INTRODUZIONE
Gabriele Faggioli
Responsabile Scientifico Osservatorio information Security & Privacy, tecnico di Milano e presidente CLUSIT.
ABSTRACT
Il tema dell’information security e della gestione della privacy è sempre più attuale e non potrà che esserlo ulteriormente nel futuro. Quello che speriamo di aver traguardato con questa pubblicazione è una collezione di contributi e stimoli che portino ad una riflessione più approfondita e matura sul tema.
I sistemi connessi in rete e la crescita senza sosta del digitale, che permea ormai ogni momento della nostra vita, rendono il tema della protezione dei dati personali e della gestione della sicurezza sempre più attuale. L’Osservatorio Information Security & Privacy, che si occupa da anni delle tematiche relative a questo tema, porta il suo contributo in questa pubblicazione, da un punto di vista privilegiato di osservazione del mercato.
Il tema della gestione della sicurezza informatica e della privacy è intrinsecamente complesso e richiede competenze multidisciplinari per essere affrontato in modo esaustivo. La struttura della pubblicazione prova a rispondere ad entrambe le istanze, cercando di introdurre alcuni concetti di base nei primi capitoli, per poi entrare in modo più approfondito e verticale su specifici aspetti progettuali e normativi. Il contributo si avvale della presenza di svariati esperti del settore, che collaborano con l’Osservatorio per portare la propria esperienza.
La pubblicazione è suddivisa in tre parti, che toccano rispettivamente i seguenti argomenti: lo stato attuale e le leve di progettazione, le implicazioni dell’innovazione digitale sulla security, il quadro normativo e le linee guida di riferimento. I capitoli sono corredati da numerosi studi di caso relativi ad aziende utente che hanno voluto condividere le progettualità messe in campo, permettendo di completare le nozioni con esperienze concrete.
La prima parte, sullo stato attuale e le leve di progettazione, vuole essere un’introduzione alla tematica della gestione della sicurezza. Vengono dapprima delineati nel capitolo uno i principali trend che influenzeranno l’evoluzione del panorama della sicurezza nei prossimi mesi, in accordo con quanto emerso dalla Ricerca e identificato dai principali player del mercato dell’offerta. Nel secondo capitolo si introducono i principi di gestione della sicurezza informatica, interpretando lo stato di maturità delle organizzazioni italiane nell’approccio strategico al tema. Nel terzo capitolo si fornisce una fotografia dello stato attuale del mercato italiano, con una panoramica sulle scelte delle organizzazioni in termini di adozione di soluzioni tecnologiche e definizione di policy aziendali. Il quarto capitolo è dedicato ad un tema centrale nella gestione della sicurezza, quello del fattore umano, dal punto di vista delle azioni da intraprendere per garantire una corretta cultura delle persone nell’utilizzo dei servizi digitali. Il quinto capitolo approfondisce ulteriormente la tematica portando, a sostegno di quanto presentato nel capitolo precedente, evidenze sul tema delle campagne di phishing simulato. Il sesto capitolo tocca il molo del Chief Information Security Officer, le competenze necessarie ed i nuovi profili professionali per la gestione della sicurezza. Il settimo parla infine dello stato di attenzione delle piccole-medie imprese italiane, evidenziando elementi di ritardo e punti di miglioramento.
La seconda parte si occupa di indagare le implicazioni dell’innovazione digitale sulla gestione della sicurezza. L’ottavo capitolo analizza le opportunità derivanti dalla disponibilità di enormi moli di dati, i cosiddetti Big Data, ed il cambio di approccio nelle modalità di difesa delle aziende. 11 nono capitolo indaga i modelli di sicurezza necessari a gestire il cambiamento di paradigma introdotto dal Cloud Computing, che negli ultimi anni ha progressivamente portato all’esternalizzazione di parte dei sistemi informativi aziendali. Il decimo capitolo si occupa delle vulnerabilità introdotte dall’utilizzo di device mobili e del cambiamento nei nuovi modelli di lavoro dello smart working. L’undicesimo capitolo racconta le nuove sfide introdotte dal mondo dei dispositivi connessi dell’Internet of Things, che stanno cambiando ‘intere filiere di mercato. Il dodicesimo porta un contributo alla discussione sul tema dell’Industry 4.0, la fabbrica sempre più connessa e dotata di robot intelligenti, che richiede una sensibilità crescente nella progettazione di sistemi di sicurezza. Il tredicesimo indaga il mercato emergente legato all’assicurazione del rischio cyber, che risponde all’esigenza delle organizzazioni di dotarsi di strumenti di mitigazione e trasferimento del rischio in un mondo in cui l’innovazione digitale rende complesso identificare i punti di vulnerabilità aziendale.
La terza parte è dedicata al quadro normativo di riferimento con particolare attenzione rivolta alla nuova regolamentazione europea in materia di protezione dei dati (GDPR – General Data Protection Regulation). In particolare, l’analisi è rivolta alle grandi imprese e alle PMI e alle principali certificazioni che sarà possibile ottenere. Il capitolo quattordici indaga le principali novità introdotte dal GDPR e il cambiamento di filosofia orientato alla creazione di un sistema di governance dei dati personali, rispetto all’approccio normativo di tipo formalistico del passato. Il quindicesimo capitolo traccia una roadmap di adeguamento al Regolamento europeo, identificando le singole fasi ed entrando nel merito dei punti di attenzione e delle implicazioni organizzative e di processo. Il sedicesimo capitolo rilegge le novità normative dalla prospettiva del mondo delle piccole e medie imprese, analizzando i meccanismi che possono garantire la sostenibilità e l’efficacia dello sforzo necessario per l’adeguamento e la sua applicazione nell’operatività quotidiana. Il capitolo diciassette, infine, offre una panoramica delle certificazioni per le aziende, delle norme internazionali di riferimento per la sicurezza dei prodotti informatici, degli impatti economici di uno schema di certificazione e dei nuovi sviluppi a livello internazionale.
Il tema dell’information security e della gestione della privacy è sempre più attuale e non potrà che esserlo ulteriormente nel futuro. Quello che speriamo di aver traguardato con questa pubblicazione è una collezione di contributi e stimoli che portino ad una riflessione più approfondita e matura sul tema, che porti le organizzazioni a poter governare in modo proattivo le sfide che si presenteranno nei prossimi anni e, in definitiva, a aumentare l’attenzione, la cultura e la sensibilità sul tema.
È doveroso ringraziare i soggetti che a vario titolo permettono la realizzazione delle attività dell’Osservatorio: la community di aziende utente, che ci segue continuativamente nelle attività; i sostenitori della Ricerca, che ci permettono di poter esplorare ed analizzare questo mercato con una prospettiva vicina al mondo dell’offerta; i numerosi esperti che mettono a disposizione le proprie competenze per arricchire la discussione.
Infine ringraziamo il Gruppo Sole 24 Ore che ha pensato a noi per questa pubblicazione.
