Quando si parla di Cyber Security ci si riferisce ad una branca della sicurezza informatica ed in particolare a strumenti e tecnologie la cui funzione è quella di proteggere i sistemi informatici dagli attacchi dall'esterno.
I riferimenti normativi e regolamentari da cui partire sono i seguenti:
- la ISO/IEC 27001 che specifica i requisiti per progettare, implementare, controllare, mantenere e migliorare un Sistema di Gestione della Sicurezza delle Informazioni (SGSI) documentato. Il SGSI delineato dalla ISO 27001 ha l’obiettivo di prevenire tutti i rischi dell’impresa legati alla sicurezza delle informazioni, anche attraverso l’implementazione di una serie di controlli indicati dalla norma;
- il Reg 2018/151 Regolamento di esecuzione (UE) della Commissione, del 30 gennaio 2018, recante modalità di applicazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio per quanto riguarda l'ulteriore specificazione degli elementi che i fornitori di servizi digitali devono prendere in considerazione ai fini della gestione dei rischi posti alla sicurezza delle reti e dei sistemi informativi e dei parametri per determinare l'eventuale impatto rilevante di un incidente;
- l’Art. 2 p.1 lett. a) Reg 2018/151 il quale stabilisce che, in una ottica risk based, occorra partire dalla gestione sistematica delle reti e dei sistemi informativi, ossia la mappatura dei sistemi informativi e la definizione di una serie di politiche adeguate in materia di gestione della sicurezza informatica, che tengano conto a) dell'analisi dei rischi, b) delle risorse umane, c) della sicurezza delle operazioni, d) dell'architettura di sicurezza, e) della gestione del ciclo di vita dei dati e dei sistemi protetti e, se del caso, la crittografia e la sua gestione;
- il Regolamento UE 2019/881 del Parlamento Europeo e del Consiglio del 17 aprile 2019 denominato Regolamento sulla cibersicurezza (o cybersecurity), entrato in vigore il 27 giugno 2019.
Di conseguenza, la sicurezza delle informazioni aziendali costituisce sia un obbligo normativo che un valore aggiunto (un asset) della Aziende/Pubbliche amministrazioni.
L'articolo continua dopo la pubblicità
Il mutato scenario della sicurezza informatica richiede un innalzamento della qualità in termini di risposte – da parte del Titolare del trattamento - che non può prescindere dal ricorso alle seguenti figure di professionisti, interne o esterne all’organizzazione, (l’elenco non è esaustivo):
1. ICT Security Manager (Manager della Sicurezza ICT) che gestisce la politica di sicurezza del Sistema di Informazioni.
2. ICT Security Specialist (Specialista della Sicurezza ICT) che propone ed implementa i necessari aggiornamenti della sicurezza.
3. Web Security Expert inteso come figura professionale che analizza il contesto IT di riferimento, valuta e propone l’opportuna politica di sicurezza in accordo con le policy aziendali e il contesto specifico.
4. Responsabile di sistemi per la gestione della sicurezza delle informazioni che è il soggetto delegato dalla direzione aziendale per il coordinamento della definizione, l'attuazione, il mantenimento e il miglioramento continuo del SGSI, conformemente ai requisiti della politica aziendale per la sicurezza ed alle norme vigenti.
AGID, in data 25.11.19, ha diramato un comunicato contenente informazioni e suggerimenti finalizzati ad arginare gli attacchi cibernetici effettuati attraverso l’inoltro di posta certificata e tramite email che alleghiamo in fondo a questo articolo
In estrema sintesi sulla base delle indicazioni AGID , il Titolare del trattamento dei dati personali dovrà agire su due distinte direttive:
• formare i lavoratori che operano su postazioni di lavoro informatiche;
• predisporre apposite policy di sicurezza aziendale cibernetica, con la conseguente – eventuale - ridefinizione degli accordi con i partner tecnologici che supportano la sua organizzazione in particolare a livello di: infrastruttura informatica, sistemi operativi e applicativi.
Tutto ciò al fine di riuscire a garantire la sicurezza delle reti, dei sistemi informativi e dei servizi informatici.