Governance della cybersecurity: guida per le aziende

Governance della cybersecurity e riferimenti normativi

La funzione di governance della cybersecurity è riconosciuta sia dalla normativa speciale in tema di cybersecurity:

che dalla disciplina sulla privacy di cui al GDPR (Regolamento (EU) n. 2016/679). Quest’ultima, come noto, ha ad oggetto la protezione dei diritti e delle libertà fondamentali della persona fisica in relazione al trattamento dei dati personali, mentre la cybersecurity ha uno scopo più ampio perché è intesa a proteggere anche altri tipi di dati, quali: la proprietà intellettuale, le informazioni strategiche e sulla clientela, il “know-how” aziendale.

Il ruolo anticipatore del Gdpr nella governance dei dati

Vale la pena di ricordare che anche solo il Gdpr, prima ancora che la normativa sulla cybersecurity, istituisce, ai fini in esame, un chiaro obbligo da parte degli enti di trattare i dati (personali) in modo da proteggerne la confidenzialità, l’integrità e la disponibilità degli stessi.

Strumentale a ciò è l’adozione di adeguate misure tecnico-organizzative anche (ma non solo) di cybersecurity che si pongono naturalmente quali precursori del modello organizzativo che la cybersecurity ora richiede alle aziende. Segnatamente, secondo il GDPR:

a) i dati personali devono essere trattati in maniera da garantire un’adeguata sicurezza, “compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali“ (art. 5, para. 1, lett. f);

b) “il titolare del trattamento mette in atto misure tecniche e organizzative adeguate” (art. 25, comma 1);

c) “il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio” comprendenti, fra l’altro: “c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento” (art. 32).

Modello organizzativo e componenti della governance della cybersecurity

La governance della cybersecurity implica l’istituzione di un vero e proprio modello organizzativo. Un ecosistema aziendale con obiettivi, ruoli, responsabilità, processi e procedure per la sicurezza delle informazioni e la continuità operativa dell’organizzazione.

Non è solo un sistema basato su misure tecniche, ma un approccio strategico che coinvolge l’intera organizzazione: dall’organo amministrativo, in primis, al personale e i fornitori.

Tra i compiti di questa nuova branca della corporate governance rientrano:

• l’identificazione dei rischi, interni ed esterni all’azienda;
• la definizione dei ruoli e dell’organizzazione del sistema della sicurezza delle informazioni;
• la definizione di politiche e procedure di sicurezza per la gestione delle informazioni, la protezione dei sistemi e la risposta agli incidenti;
• la gestione dei rischi, mediante l’adozione di idonee misure per mitigare i rischi identificati;
• la formazione degli organi apicali e del personale sui rischi informatici e le buone pratiche di sicurezza;
• l’adozione di appropriate e specifiche misure tecniche di cybersicurezza in funzione delle caratteristiche dell’azienda (segregazione delle reti, misure di analisi preventiva e di rilevazione, ecc.);
• il monitoraggio e la valutazione continua delle minacce di sicurezza e delle vulnerabilità dei sistemi con relativo aggiornamento;
• la gestione dei fornitori sia di servizi /prodotti ICT che di altri servizi che interagiscono con la rete aziendale;
• la risposta agli incidenti, mediante la definizione di piani per la gestione degli incidenti di sicurezza, incluso il ripristino dei sistemi compromessi.

Governance obbligatoria e diligenza degli organi amministrativi

La disciplina in materia di cybersecurity, come noto, trova applicazione per “settori”, non è una normativa di carattere generale. Gli ambiti maggiormente a rischio per la sicurezza dei cittadini e le infrastrutture strategiche del paese sono già stati identificati. Tuttavia, si deve ritenere che la stessa debba trovare applicazione, anche secondo le best practice, nei confronti di tutte le aziende e in ogni settore, sia pure in proporzione alle dimensioni e alla natura di ogni impresa.

Costituisce, infatti, “fatto notorio”, quindi circostanza non ignorabile da nessuno, che il rischio cyber sia uno dei maggiori a livello mondiale. Di conseguenza, gli organi amministrativi, che hanno uno specifico obbligo di agire con diligenza, devono valutare il rischio cyber e adottare le misure tecnico/organizzative ritenute congrue al fine di preservare il valore e la continuità aziendale.

Minacce interne e misure organizzative nella governance

I rischi per la sicurezza dei dati aziendali possono derivare non solo dall’ambiente esterno, ma anche dall’interno. Questi ultimi vengono spesso sottovalutati. Si tratta di rischi legati al personale (dipendenti, inclusi gli ex dipendenti, e collaboratori), nonché, in senso lato, i fornitori dell’azienda.

In particolare, i dipendenti “distratti” che non adottano le misure di igiene informatica prescritte dal datore di lavoro, oppure “arrabbiati” con l’azienda (magari per un mancato avanzamento di carriera) costituiscono una possibile vulnerabilità endemica che non sempre è facilmente risolvibile.

Contro tale criticità, oltre ad intensificare la formazione aziendale e “nutrire” il senso di appartenenza all’azienda, pare utile ricorrere sempre più ai sistemi di monitoraggio/rilevazione del traffico (nei limiti consentiti dalla legge) e del “dark web”, rafforzando le sanzioni disciplinari e contrattuali in caso di mancato rispetto.

Integrazione della governance della cybersecurity nella strategia aziendale

In un sistema economico dove i dati sono alla base di molti modelli di business, sia nuovi che quelli tradizionali “rivisitati”, la tutela dei dati aziendali è al cuore della strategia di ogni impresa e deve rientrare nel piano industriale al pari di ogni fattore strategico per il raggiungimento degli obiettivi prefissati.

La governance della cybersecurity, che unisce la parte cybersecurity alla corporate governance, serve proprio a questo scopo.