Business continuity. Si tratta di un processo aziendale che coinvolge
procedure, persone, server, storage, software, connettività. Con l’avvento
sempre più pervasivo della tecnologia e la crescita esponenziale
dell’automazione dei processi, per un’azienda che voglia essere realmente resiliente
è diventato ormai indispensabile progettare e implementare tutte le misure
finalizzate a garantire la sostenibilità e il recupero di tutti i processi,
centri di elaborazione, connettività, risorse umane e organizzazione: prevenire
è meglio che curare. Proteggere la propria organizzazione e garantire la
capacità di reagire agli incidenti, rispondere alle emergenze e alle calamità,
aver valutato in modo adeguato tutte le minacce e sviluppato un piano
d’emergenza. Riconsiderare la propria infrastruttura tecnologica, i processi,
la formazione del personale, gli accordi con partner/fornitori, consente di
individuare opportunità di miglioramento anche nella normale operatività.
EIDAS.
Per migliorare la fiducia delle Pmi e dei consumatori, la
pubblicazione del Regolamento UE 910/2014 “eIDAS" (Electronic
IDentification Authentication and Signature) rappresenta la base normativa
comune per interazioni elettroniche sicure fra cittadini, imprese e pubbliche
amministrazioni e ha l’obiettivo di agevolare l’uso transfrontaliero dei mezzi
di identificazione elettronica dei singoli Stati membri dell’Unione Europea e
lo sviluppo delle transazioni digitali. Le stesse aziende hanno riconosciuto
che l’aspetto normativo è una delle spinte principali per l’investimento in cyber
security.
Il Regolamento UE 910/2014, noto come Regolamento
eIDAS [electronic IDentification Authentication and Signature], prevede
espressamente il coinvolgimento di CAB accreditati secondo il Regolamento UE
765/2008, per la qualifica degli operatori di servizi fiduciari (TSP o Trust
Service Providers) e dei servizi fiduciari da essi prestati. Tale attività di
qualifica è demandata alle autorità governative di ogni singolo Paese UE, ove
queste siano esistenti e interessate, nonché notificate alla Commissione
Europea dal proprio
Paese. Tali autorità governative (in Italia AGID),
sono chiamate anche allo svolgimento di attività di vigilanza periodiche o a
seguito di segnalazioni di gravi problemi, proprio sui Prestatori di servizi
fiduciari. Tale sorveglianza, in condizioni normali, si basa su specifiche
verifiche biennali, da eseguire in campo, da parte degli Organismi di
Certificazione - OdC (o anche Conformity Assessment Body – CAB) accreditati per
questo schema. Certificazioni rilasciate a Trust Service Provider: 3
Conservazione digitale a norma: Le esigenze da parte delle PP.AA. di conservazione
a norma dei documenti informatici (ad es. fatturazione elettronica e
protocollazione digitale) si estenderanno a nuovi ambiti di applicazione, in
quanto la normativa vigente prevede che entro tempi brevissimi la P.A. formi i
propri documenti solo in digitale. Per
la conservazione dei documenti cartacei successivamente digitalizzati, nonché
per quelli nativi digitali, sarà necessario un adeguato dimensionamento dei
relativi servizi di conservazione. Tali servizi di tipo informatico, che le PA
possono attivare anche internamente, già da oggi sono offerti anche da soggetti
privati e pubblici, i cosiddetti Conservatori accreditati da AgID.
I soggetti che intendono accreditarsi presso AgID
nel ruolo di Conservatori devono dimostrare il possesso dei requisiti stabiliti
dalle norme specifiche attraverso la presentazione di documenti e
certificazioni tra i quali, dopo l’entrata in vigore del Codice
dell’Amministrazione Digitale (CAD-d.lgs n. 179 del 2016), è compreso anche un
certificato di conformità ai requisiti tecnici organizzativi stabiliti
dall’AgID, rilasciato da un ente di certificazione accreditato da ACCREDIA.
SPID: SPID è il
"Sistema Pubblico per la gestione dell’Identità Digitale", strumento
predisposto in conformità al Regolamento eIDAS. Si tratta di un sistema aperto
attraverso il quale soggetti pubblici e privati - previo accreditamento da
parte di AGID - possono offrire servizi di identificazione elettronica a
cittadini e imprese.
Con l'istituzione di SPID le PP.AA. potranno
consentire l'accesso in rete ai propri servizi, oltre che con lo stesso SPID,
solo mediante la carta d'identità elettronica e la carta nazionale dei servizi.
VA-PT: Attività eseguite al
fine di valutare
la sicurezza di un’infrastruttura IT, o di parte di essa, fornendo un’indicazione dell’impatto sul business e
opportuni suggerimenti relativi al piano di rientro, secondo i principali
standard e best practice (elenco esemplificativo e non esaustivo):
- OWASP v3 per le analisi su applicativi web
- ISECOM OSSTMM 3.0 per alcune verifiche di
sicurezza
- NIST CSRC indicante best practice attività
sicurezza IT
Il
Vulnerability Assessment è un processo volto a fotografare il livello di
sicurezza dei sistemi e dei servizi, mediante l’individuazione di errate
configurazioni, vulnerabilità note, errata gestione delle credenziali,
inefficacia del processo di patch management.
Il
Penetration Test è un processo di test e verifica dei sistemi e dei servizi
informativi che simula il comportamento di un vero attaccante sia esso una
persona fisica (hacker) o un worm che cerca di entrare in un sistema per
manometterlo, sottrarre informazioni, causare malfunzionamenti.
Post
Nessun commento:
Posta un commento