Avv. Vincenzo Colarocco
Lo scorso 5 febbraio 2020, presso l’Aula Magna Carassa e Dadda, campus Bovisa, si è tenuto il Convegno “Security-enabled transformation: la resa dei conti” in cui sono stati presentati i risultati della Ricerca dell’Osservatorio Security & Privacy della School of Management del Politecnico di Milano (in seguito anche “Osservatorio”).
I Responsabili Scientifici dell’Osservatorio, hanno dato avvio ai lavori proponendo, insieme ai relatori chiamati al confronto, la presentazione dei risultati della Ricerca. Dall’introduzione di questo evento, già si è potuto capire, l’intento di rispondere al bisogno di conoscere, comprendere e affrontare le principali problematiche dell’information security e privacy, monitorando l’utilizzo di nuove tecniche e tecnologie a supporto di tale area da parte delle aziende e user e creando una community permanente di confronto. Come è stato più volte ribadito durante l’evento e riprendendo le parole del Garante per la protezione dei dati personali, è necessario porre l’accento “sull’importanza della protezione dati come presupposto ineludibile della sicurezza individuale e collettiva, tanto più necessario all’epoca dei big data e dell’Internet di “ogni cosa”. Con riferimento all’evoluzione del mercato dell’information security, la dinamica del mercato conferma la maggiore attenzione al tema security e data protection. È seguito, poi, l’intervento di Raoul Brenna (Responsabile della Practice Cybesecurity in CEFRIEL e Direttore del Percorso di Alta Formazione per Cybersecurity Manager) che ha ribadito come dalle nuove tecnologie nascono nuove opportunità ma anche nuove minacce e come determinati fattori quali, la cultura, il livello di persone e di organizzazione, siano elementi imprescindibili in un’ottica di cybersecurity. A seguire vi sono state molteplici tavole rotonde incentrate sui temi della:
- “trasformazione digitale e il ruolo strategico della sicurezza: tra security-by-design e strumenti della difesa real time”;
- “gestione dell’Industrial Security: tecnologie, modelli organizzativi e scenari di rischio”: ci si è soffermati sulla necessità di guardare prima la minaccia e poi la vulnerabilità differenziando i casi di “minaccia economicamente motivata” (più pericolosa) da quelle minacce poste in essere da aggressori “non economicamente motivati”. Inoltre, è stato precisato come sia sempre più opportuno porre in essere delle simulazioni di attacco per la verifica delle procedure aziendali in linea con le aspettative di business. E ancora, ci si è soffermati sulla security by design: prevedendo dei piani di miglioramento della sicurezza a lungo termine (minimizzazione dei contenuti e introduzione di una security by design nei processi con proposizione di standard per l’integrazione dei sistemi di sicurezza (nuovi impianti e linee produttive).
- “GDPR e data protection: procedure e strumenti per garantire la compliance alle normative”. Durante il confronto, sono state raccontate le esperienze di adeguamento di varie realtà aziendali.
A seguire, nel pomeriggio, si è dato avvio a due sessioni parallele, l’una incentrata sui temi più tecnologici con riferimento all’ “Evoluzione dell’Information security tra nuove minacce e specializzazione delle difese” moderata da L. Bechelli, e l’altra sugli “Strumenti per garantire la compliance normativa e una efficace gestione dei rischi”, moderata da G. Troiano. Durante quest’ultima fase e nel corso della prima sessione sono state evidenziate alcune feature importanti per un sistema di gestione integrato, tra cui:
- la definizione di un modello organizzativo per la data privacy fondato sul principio di accountability o responsabilizzazione;
- la centralità del ruolo del Data Protection Officer;
- la necessità di adeguare il corpo normativo interno con aggiornamento dei controlli tecnologici e delle clausole contrattuali per la gestione delle terze parti;
- la definizione di un’infrastruttura tecnologica;
- la definizione di una struttura organizzativa;
- la definizione esaustiva di minacce, misure di sicurezza, nonché di gestione del rischio orientato al miglioramento continuo, anche per una migliore gestione dei data breach.