Come dimostrare l’adeguatezza delle proprie misure tecniche ed organizzative?
Il GDPR ha introdotto il principio di accountability: è diventato quindi necessario essere in grado di dimostrare di aver adottato tutte le misure di sicurezza necessarie ed opportune, oltre che di gestirle correttamente lungo tutta la filiera. Quale il ruolo delle certificazioni, in particolare quelle di cybersecurity, in questo scenario? Quali processi o strumenti possono supportare l’organizzazione nel dimostrare la propria adeguatezza ai propri clienti, alle Autorità o all’Organismo di certificazione stesso?
La gestione di un incidente: le nuove sfide
Sono in aumento i tentativi di attacco e sono in aumento i conseguenti incidenti e data breach. La capacità di identificare e gestire un incidente è diventato oggi un asset essenziale per ogni organizzazione. E’, infatti, diventato necessario non solo identificare l’attacco, contrastarlo e mitigarne gli effetti, ma anche comunicare nel modo corretto con tutti gli stakeholder durante la gestione dello stesso.
Mentre, ad esempio, mentre il SOC collabora con le altre funzioni tecniche aziendali, diventa necessario veicolare le informazioni verso collaboratori, clienti, ove necessario o opportuno verso la Pubblica Autorità, i media, la compagnia assicuratrice, l’Autorità Garante per la protezione dei dati personali, lo CSIRT Italia, e qualsiasi ulteriore ente regolatore di riferimento per l’organizzazione vittima.
Quale il ruolo del CISO in questo scenario, in rapporto agli altri attori, quali gli strumenti e le accortezze da adottare al fine di mitigare l’impatto dell’incidente?
Proteggere le informazioni anche in cloud
Il numero di aziende che ha adottato strategie cloud only o cloud first è in costante aumento. La valutazione di adeguatezza di un fornitore è già un processo complesso: quando ci si trova a dover valutare tutto il contesto multicloud dell’organizzazione le variabili da analizzare aumentano. L’utilizzo, di servizi erogati o gestiti dall’esterno dell’UE pone, inoltre, la necessità di affrontare ulteriori rischi. Per questa ragione tecnologie di virtualizzazione, remotizzazione, crittografia, pseudonimizzazione, gestione degli accessi, zero trust diventano centrali per poter garantire la sicurezza dei dati affidati a fornitori terzi. Come affrontare il tema in modo strategico, in compliance con le norme cogenti? Quali sviluppi si prevedono per il futuro?
Cybersecurity: il nuovo assetto istituzionale e strategie
Nel corso della tavola rotonda saranno analizzate le ultime novità legislative e istituzionali che hanno dato sostanza al nuovo quadro normativo in materia di cybersecurity. In particolare, si discuterà del ruolo della Agenzia per la cybersicurezza nazionale, del perimetro nazionale di sicurezza cibernetica e del polo strategico nazionale.
PNRR: Cybersecurity e innovazione digitale (sicura). Come il PNRR può essere il volano per il mercato e per un approccio sicuro all’innovazione digitale
Nel corso della tavola rotonda sarà analizzato il contenuto del PNRR in materia di cybsersecurity non solo con riferimento al capitolo specifico ma anche con riferimento all’impianto generale che nel prevedere investimenti estremamente importanti in tema di digitalizzazione non può che sottendere a una evoluzione digitale sicura del nostro paese anche grazie a misure tecniche o organizzative d’avanguardia.
Cybersicurezza nazionale: aspetti normativi, prevenzione e modalità di comunicazione all’opinione pubblica
Gli ultimi mesi sono stati caratterizzati da alcuni casi clamorosi di attacchi informatici. Quali considerazioni si possono fare anche alla luce della strategia nazionale in materia di cybersecurity? Nel corso della tavola rotonda saranno svolte le considerazioni che si possono ricavare dai fatti accaduti dalla scorsa estate fino ad oggi. I risvolti normativi e sanzionatori sono una faccia della medaglia ma esistono poi una serie di riflessioni che possono riguardare, fra l’altro, le attività di prevenzione, reazione e contrasto agli attacchi, oltre a un piano di azioni su come gestire un incidente informatico dal punto di vista della comunicazione verso utenti e opinione pubblica (ad es., siti ad hoc, comunicati stampa, articoli...)
Speaker:
Massimo Fedeli, CIO, ISTAT
Guido Scorza, componente dell’Autorità Garante per la Protezione dei Dati Personali
Mimmo Squillace, Presidente, UNINFO
Ivano Gabrielli, Primo Dirigente della Polizia di Stato, Direttore della III Divisione del Servizio Polizia Postale e delle Comunicazioni – CNAIPIC Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche
Come valutare l’adeguatezza delle misure di sicurezza nel rapporto con i fornitori
La capacità di un’organizzazione di tutelare il proprio patrimonio informativo passa anche dalla scelta di fornitori in grado di garantire misure di sicurezza adeguate. Le normative vigenti in materia di cybersecurity e protezione dei dati personali tuttavia non forniscono indicazioni specifiche su come valutare l’adeguatezza delle misure adottate dai fornitori. Un meccanismo utile per dimostrare e valutare la conformità di processi, prodotti e servizi alle buone pratiche di sicurezza delle informazioni sono le certificazioni sulla cybersecurity. Uno strumento di accountability il cui valore è riconosciuto anche da normative europee come il GDPR e il Cybersecurity Act, e che è di recente stato oggetto di iniziative volte a promuoverne l’adozione anche da parte delle autorità italiane. Ma qual è lo stato dell’arte delle certificazioni sulla cybersecurity a livello nazionale e europeo e quali benefici potranno portare alle organizzazioni in termini di sicurezza, efficienza e competitività? Come regolare il rapporto cliente-fornitore circa le misure di sicurezza? Come gestire un eventuale trasferimento di dati extra UE? Come razionalizzare la gestione della compliance in relazione agli aspetti di sicurezza, in ottica di riduzione di costi senza abdicare al livello di tutela?
Prevenire i Data Breach in tempo di pandemia: la sicurezza degli endpoint
L’emergenza Covid-19 ha costretto molte organizzazioni a ripensare il proprio modello di gestione della cybersecurity. L’adozione improvvisa e su larga scala del lavoro da remoto e il contestuale intensificarsi del fenomeno del cybercrime hanno reso evidente la necessità di estendere il perimetro della propria strategia di difesa: dall’infrastruttura IT dell’organizzazione agli strumenti nelle mani dei singoli lavoratori. In un contesto in cui le persone svolgono le proprie mansioni lavorative a distanza, le insidie principali per la sicurezza delle informazioni nascono, infatti, da una protezione inefficace degli endpoint e da comportamenti errati degli utenti frutto di una scarsa consapevolezza delle minacce a cui sono esposti. Di qui l’importanza di un modello «zero trust» per la gestione delle risorse IT aziendali e di un’adeguata formazione volta a sensibilizzare le persone su come usare correttamente gli strumenti a propria disposizione: facciamo il punto su come le organizzazioni stanno affrontando le sfide della cybersecurity in tempo di pandemia e su quali prospettive potrebbero aprirsi per il «new normal».
Su questo sito utilizziamo cookie tecnici necessari alla navigazione e funzionali all’erogazione del servizio. Utilizziamo i cookie anche per fornirti un’esperienza di navigazione sempre migliore, per facilitare le interazioni con le nostre funzionalità social e per consentirti di ricevere comunicazioni di marketing aderenti alle tue abitudini di navigazione e ai tuoi interessi.
Puoi esprimere il tuo consenso cliccando su ACCETTA TUTTI I COOKIE. Chiudendo questa informativa, continui senza accettare.
Potrai sempre gestire le tue preferenze accedendo al nostro COOKIE CENTER e ottenere maggiori informazioni sui cookie utilizzati, visitando la nostra COOKIE POLICY.
Tramite il nostro Cookie Center, l'utente ha la possibilità di selezionare/deselezionare le singole categorie di cookie che sono utilizzate sui siti web.
Per ottenere maggiori informazioni sui cookie utilizzati, è comunque possibile visitare la nostra COOKIE POLICY.
I cookie tecnici sono necessari al funzionamento del sito web perché abilitano funzioni per facilitare la navigazione dell’utente, che per esempio potrà accedere al proprio profilo senza dover eseguire ogni volta il login oppure potrà selezionare la lingua con cui desidera navigare il sito senza doverla impostare ogni volta.
I cookie analitici, che possono essere di prima o di terza parte, sono installati per collezionare informazioni sull’uso del sito web. In particolare, sono utili per analizzare statisticamente gli accessi o le visite al sito stesso e per consentire al titolare di migliorarne la struttura, le logiche di navigazione e i contenuti.
I cookie di profilazione e i social plugin, che possono essere di prima o di terza parte, servono a tracciare la navigazione dell’utente, analizzare il suo comportamento ai fini marketing e creare profili in merito ai suoi gusti, abitudini, scelte, etc. In questo modo è possibile ad esempio trasmettere messaggi pubblicitari mirati in relazione agli interessi dell’utente ed in linea con le preferenze da questi manifestate nella navigazione online.