Cyber Risk Management

Consultazione Agid su Procurement ICT

Consultazione Agid su Procurement ICT

È oggi tema noto che la supply chain, se non correttamente gestita, può portare notevoli problemi di sicurezza. Processi di acquisizione condotti senza attenzione agli aspetti di sicurezza possono vanificare, o rendere meno efficaci, le misure che enti pubblici e privati hanno avviato per tutelare il proprio patrimonio informativo.

Allo scopo di fornire indicazioni concrete sul tema, l’AGID ha posto in consultazione pubblica (dal 14 maggio al 13 giugno 2019) le “Linee guida sicurezza nel procurement ICT”, un documento che è il prodotto delle attività di un tavolo di lavoro promosso dal Nucleo per la Sicurezza Cibernetica (NSC) del Dipartimento Informazioni per la Sicurezza presso la Presidenza del Consiglio dei Ministri. Al tavolo di lavoro, attivo da novembre 2018 a febbraio 2019, hanno partecipato le PA centrali: DIS; Protezione Civile; Affari Esteri; Interni; Giustizia; Difesa; Economia; Sviluppo Economico; AGID; Consip. Obiettivo del tavolo di lavoro era definire indicazioni tecnico-amministrative per garantire, all’interno delle procedure per l’approvvigionamento di beni e servizi informatici delle PA, la rispondenza di questi ad adeguati livelli di sicurezza.

Le finalità del documento sono state quindi:

  • illustrare in maniera semplice e immediatamente fruibile la problematica della sicurezza nel procurement ICT;
  • mettere a sistema (tramite opportuni glossari e classificazioni), formalizzare definizioni e concetti legati alla sicurezza nel procurement ICT, rendendoli coerenti con la norma e con il contesto della pubblica amministrazione;
  • presentare buone prassi, soluzioni già in uso, misure semplici da adottare (strumenti operativi, esempi pratici, riferimenti puntuali), per verificare il livello di sicurezza degli attuali processi di acquisizione ed eventualmente per alzare tale livello senza per questo aumentare in modo eccessivo la complessità dei processi e l’impegno necessario a condurli.

procurement

L’iniziativa nasce dalla considerazione che – durante i processi di acquisizione – i fornitori, in relazione alla natura dei servizi offerti, possano accedere al patrimonio informativo delle PA committenti, introducendo potenziali rischi informatici, con impatto in particolare su riservatezza, integrità, disponibilità, autenticità e non ripudio dei dati pubblici. Di contro, la necessità di formalizzare e strutturare il rapporto con i fornitori può rappresentare, per le amministrazioni, un’opportunità per aggiornare o rivedere le proprie politiche di sicurezza, anche contando sulle competenze del fornitore stesso, che può contribuire in modo positivo a elevare le misure di protezione dell’amministrazione.

L’ambito del documento è circoscritto alla sicurezza nell’approvvigionamento di beni e servizi informatici, attività indicata nel seguito del testo con “procurement ICT”. Nel documento si ricorda che la maggioranza dei contratti pubblici che riguardano l’ICT:

  • derivano da una gara o rappresentano appalti specifici di accordi quadro;
  • sono pluriennali (per cui un certo grado di avvicendamento del personale del fornitore è inevitabile);
  • comprendono più di un’iniziativa progettuale, in genere numerosi progetti distinti, che vengono condotti in parte sequenzialmente, in parte in parallelo, non necessariamente dallo stesso gruppo di lavoro del fornitore.

Il documento (rivolto in primis a dirigenti e ai funzionari delle pubbliche amministrazioni, ma non esclusivamente a questi) non costituisce un manuale tecnico, un compendio o uno studio accademico sulla tematica della sicurezza. Al contrario, nel testo si rimanda, per gli eventuali approfondimenti specialistici sulla materia, alla letteratura tecnica: riferimenti puntuali a studi, articoli e standard sono presenti nei paragrafi che seguono.

Per accedere alla Consultazione AGID.

L’approccio integrato di Enel alla IT e OT security

L’approccio integrato di Enel alla IT e OT security

Gli attacchi informatici nel settore elettrico non si limitano più al solo mondo digitale: sempre più spesso attraversano il ponte dal dominio digitale a quello fisico. Un esempio è il Trojan BlackEnergy che nel 2016 è stato la causa dell’interruzione della fornitura di energia elettrica in Ucraina. Un altro esempio è il malware Triton che mirava invece a disabilitare i sistemi di sicurezza industriale in una centrale elettrica in Medio Oriente.

Read More

Webinar Online, la nuova Era del Multi-cloud

Webinar Online, la nuova Era del Multi-cloud

L’avvento del Cloud Computing ha trasformato negli ultimi anni i tradizionali modelli di IT service delivery mettendo a disposizione delle aziende livelli superiori di flessibilità, scalabilità dei servizi, disponibilità degli stessi. Il nuovo trend del MULTI-CLOUD rappresenta un ulteriore passaggio verso infrastrutture con cloud pubblico e privato più mature, in grado di rispondere a tutti i diversi Business Need dell’azienda, orchestrando le diverse scelte per ogni singolo workload, riducendo i rischi di “lock-in” e di disservizio legati alla scelta di un solo provider.

Read More

Cyber Risk Management e Direttiva NIS, cosa cambia nel 2019

Cyber Risk Management e Direttiva NIS, cosa cambia nel 2019

Il tema della cybersecurity rimane anche nel 2019 ai primi posti della lista dei rischi che le aziende di tutti i settori considerano in modo prioritario. Affrontiamo questi temi con Stefano Scoccianti, Enterprise Risk Manager di Gruppo Hera. 

TIG. Guardando alla vostra organizzazione e in modo più ampio alle problematiche che attraversano l’intero settore, quali saranno le principali sfide di quest’anno?

Stefano Scoccianti. Abbiamo a piano per quest’anno diverse attività strettamente correlate alla cybersecurity, e all’accrescimento della resilienza aziendale alle minacce che si intensificano per frequenza e pervasività, che vedono coinvolti i vari team specialistici che svolgono attività di risk control e risk management, vista la natura trasversale e multidisciplinare di tali rischi.

Read More

Le priorità del 2019 per il Responsabile della Cybersecurity

Le priorità del 2019 per il Responsabile della Cybersecurity

Lo scenario relativo all’evoluzione dei rischi cyber continua a mostrare un’elevata complessità, che si ripercuote sui temi di gestione di queste criticità, e richiede un costante ripensamento delle politiche di Cyber Risk Management nelle grandi organizzazioni italiane. Ne parliamo con Marco Tulliani, Head of IT Risk Management and Cybersecurity/CISO di BNL Gruppo BNP Paribas, che su questi temi interverrà nel corso del Cybersecurity Summit 2019 di The Innovation Group, il prossimo 19 marzo 2019 a Roma.

TIG. Quale saranno le priorità nel 2019 per i Responsabili della Cybersecurity?

Read More

Privileged Access Management al primo posto nei controlli di security

Privileged Access Management al primo posto nei controlli di security

La protezione degli accessi privilegiati sta diventando sempre più un punto di focus per la sicurezza informatica. Di recente, la proliferazione di violazioni di alto profilo ha destato una considerevole attenzione nel mondo della cybersecurity, e secondo Gartner  deve considerarsi il progetto di sicurezza numero uno tra le dieci priorità su cui i «CISO dovrebbero concentrarsi per ridurre il rischio e avere un grande impatto sul business[i]»

Read More

Web Application: come far fronte alle crescenti minacce?

Web Application: come far fronte alle crescenti minacce?

Negli ultimi due anni le Web Application sono cresciute a ritmi molto elevati, proseguendo un trend intrapreso all’inizio del millennio volto a migliorare l’esperienza di consumo del browsing online, che diventa così sempre più dinamico. Da una prospettiva di sicurezza, questa crescita nel numero di applicazioni internet aumenta la superficie complessiva attaccabile su questo fronte e, di conseguenza, aumenta il rischio di subire una violazione.

Read More

Cyber Lexicon: un lingua comune per la cybersecurity

Cyber Lexicon: un lingua comune per la cybersecurity

Lo scorso 12 novembre il Financial Stability Board (FSB) ha pubblicato il Cyber Lexicon, un documento in cui sono stati definiti 54 termini chiave legati alla cybersecurity in ambito finanziario. La necessità di tale produzione era emersa ad ottobre 2017 durante una consultazione tra i ministri delle finanze del G20 e i governatori delle banche centrali membri dell’FSB, tra cui anche la Banca d’Italia.

Read More