy attuate dai fornitori (e su eventuali attacchi subiti e non dichiarati dai provider) resta un impedimento, che sembra tuttavia in fase di superamento grazie alla maturità delle garanzie presentate dall’offerta. Nel MOBILE la grande pervasività dello smart working ha spinto correttamente le imprese ad adottare largamente soluzioni MDM ed a considerare adeguatamente il fattore umano. Il tema della sicurezza per l’IOT è molto dibattuto (40% in valutazione) ma ha condotto sinora all’adozione di poche misure (13% in azione). Sul terreno della CYBER INTELLIGENCE il 68% del campione fa analisi delle minacce ma prevalentemente ex-post, solo il 20% ex-ante per prevenirle. Infine il campo della CYBER INSURANCE vede una adozione ancora limitata di coperture assicurative specifiche, soprattutto a causa dell’impreparazione riscontrata fra i player sul lato dell’offerta.

Come accennavo all’inizio, può sembrare paradossale che le aziende decidano di proteggere i propri dati solo perché lo chiede la normativa, ma sappiamo che è così: lo dimostrano le risposte date dalle PMI. E allora, se l’adeguamento normativo resta la motivazione principale di spesa, percorriamo con Gabriele Faggioli (Responsabile Scientifico dell’Osservatorio) l’evoluzione del quadro normativo e le sue implicazioni per le imprese.

C’è un tratto comune che ritroviamo in quattro normative europee che insieme costituiranno nel 2018 il Framework europeo per la sicurezza  (GDPR, EIDAS, Direttiva NIS e Direttiva Criminal Offences): è la richiesta dell’adeguatezza delle misure, basata sulla Valutazione del Rischio. Il percorso normativo che condurrà al 28 maggio 2018 è stato e sarà costellato da una serie di passaggi (Linee Guida del WP29, proposta di Regolamento E-Privacy, Leggi nazionali, Provvedimenti dei Garanti…) e sfocerà in una situazione ancora difficile da prevedere precisamente, caratterizzata da convivenza fra vecchio e nuovo. Fino a quella data il GDPR “non è applicabile” ma ci sono alcuni aspetti dai quali non si può prescindere già oggi: ad es. la progettazione di nuovi prodotti/servizi, che sarà bene concepire sin d’ora secondo la Privacy by design; oppure i contratti pluriennali sottoscritti nei prossimi mesi, che dovranno già essere GDPR-ready, per evitare di doverli riscrivere a maggio.

Fra le Linee guida già emesse, tutti stanno guardando a quella sul DPO, ma andrebbe tenuta in considerazione anche quella sulla Portabilità, tema che rischia di trovare impreparate molte realtà. E a proposito di preparazione, quale è il grado di readiness rilevato dalla Ricerca? Il 46% delle grandi aziende è già partito e il dato è in forte accelerazione negli ultimi mesi. Nelle PMI l’aspetto normativo è sentito ma è meno presidiato, sicuramente dovranno ricorrere alle semplificazioni previste dai Codici di Condotta. Ma anche le grandi imprese non sono poi messe così bene: il 50% non ha ancora definito un BDG, quindi dovrà fare tutto nel 2018. Il 45% non prevede alcun cambiamento organizzativo: evidentemente non hanno sentito parlare del DPO… a tale proposito attenzione alle LG del WP29, che hanno dato un’interpretazione alquanto estensiva dei criteri di obbligatorietà della designazione. Si tratta di una figura assai delicata, che le realtà complesse farebbero bene a tenere al loro interno, mentre il ricorso ad un DPO esterno resta un’opzione valida per soggetti più piccoli.

Come fa sempre, Faggioli ha lanciato anche un suggerimento tutt’altro che scontato a proposito di cambiamenti organizzativi: la figura del Responsabile interno è destinata a scomparire (sic), lasciando sul campo solo i Titolari e i Responsabili esterni, per i quali è prevista la responsabilità solidale con il Titolare.

Nel seguito della mattinata le tematiche al centro della Ricerca sono state affrontate a più voci in tre tavole rotonde, che hanno visto confrontarsi esponenti della domanda ed importanti player dell’offerta.

La conclusione è stata affidata ad Alessio Pennasilico (Direttivo del Clusit) che non ha smentito la sua fama di “provocatore” (nel senso di uno che offre punti di vista originali ed inconsueti). E quindi: ormai lo sappiamo tutti che le informazioni sono un asset importante per l’azienda, ma allora perché non c’è una voce in bilancio che le rappresenti? E perché posso ammortizzare un furgone ma non un assessment 27001? E’ giunta l’ora che le aziende comincino a rendersi conto del costo rappresentato dalla perdita di un singolo dato: un record dell’anagrafica clienti può valere mediamente 150$ (nella sanità molto di più) ma gli incidenti costano soprattutto in termini di interruzione del servizio, spese per rimediare all’incidente, danni di immagine e reputazione e non ultime, sanzioni. L’obbligo della notifica dei Data Breach introdotto dal GDPR farà emergere il fenomeno dall’ombra.

Allora cosa fare? Acquisire consapevolezza (sia al top che ai livelli operativi) e adottare un framework di governance del cyber risk (dentro al quale correlare le istanze organizzative, tecnologiche, procedurali, di compliance e di audit). Ma soprattutto capire che è colpa nostra se il board si annoia quando parliamo di security e non trova mai i fondi per le contromisure: finché ci limiteremo all’analisi qualitativa del rischio (probabilità, impatto, semaforo verde giallo e rosso) la domanda sarà “quanto costa contrastare almeno le minacce col semaforo rosso?” e, qualunque sia la risposta, la conclusione sarà sempre “costa troppo”. Bisogna essere capaci di passare all’analisi quantitativa in modo da poter confrontare “quanto costa il danno” con “quanto costa prevenirlo“.

Un pensiero su “Cyber Crime e Compliance al Polimi

  1. silvia stefanelli

    ciao,
    grazie del commento!

    una domanda: nella ricerca ddell’Osservatorio c’è qualcosa che riguiardi nello specifico la Cyber Security in sanità?

    giovedì sono stata relatrice alla Sapienza ad un Congresso sul progetto di legge relativo alla responsabilità sanitaria
    (c.d. DDl Gelli che probabilmente diventerà legge martedì).
    ho parlato dell’impatto della nuova disciplina sulla sanità digitale
    nel mio intervento ho evidenziato un elemento – che secondo me è molto rilente – contenuto nell’art 1 del progetto di legge, dove si legge:
    “la sicurezza delle cure è parte costitutiva del diritto alla salute”
    in altre parole la sicurezza delle cure è tema oggi tutelato dall’art. 32 della Costituzione
    dal punto di vista giuridico questo cambia fortemente la prospettiva e la tutela

    quindi volevo sapere se ci sono dei dati sulla cybersecurity in sanità
    perchè volevo scrivere un articolo su questo tema

    ciao

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.