Sogei: l’approccio “multicompliance”, per rispondere alla sfida del nuovo quadro normativo europeo
L’obiettivo è ricondurre il contributo di ogni singolo intervento o iniziativa a più requisiti di compliance e mantenere, nel tempo, una visione puntuale e continuativa sull’efficacia degli interventi dal punto di vista della conformità normativa e contrattuale
17 Novembre 2016
Fabio Lazzini, responsabile Security Governance e Privacy, Sogei
Il modello normativo nazionale di data protection, così come derivato dalla Direttiva Comunitaria 95/46/CE, si avvia alla sua conclusione per lasciare il posto, a partire da maggio 2018, al nuovo Regolamento (UE) n. 679/2016. Il legislatore europeo ha raccolto la sfida posta dalla atomizzazione dei dati, Big Data, Internet of Things (IoT), o la sua prossima evoluzione conosciuta come Internet of Everthings (IoE), realizzando una non semplice sintesi tra le esigenze di protezione dei diritti e delle libertà individuali con gli obiettivi di sicurezza dei dati e delle informazioni di organismi pubblici e privati.
Alle novità introdotte dal nuovo quadro normativo europeo si affiancano, inoltre, il Regolamento eIDAS (electronic IDentification Authentication and Signature) n° 910/2014, il cui obiettivo è fornire una base normativa per regolare i servizi fiduciari e i mezzi di identificazione elettronica e la Direttiva (UE) 2016/1148 del Parlamento Europeo e del Consiglio del 6 luglio 2016, recante “misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione” (cd. Direttiva NIS), che ha stabilito misure volte a conseguire un livello comune elevato di sicurezza della rete e dei sistemi informativi nell’Unione così da migliorare il funzionamento del mercato interno. I due Regolamenti, unitamente alla Direttiva NIS, rappresentano un pacchetto avanzato di norme che, nel ridefinire il paradigma della cyber security, impongono alla Pubblica Amministrazione, alle società pubbliche e private, l’adozione di misure, accorgimenti e procedure di natura tecnica e organizzativa per limitare la perdita di informazioni riservate e/o di carattere personale. Nell’evoluzione delle normative europee si osserva una graduale scomparsa del principio di protezione basato su misure minime di sicurezza, mentre aumenta il grado di autonomia e di responsabilità affidato alle organizzazioni nella valutazione del rischio e delle contromisure.
Negli anni Sogei ha scelto un approccio capace di adattarsi all’evoluzione delle normative e ha maturato la consapevolezza che la sicurezza deve essere progettata, implementata e gestita attraverso processi strutturati, che permettano di proteggere il patrimonio informativo, non solo tramite l’utilizzo di misure afferenti alla sicurezza logica (firewall, crittografia, ecc.) e fisica (controllo accessi, telecamere, ecc.), ma anche attraverso la definizione di un solido modello di governo organizzativo che, partendo dagli aspetti di sicurezza delle informazioni, dei sistemi informativi e dei servizi erogati ai propri clienti istituzionali, consenta di rispondere efficacemente a quanto previsto dai Regolamenti in continua evoluzione.
Tutto ciò ha permesso di realizzare un Sistema per il Governo della Sicurezza tra i più evoluti del settore. La sua introduzione ha, dunque, consentito una armonizzazione nella gestione di tutta la filiera della sicurezza, dall’individuazione delle esigenze, attraverso un ampio e profondo coinvolgimento dei vertici aziendali, ai Sistemi di Gestione, che traducono la normativa in regole, politiche attuative e di investimento. I principali obiettivi di governo sono:
- analizzare costantemente l’andamento dei rischi di sicurezza mediante il coinvolgimento diretto dei business owner e del Management e sulla base dei riscontri effettivi provenienti dalle strutture di presidio operativo;
- rispondere alle novità introdotte dalla normativa vigente (ad esempio provvedimenti in ambito protezione dei dati personali, responsabilità amministrativa delle società e degli enti, ecc.), alle direttive nazionali e comunitarie in tema di protezione dello spazio cibernetico e della strategia di protezione nazionale;
- definire le priorità di investimento in ambito sicurezza, assicurando l’allineamento continuo del programma di sicurezza con gli obiettivi strategici aziendali e ottimizzando la gestione delle risorse richieste;
- monitorare sistematicamente l’andamento delle iniziative di sicurezza e, in generale, l’efficacia delle misure adottate, al fine favorire un processo di miglioramento continuo della sicurezza.
La “multi-compliance”, dunque, rappresenta per Sogei il punto di vista integrato per la gestione dei requisiti di sicurezza dalla progettazione, alla realizzazione fino all’erogazione dei servizi per la PA. L’obiettivo è ricondurre il contributo di ogni singolo intervento o iniziativa a più requisiti di compliance e mantenere, nel tempo, una visione puntuale e continuativa sull’efficacia degli interventi dal punto di vista della conformità normativa e contrattuale. Tutto ciò ha consentito e consente di:
- definire correttamente il contributo che ciascuna iniziativa/capacità di sicurezza fornisce al raggiungimento degli obiettivi definiti nell’ambito del Sistema di Governo della Sicurezza;
- recepire correttamente i requisiti e gli obblighi contrattuali provenienti dall’operatività dell’organizzazione o dal business, dalle normative ed in generale dal contesto di riferimento come input fondamenti per tutte le attività che riguardano il ciclo di sviluppo di un servizio quali la progettazione, l’implementazione ovvero la security by design;
- facilitare la correlazione tra lo specifico intervento di sicurezza e la tipologia di rischio che consente di mitigare.