Nei primi mesi del 2022 l’Associazione Italiana di esperti in Infrastrutture Critiche (AIIC), con il contributo di Consulthink, ha realizzato e pubblicato lo studio dal titolo “ICE, ICN, OSE, OSF… La disciplina normativa della criticità”, con l’obiettivo di sostenere l’attività di ricerca e sensibilizzazione degli addetti ai lavori alla sicurezza informatica e ai suoi principali problemi applicativi e interpretativi determinati dal continuo proliferare ed evolvere delle normative e degli standard che insistono sulla tematica.

Lo studio contiene l’analisi e il raffronto delle principali normative e standard che a livello europeo e nazionale impattano le diverse tipologie di Infrastrutture Critiche in ambito di sicurezza delle informazioni e fornisce in allegato una matrice di multi-compliance quale utile strumento iniziale di mappatura dei diversi obblighi e prescrizioni di conformità, prendendo come riferimento guida il Framework Nazionale per la Cybersecurity e la Data Protection.

Tale matrice è di fondamentale importanza per l’individuazione dell’insieme delle normative e degli standard, e dei relativi obblighi e prescrizioni, che consentono di risultare conformi alla sottocategoria di riferimento del Framework Nazionale per la Cybersecurity: ogni soggetto tenuto alla compliance di più normative potrà individuare tramite tale matrice i diversi requisiti di conformità da soddisfare.

Il lavoro di analisi e mappatura delle normative rilevanti e dei relativi obblighi per la conformità in ambito CyberSecurity non è tuttavia da considerarsi concluso, in quanto la dinamicità evolutiva sia delle normative che degli standard richiede di porre una continua attenzione al monitoraggio sulle nuove norme ed i relativi obblighi di conformità che insorgono nel tempo.

Da anni affrontiamo il tema della conformità normativa tenendo in considerazione le singole normative o standard e predisponendo specifici Sistemi di Gestione per pianificarne e controllarne l’adeguamento nel tempo. Per esempio è ormai praticato da decenni l’approccio proposto per la conformità verso lo Standard ISO 27001 tramite l’adozione di uno specifico sistema di “Gestione della Sicurezza delle Informazioni”, e con l’avvento del GDPR stiamo cercando di indirizzare la conformità alla normativa vigente in materia di tutela del trattamento dei dati personali adottando uno specifico sistema di “Gestione della Privacy”. La strada dell’adozione dei sistemi di gestione specifici per indirizzare e controllare nel tempo la conformità agli standard ed alle normative di riferimento, pur non essendo prevista in modo mandatorio, ci ha aiutato a implementare modelli organizzativi basati sul paradigma del Plan-Do-Check-Act, e quindi utili al controllo e al miglioramento continuo del rispetto degli obblighi previsti da ciascuna norma o standard nell’ambito del complesso dei processi aziendali.

Nell’ambito della multi-compliance in ambito Information Security Risk, ovvero in relazione all’esigenza di indirizzare contemporaneamente la conformità a molteplici normative e standard, nelle aziende maggiormente soggette a regolamentazioni, si sta consolidando un approccio concettualmente simile a quello dei sistemi di gestione. Tale approccio alla multi-compliance è finalizzato alla gestione degli Information Security Risk e all’ottimizzazione dei tempi e dei costi connessi alle attività di pianificazione, implementazione, gestione, monitoraggio e auditing degli obblighi, delle prescrizioni e dei controlli trasversali alle diverse normative.

L’approccio alla multi-compliance tiene in considerazione l’importanza di adottare un processo di Security Compliance Management che consenta di monitorare in modalità continua l’evoluzione di tutti i fattori che possono comportare information security risk (leggi, regolamenti, standard, obblighi contrattuali) mappandoli verso un unico security framework di riferimento, attraverso il quale tenere sotto controllo gli Information Security Risk connessi alla non-compliance verso tutto il quadro complessivo di obblighi e prescrizioni.

Di fatto si parte sviluppando una matrice di multi-compliance, come quella realizzata nello studio di AIIC, che ha tenuto in considerazione come framework di riferimento il Framework Nazionale per la Cybersecurity e la Data Protection. Tale matrice è uno strumento GRC di compliance management tool “compatto”, che consente di mappare verso il framework di Security scelto come riferimento i diversi obblighi e prescrizioni che emergono dall’analisi delle normative, dei regolamenti di settore, degli standard e dei contratti che si applicano specificamente in azienda.

La matrice di multi-compliance è solo il primo passo per implementare un vero e proprio processo di Information Security Compliance Management, che dovrà tenere in considerazione, tra gli altri, i seguenti step operativi:

• Identificazione degli obblighi e delle prescrizioni – è la fase di identificazione continua degli obblighi e delle prescrizioni di Security Compliance derivanti dal monitoraggio delle fonti più disparate, quali appunto leggi, regolamenti di settore, policy aziendali o di gruppo, standard internazionali, standard industriali e contratti.

• Definizione dei controlli – è la fase di interpretazione degli obblighi e delle prescrizioni espressi in linguaggio legale o linguaggio tecnico per definire le politiche di Sicurezza e i controlli applicabili e misurabili atti a conferire la conformità. Si costruisce in questa fase il modello di conformità per la gestione degli Information Security Risk.
  

• Implementazione dei controlli – è la fase in cui si sviluppano e si implementano i controlli di natura organizzativa, procedurale e tecnologica che si applicano a tutte le attività aziendali coinvolte.
  

• Monitoraggio dei controlli e raccolta delle evidenze – è la fase in cui si raccolgono, si aggregano e si analizzano i dati per fornire le evidenze di conformità dei controlli.
  

• Reporting – è l’attività di comunicazione dei risultati dell’Assessment di Information Security Compliance al management e contiene anche le raccomandazioni per colmare eventuali gap.

Con l’approccio multi-compliance alla gestione degli Information Security Risk sarà pertanto possibile, a partire dalla mappatura di multi-compliance, adottare un processo che ottimizzi le attività relative alla pianificazione, gestione, monitoraggio e auditing degli obblighi di conformità, ottenendo significativi risparmi a livello di IT operation e di business aziendale.

L’adozione del modello di multi-compliance e del relativo processo di gestione fornisce in particolare i seguenti benefici:

• Riduce la complessità di pianificazione, implementazione, gestione e monitoraggio dei controlli attraverso l’utilizzo di un singolo framework che allinea una molteplicità di regimi di conformità
• Riduce i costi e i tempi correlati alle attività di audit dei controlli (test Once, attest many)
• Migliora l’Information Security consentendo di adottare prassi di self-assessment
• Fornisce al senior management una vista strutturata in linea con il Security Framework di riferimento per poter prendere decisioni di business in merito all’allocazione di costi e risorse per la conformità ai diversi obblighi
• Riduce i rischi complessivi di conformità
• Abilita una migliore visibilità sullo stato complessivo di conformità