Categorie
Case Studies News

La Sicurezza Informatica in Italia: Normative e Framework

In un’era in cui la digitalizzazione permea ogni aspetto della nostra vita quotidiana e lavorativa, la sicurezza fisica e logica assume un ruolo cruciale nella protezione dei dati e delle infrastrutture critiche. Per le aziende italiane, navigare nel panorama della cyber security significa comprendere sia le entità che sovrintendono a questo settore sia le normative e i framework di sicurezza informatica a cui devono conformarsi.

In particolare nei successivi paragrafi capiremo quali sono le normative obbligatorie per le aziende italiane e quali sono i framework più utilizzati e affidabili per rispettarle e faremo un breve excursus su quali siano le organizzazioni di riferimento.

Le aziende italiane devono destreggiarsi in un complesso e frammentario panorama di normative sia a livello nazionale che internazionale.

Normative e Regolamenti Obbligatori per le Aziende Italiane

  • GDPR (Regolamento Generale sulla Protezione dei Dati): Il GDPR ha un impatto diretto sulle aziende italiane in termini di gestione e protezione dei dati personali. Il regolamento obbliga tutti i titolari del trattamento dei dati (anche con sede legale fuori dall’UE) che trattano dati di residenti nell’UE ad osservare e adempiere agli obblighi previsti.
  • Direttiva NIS (Network and Information Security): Alla sua seconda edizione (NIS 2) questa direttiva si concentra sulla sicurezza delle reti e delle informazioni. Richiede agli stati membri di garantire un livello adeguato di sicurezza delle infrastrutture e degli ambienti IT e OT.
  • Codice dell’Amministrazione Digitale (CAD): Specifico per l’Italia, il CAD stabilisce le regole per l’informatica nelle Pubbliche Amministrazioni. Ha, però, ripercussioni anche sulle aziende private, in particolare per quanto riguarda l’interazione digitale con gli enti pubblici.
  • Legge 81/2008 sulla sicurezza sul lavoro: Anche se non specifica per la sicurezza informatica, questa legge include disposizioni relative alla sicurezza dei lavoratori che si estendono alla sicurezza informatica, specialmente per quanto riguarda il telelavoro e l’uso di dispositivi digitali.
  • Direttiva eIDAS (Electronic Identification and Trust Services for Electronic Transactions in the Internal Market): Stabilisce un quadro normativo per l’identificazione e i servizi fiduciari per le transazioni elettroniche nel mercato interno. Questa direttiva mira a incrementare la sicurezza delle transazioni elettroniche attraverso l’uso di firme elettroniche, sigilli elettronici, servizi di tempo elettronico e altri servizi
  • Regolamentazioni settoriali specifiche: Alcuni settori sono soggetti a regolamentazioni specifiche che includono requisiti di sicurezza informatica e protezione dei dati. Ad esempio, il settore finanziario e quello sanitario hanno regolamenti dedicati che impongono standard di sicurezza elevati per la protezione dei dati sensibili.

La conformità a tali regolamenti è essenziale per non incorrere in illeciti, in multe salatissime, in danni alla reputazione, perdite di dati e interruzioni dell’attività lavorativa.

Fonte: SocialB Digital Marketing

Framework di Sicurezza

Esiste una vasta gamma di obblighi normativi e standard di settore che le aziende italiane devono considerare per garantire la sicurezza delle informazioni, delle infrastrutture digitali e dei dati personali.

Per conformarsi alle normative e proteggere efficacemente le proprie risorse, le aziende italiane possono adottare diversi framework di sicurezza, i principali sono:

  • ISO/IEC 27001: Uno standard internazionale che fornisce i requisiti per un sistema di gestione della sicurezza delle informazioni (SGSI). Aiuta le organizzazioni a proteggere le informazioni in modo sistematico e costante, garantendo al Cliente finale la sicurezza dei dati.
  • NIST Cybersecurity Framework: Questo framework offre linee guida volontarie per aiutare le organizzazioni a gestire e ridurre il rischio informatico.

L’adozione di questi framework non è solo una questione di compliance alle normative, ma rappresenta anche una buona pratica per costruire una cultura aziendale solida in materia di sicurezza informatica, essenziale per proteggere i dati e la reputazione in un mondo sempre più connesso.

Altri framework e standard da prendere in considerazione:
  1. Framework MITRE (ATT&CK): è uno schema globale utilizzato per descrivere il comportamento degli avversari cibernetici. ATT&CK serve come base di conoscenza di tattiche, tecniche e procedure (TTP) utilizzate dagli aggressori durante le fasi di un attacco informatico.
  2. CIS Controls (Center for Internet Security): sono una serie di azioni prioritarie e pratiche che offrono una difesa specifica contro le minacce più pervasive. Sono progettati per essere applicabili a una vasta gamma di organizzazioni e per aiutare a prevenire gli attacchi informatici più comuni.
  3. PCI DSS (Payment Card Industry Data Security Standard): è uno standard di sicurezza legato alla Direttiva eIDAS, per i pagamenti elettronici. È obbligatorio per le aziende che elaborano, memorizzano o trasmettono informazioni sulle carte di credito.
  4. COBIT (Control Objectives for Information and Related Technologies): un framework per la gestione IT che consente ai manager di colmare il divario tra i requisiti di controllo, gli aspetti tecnici e i rischi di business.
  5. ISO/IEC 27002: è una raccolta di best practices che possono essere adottate per soddisfare i requisiti della norma ISO/IEC 27001 al fine di proteggere le risorse informative. Non è certificabile in quanto raccolta di raccomandazioni.
  6. ISO/IEC 27017 e ISO/IEC 27018: questi sono standard specifici che forniscono linee guida sulla sicurezza delle informazioni per i servizi in cloud. ISO/IEC 27017 si concentra sulla sicurezza del cloud, mentre ISO/IEC 27018 si concentra sulla protezione dei dati personali nel cloud.
  7. ITIL (Information Technology Infrastructure Library): orientato alla gestione dei servizi IT.
Normative e Framework per la sicurezza informatica
Fonte: Sprinto

L’impiego di questi sistemi ausiliari per la sicurezza aziendale dipende dagli obiettivi specifici dell’organizzazione, dal settore di appartenenza, dalle normative applicabili e dalla maturità della security posture a cui si aspira.

Spesso le aziende implementano un mix di questi standard per creare un approccio olistico e multistrato alla sicurezza delle informazioni.

Agenzie ed Enti Preposti alla Cybersicurezza

A livello nazionale:
  • ACN (Agenzia per la cybersicurezza nazionale): Istituita nel 2021, l’ACN rappresenta il punto di riferimento in Italia per le strategie nazionali sulla sicurezza informatica. Coordina le iniziative per la protezione delle infrastrutture critiche nazionali, in particolare delle aziende pubbliche e private.
  • CERT-AgID (ex CERT PA): Il Computer Emergency Response Team si occupa di prevenire e gestire gli incidenti informatici che riguardano le amministrazioni pubbliche italiane. Funge da supporto tecnico e operativo e da promoter di iniziative di cybersecurity awareness.
Fonte: Strategia Nazionale di Cybersicurezza 2022-2026
A livello internazionale:

Esistono numerose altre entità importanti a livello globale che si occupano di cybersecurity, ognuna con ruoli, focus e ambiti di intervento specifici.

ALTRI ENTI DA CONOSCERE:
  1. CISA (Cybersecurity and Infrastructure Security Agency): Ente federale degli Stati Uniti che lavora per migliorare la sicurezza delle infrastrutture critiche e la resilienza cibernetica. Ha un’influenza a livello globale in particolare sulla threat intelligence.
  2. NIST (National Institute of Standards and Technology): Agenzia del Dipartimento del Commercio degli Stati Uniti che sviluppa standard, linee guida e altre risorse per aiutare le organizzazioni a migliorare la loro sicurezza informatica.
  3. CSIRT-Italia: è il team nazionale di risposta agli incidenti informatici che opera come punto di riferimento centrale per la gestione delle emergenze informatiche a livello nazionale; è gestito da ACN.
  4. Polizia Postale: La Polizia Postale e delle Comunicazioni italiana si occupa della sicurezza, della prevenzione e del contrasto dei crimini online.
  5. ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information): L’agenzia nazionale francese per la sicurezza dei sistemi informativi svolge un ruolo simile a quello dell’ACN. Offre supporto e consulenza in materia di sicurezza informatica per le entità governative e il settore privato.
  6. BSI (Bundesamt für Sicherheit in der Informationstechnik): Funge da autorità nazionale in materia di sicurezza informatica. Offre servizi di consulenza e supporto per proteggere le infrastrutture IT critiche.
  7. Europol EC3 (European Cybercrime Centre): Si concentra sulla lotta alla criminalità informatica all’interno dell’Unione Europea, fornendo supporto alle indagini, analisi delle minacce e facilitando la cooperazione tra le forze dell’ordine degli Stati membri.
  8. INTERPOL Global Complex for Innovation (IGCI): Una divisione di INTERPOL con sede a Singapore che si concentra sulla lotta ai crimini informatici a livello internazionale attraverso la formazione, il supporto alle indagini e la facilitazione della cooperazione tra le forze di polizia di diversi paesi.

Queste sono solo alcune delle molte organizzazioni che contribuiscono a contrastare le minacce informatiche e migliorare la resilienza dei perimetri delle singole aziende e dei perimetri nazionali e internazionali.

Normative e Framework per la sicurezza informatica, conclusioni:

Per rispettare le normative, i regolamenti obbligatori e i framework di sicurezza informatica, molte aziende trovano necessario e/o vantaggioso collaborare con fornitori specializzati in soluzioni e servizi di sicurezza informatica e IT management. Security Architect srl offre expertise, strumenti e servizi aggiornati che aiutano a navigare la complessità della sicurezza informatica, garantendo al contempo che le pratiche adottate siano conformi agli standard richiesti.

La decisione di avvalersi dei servizi di un’azienda specializzata dipende da vari fattori, inclusa la dimensione dell’azienda, la complessità dell’infrastruttura IT, le risorse interne e le competenze specifiche nel campo della sicurezza informatica.

Servizi cosigliati per rispettare Normative e Framework per la sicurezza informatica:
  • Vulnerability Assessment e pen testing: per identificare vulnerabilità e lacune nella sicurezza.
  • Assessment su conformità e governance: per valutare la security posture aziendale e assicurare la compliance alle normative obbligatorie.
  • Gestione delle identità e degli accessi (IAM): per garantire che solo gli utenti autorizzati possano accedere a informazioni sensibili.
  • Protezione dal malware e gestione delle minacce: per difendere contro software dannosi e attacchi informatici.
  • Sicurezza dei dati e crittografia: per proteggere le informazioni sensibili, sia in transito che inattive.
  • Formazione sulla consapevolezza della sicurezza: per educare i dipendenti sui rischi di sicurezza e le best practice.

Contattaci per iniziare un percorso di miglioramento della security posture verso la compliance alle normative.

Pinnacle Award a Cisco EVE: sicurezza e visibilità nel traffico criptato
Blog News

Pinnacle Award a Cisco EVE: sicurezza e visibilità nel traffico criptato

Nel settore della cybersecurity, la visibilità del traffico di rete è cruciale. Tuttavia, il traffico crittografato rappresenta una sfida significativa: come garantire la sicurezza senza compromettere la privacy? Cisco ha risolto questo dilemma...
Leggi tutto
Ransomware: perdite in crescita del 500% a causa dell’autenticazione obsoleta
Case Studies News

Ransomware: perdite in crescita del 500% a causa dell’autenticazione obsoleta

Introduzione: Prima di introdurre le nuove soluzioni di autenticazione multi-fattore illustriamo i metodi obsoleti di autenticazione, come: Autenticazione basata sulla conoscenza - KBA (es. domande di sicurezza) Token Hardware (dispositivi fisici che generano...
Leggi tutto
CISCO Cyber Vision per l’Operational Technology
Blog

CISCO Cyber Vision per l’Operational Technology

La Tecnologia Operativa (Operational Technology) include l'hardware e il software dedicati alla modifica, al monitoraggio o alla gestione dei dispositivi fisici e dei processi produttivi di un'azienda. Questi sistemi, a differenza delle tradizionali...
Leggi tutto
Apulia Cybersecurity Summit, Next-Gen Solutions – Bari, 7 Giugno 2024
Eventi

Apulia Cybersecurity Summit, Next-Gen Solutions – Bari, 7 Giugno 2024

Venerdì 7 giugno 2024, presso l'esclusivo UNAHOTELS Regina di Bari, si è tenuto con successo l'Apulia Cybersecurity Summit - Next-Gen Solutions, organizzato da Security Architect srl con il patrocinio di Ingram Micro e...
Leggi tutto
Sicurezza e Conformità nel Settore Alberghiero con Cisco Meraki
Blog Case Studies

Sicurezza e Conformità nel Settore Alberghiero con Cisco Meraki

Massimizzare Security e Compliance Nell'era digitale, gli hotel non si limitano a garantire comfort e accoglienza, ma sono tenuti a fornire anche la massima sicurezza informatica e a rispettare le normative sulla protezione...
Leggi tutto
Leave this field blank
Leave this field blank

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *