Rischio digitale Innovazione e Resilienza

Conoscere, affrontare e mitigare il rischio digitale

L'analisi del rischio, ed in particolare del rischio digitale, è attualmente di primaria importanza, complice il costante incremento di soluzioni tecnologiche ed innovative che hanno comportato la progressiva evoluzione di mercati, prodotti, servizi e scambi commerciali.

La società in generale sta cambiando, e con essa anche rapporti e relazioni socio-economiche. Ma se da un lato l’abbattimento dei confini geografici, l’efficienza e la rapidità sono i maggiori aspetti positivi di tale mutamento, dall’altro non si devono perdere di vista le criticità connesse alla cybersecurity.

E l’obiettivo di questa pubblicazione è proprio quello di offrire al lettore degli strumenti per “conoscere, affrontare e mitigare il rischio digitale”.

Attraverso una panoramica sulle tematiche insite in ogni tipologia di analisi del rischio, tra le quali utilità, elementi ed approcci integrati all’organizzazione aziendale, abbiamo descritto più nel dettaglio il processo di valutazione dei rischi digitali, affrontandone tipologie consolidate, attività e fasi cardine di conduzione delle analisi, oltre alla presentazione di alcuni framework e best practice di riferimento a livello internazionale.

Dal generale, siamo poi passati al particolare, affrontando gli aspetti regolamentari che caratterizzano non solo ogni rischio digitale, tra cui quelli relative alla privacy (GDPR e futuro regolamento ePrivacy dedicato alle comunicazioni elettroniche), ai servizi essenziali (Direttiva NIS e PNSC), all’intelligenza artificiale (Regolamento attualmente in bozza ed oggetto di discussione), alla responsabilità amministrativa degli enti (D.lgs 231/2001), ma anche a quelli che interessano settori specifici, come finanza digitale (Regolamento DORA), servizi di pagamento (PSD2), servizi fiduciari (Regolamento EIDAS), assicurazioni (regolamento IVASS N. 38), servizi digitali (Digital service ACT) e settore bancario (Circolare 285 di Bankit).

Abbiamo dedicato, inoltre, una sezione correlata ai rischi legati a specifiche tecnologie o contesti applicativi quali per esempio intelligenza artificiale, cloud computing, Internet of things (IoT), operational technology (OT) e industriale, smart building e 5G, concludendo il testo con un’elencazione (seppur non esaustiva) di prodotti ed associazioni di riferimento in materia, oltre ad una sintesi delle certificazioni professionali sulla gestione dei rischi riconosciute a livello internazionale e qualche breve raccomandazione finale.

Perché questo libro?

La scelta di concentrare la nostra attenzione su una pubblicazione che mirasse a creare nei lettori una maggior consapevolezza sull’analisi del rischio digitale nasce da un confronto dei diversi autori e contributori del presente libro, i quali, seppur con età, esperienze e professionalità differenti, hanno sentito l’esigenza di colmare, senza troppe pretese, il divario tra l’esponenziale evoluzione tecnologica e la scarsa sensibilità culturale di tali tematiche.

In diversi ambiti, soprattutto in epoca pandemica, abbiamo assistito ad un costante ingresso del digitale nelle nostre vite: dallo smartworking, all’identità digitale, dagli IoT, ai sistemi di didattica a distanza, sino addirittura a preferire il commercio online allo shopping cittadino.

E se da un lato tali strumenti ci hanno permesso di continuare (seppur con qualche difficoltà) a restare “connessi” alle nostre realtà, dall’altro, però, il sottovalutare una corretta gestione del rischio digitale ha comportato (e comporta tuttora) diverse conseguenze, e non solo a livello economico.

Perché quindi non cogliere a pieno tutte le opportunità che può offrire l’innovazione ed evoluzione tecnologica, anche tramite una sana e consapevole responsabilità all’uso del digitale?

Queste la motivazione fondamentale che ha guidato ognuno di noi nella redazione del presente libro.

A chi si rivolge?

Questa pubblicazione nasce allo scopo di richiamare l’attenzione sulla corretta gestione del rischio digitale in tutte le organizzazioni, sia pubbliche che private, al di là di ogni aspetto dimensionale.

Oggigiorno, le PA rivestono un ruolo fondamentale per lo sviluppo della società, per il rilancio economico e sociale del paese e per la realizzazione di nuovi progetti e investimenti anche collegati al PNRR. Ciò nonostante diverse sono ancora le realtà pubbliche che mostrano debolezze, criticità e limiti nell’erogazione di servizi affidabili e sicuri a causa della mancata consapevolezza del valore delle informazioni e degli asset strategici, oltre all’assenza di processi di gestione del rischio digitale.

Le medesime criticità sono riscontrabili anche nel comparto privato, dove, però, è necessario intervenire modificando l’attuale paradigma, in cui dati e tecnologia sono considerati solo come meri strumenti per incrementare i propri introiti: invero, la riduzione dei rischi di sicurezza non previene solo danni e costi correlati a sanzioni e richieste di risarcimento, ma mette a disposizione anche tante altre opportunità, tra cui attrattiva per nuovi clienti, fidelizzazione di quelli già esistenti, aumento di reputazione, creazione di nuove sinergie di mercato, valorizzazione dei dati e accesso a fondi pubblici e investimenti privati.

Qui è vero che l’aspetto dimensionale può incidere (multinazionali e grandi imprese sono già strutturate e dispongono dei mezzi per fronteggiare le trasformazioni necessarie, a differenza di PMI, startup e microimprese che faticano ancora ad avere piena consapevolezza del mondo digitale), ma anche la volontà di restare ancorati a sistemi organizzativi tradizionali, la mancanza di capacità specifiche nell’operare la trasformazione digitale e il discontinuo supporto di finanziamenti dedicati non sono elementi da sottovalutare.

Trasformazione, cambiamento e tecnologia comportano senz’altro l’essere pronti ad affrontare nuove sfide, ma proprio per questo è importante comprenderne la portata, conoscerne e saperne gestire gli impatti, attraverso una piena consapevolezza di rischi ed opportunità.

Per tali ragioni, a nostro avviso potranno beneficiare della lettura della presente pubblicazione non solo le figure apicali ed i vertici delle organizzazioni (ad esempio la proprietà e/o consiglio di amministrazione), ma anche soggetti con ruoli più operativi e di supporto al comparto organizzativo e decisionale, quali CIO (Chief information officer), CISO (Chief information security officer), Risk manager, IT risk manager, Data protection officer e, nel comparto pubblico, i Responsabili per la transizione al digitale.


Autori, contributori e ringraziamenti


  • AIEA
  • ANORC
  • ANRA
  • ARisk
  • Array
  • Aused
  • Clusit
  • Coster
  • CSQA
  • Cyber Partners
  • Gerico
  • GRC Team
  • InfoCert
  • ISC
  • iusintech
  • Liguria Digitale
  • Lutech
  • MEAD
  • Ecosistema.AI
  • Oracle
  • PKF
  • Pluribus One
  • PosteItaliane
  • PQE
  • Protiviti
  • Rexilience
  • Riesko
  • S2E
  • Sernet
  • ServiTecno
  • LA&P
  • Studio Stefanelli
  • TIG
  • UnipolSai

Editor e team leader

Orlando Arena Consulente
Fabrizio Bulgarelli PKF GODOLI RAS Partner
Andrea Cabras Vodafone Secure by Design & Prevent
Cesare Gallotti Consulente di sicurezza delle informazioni, qualità e privacy
Francesca Gatti Clusit
Valeria Lazzaroli Arisk Chief Risk Officer
Alberto Leporati Università degli Studi di Milano-Bicocca Professore Associato; Comitato Scientifico Clusit
Federica Maria Rita Livelli Business Continuity & Risk Management Consultant; BCI Italy Chapter Board Member (Deputy Leader), ANRA (Board Member); CLUSIT - Comitato Scientifico (Member
Roberto Obialero CLUSIT, S2E, Cybersecurity & Data Protection Advisor CD Clusit, CISO S2E
Stefano Ramacciotti (ISC)2 Italy Chapter Presidente Italy Chapter
Manuel Angelo Salvi GRC Team ISO 27001 e GDPR Consultant, DPO
Silvia Stefanelli Studio Legale Stefanelli & Stefanelli Avvocato
Mario Testino ServiTecno COO e Consigliere
Alessandro Vallega Consiglio Direttivo Clusit Founder and Chairman Clusit Community for Security

Autori

Elena Agresti Poste Italiane Information Security Manager
Leonardo Antonelli Oracle Master Principal Sales Consultant
Davide Ariu Pluribus One CEO
Stefano Barboni Riesko Senior Partner
Giovanni Belluzzo InfoCert Head of Cybersecurity - Chief Information Security Officer
Gianluca Bocci Poste Italiane Security Professional Master - Corporate Affairs, Tutela Aziendale
Angelo Bosis Oracle Technology Architect Director
Fabio Bucciarelli Lutech Group Senior Security Advisor
Giancarlo Butti Internal Auditor
Andrea Caccia ANORC Consulente
Dario Carnelli Codd&Date Suisse IT Strategy & GRC Advisor
Davide Carnelli Consulente Architetture e Data Management
Andrea Castello CSQA Certificazioni Digital Improvement and Development Executive Manager
Marco Ceccon Deloitte Risk Advisory Director
Francesco Ciclosi Università degli Studi di Trento Ministero dello Sviluppo Economico
Luciano Colombo IT Architect freelance
Igino Corona Pluribus One Chief Technology Officer
Rita Eva Cresci IUSINTECH Innovation Lawyer
Marco Crociani Security Governance Consultant
Giuseppe Cusello Cyber Partners S.p.A (Gruppo RINA) GRC Director
Nicla Ivana Diomede Università degli Studi di Milano Responsabile Cybersecurity, Protezione Dati e Conformità
Elenio Dursi Clusit IT project manager and Scientific Committee Board Member at Clusit
Ambrogio Ferretti A2A Senior IT Auditor
Enrico Ferretti Protiviti Managing Director
Giustino Fumagalli Gerico Security Srl Socio (attività consulenze)
Cristina Gaia Cybereason Regional Marketing Manager
Chiara Gatti UnipolSai Assicurazioni s.p.a. Responsabile Sottoscrizione Rischi Cyber (head of cyber risk underwriting)
Carlo Guastone Sernet SpA Vicepresidente Business Development
Marco Locatelli Rexilience CEO
Massimiliano Magri COSTERGROUP Smart Readiness Indicator evangelist
Lorena Manco UnipolSai Assicurazioni s.p.a Sottoscrittore Rischi Cyber (Cyber risk underwriter)
Davide Manconi Plenitude Cyber Security Manager
Andrea Mariotti EY Associate Partner Cybersecurity & Digital Protection
Carlo Mauceli Microsoft Chief Technology Officer e Chief Security Officer per Microsoft Italia
Luigi Mauro Protiviti Manager
Savino Menna Studio LA&P Avvocato Senior Partner - Head of Tech Law, Cybersecurity & Data Protection Departmen
Paola Meroni Whirlpool Corporation Global Privacy Manager
Riccardo Modena Sernet spa Manager LoB Business “ICT Governance”; Senior Consultant (Information Security, Privacy, Business Continuity, Service Management ed Execution Improvement)
Enzo Mudu IBM Italy Associate Partner - IBM Security Services
Paolo Panza ICT Quality Manager
Ignazio Parrinello Mead Informatica Responsabile Compliance
Maurizio Pastore Liguria Digitale Responsabile servizi Privacy
Maria Roberta Perugini IUSINTECH Avvocato
Riccardo Ranza Consulente IT e Security
Alice Ravizza USE-ME-D srl Founder
Andrea Rui Consulente IT e Security Comitato Scientifico Clusit
Luca Sambucci Notizie.ai Blogger ed esperto di security e IA
Fabio Saulli Cyber Partners S.p.A. (Gruppo RINA) Director
Paolo Sferlazza Gerico Security Srl Information Security Advisor Trainer and Auditor
Nicola Sotira Poste Italiane Responsabile CERT di Poste Italiane
Giulio Spreafico AIEA Auditor di Sistemi Informativi e Consulente Rischi ICT, Sicurezza e Privacy
Roberto Tordi CERTFin Research Analyst
Guglielmo Troiano Grant Thornton Manager Data Protection Services
Elena Vaciago THE INNOVATION GROUP Associate Research Manager
Luca Zammarchi PQE Group Digital Governance International Delivery Director
Luigi Zampetti Studio Legale Stefanelli & Stefanelli Partner

Contributori

Ringraziamo le persone intervistate per averci dato il loro punto di vista su questo tema:

Cesare Burei Socio Clusit, Formatore CINEAS e AIBA Cyber Risk, Co-Amministratore Margas - Broker e Consulente di Assicurazioni
Antonella Caproni Banca Monte dei Paschi di Siena Coordinatore Team Governance Cybersecurity
Carlo Cosimi Saipem Spa Presidente ANRA, Head of Corporate Insurance and Risk Financing
Ruggiero Di Biase Comandante del Comando per le Operazioni in Rete della Difesa
Valentina Frediani Avv. Valentina Frediani CEO Colin & Partners
Daniela Marucci UnipolSai Dirigente Responsabile della Linea Corporate e Trasporti
Valentina Paduano FERMA Board Member Chief Risk & Sustainability Officer Sogefi Group
Sofia Scozzari CEO & Founder Hackmanac, Direttivo Women For Security e Comitato Scientifico Clusit

Ringraziamenti

Hanno aiutato nella realizzazione di questo libro anche Valentina Falcioni di Oracle, Sara Obialero (grafica impaginatrice/logo design) e Alessia Pilato di Rexilience (per la raccolta dati).

Download

È possibile scaricare il documento (aggiornato a marzo 2022) cliccando sulla copertina del libro, o sul pulsante di download.

Rischio digitale Innovazione e Resilienza
Scarica il libro

Per dimostrare il vostro apprezzamento, per darci un consiglio e/o per richiedere eventuali aggiornamenti dei nostri lavori potete contattarci scrivendo a c4s@clusit.it

Il documento, le appendici e gli allegati sono concessi in licenza Creative Commons 4.0 Italia, Attribuzione - Condividi allo stesso modo.

La licenza utilizzata permette a chiunque di usare il nostro prodotto anche per crearne una sua evoluzione a condizione che citi gli autori originali e utilizzi a sua volta lo stesso tipo di licenza. Autorizziamo la pubblicazione anche parziale di testo e immagini non già protette da altri copyright riportando la nostra url http://c4s.clusit.it.


Torna al sito c4s