Data protection

Una guida alla governance delle migliori pratiche per la sicurezza digitale e la relativa gestione del rischio, ad uso delle organizzazioni; pubblicata dalla Governance Institute of Australia.

Il Governance Institute of Australia ha licenziato, ad agosto 2024, un Documento relativo alle politiche di cybersicurezza da applicarsi ai vari Stati che compongono l’Australia.

Atteso l’interesse che il Documento riveste anche per le aziende e gli enti italiani si è provveduto alla sua traduzione omettendo solo i paragrafi esplicitamente dedicati alla situazione australiana.

La gestione del rischio cyber

Un’associazione di appartenenza nazionale, il Governance Institute of Australia sostiene una comunità di governance e professionisti della gestione del rischio, fornendo a oltre 8.000 membri gli strumenti per promuovere una migliore governance all’interno della loro organizzazione. Personalizziamo le nostre risorse per i membri dei settori quotati, non quotati, no-profit e pubblici settori e garantire che la voce dei nostri membri sia ascoltata a voce alta. Come unico fornitore australiano di governance regolamentata accreditamento, offriamo una gamma di corsi brevi, certificati e studi post-laurea per aiutare ulteriormente la conoscenza e formazione della professione in rapida crescita di governance e gestione del rischio. Corriamo forte programma di leadership di pensiero, progetti di ricerca e pubblicazioni di notizie e si avvale della nostra appartenenza al Chartered Governance Institute per monitorare le tendenze e le sfide globali emergenti per garantire che i nostri membri lo siano preparato. I nostri membri sanno che la governance è al centro di ogni organizzazione, e in questi tempi tumultuosi volte, che il buon governo è più importante che mai.

Premessa

La criminalità informatica è una sfida globale complessa che sta aumentando in frequenza e sofisticatezza, colpendo la maggior parte delle persone e organizzazioni. Tutti possiamo identificarci con un incidente informatico che colpisce noi o le persone che conosciamo. Che si tratti di un sospetto e-mail, messaggi di testo non richiesti o notifiche di interruzione del fornitore di servizi, la minaccia persistente è tra noi al lavoro, a casa e nella nostra vita quotidiana. L’Australian Institute of Criminology ha scoperto un rapporto sulla criminalità informatica che il 47% degli intervistati ha subito almeno un crimine informatico nei 12 mesi precedenti l’indagine e il Il Centro australiano per la sicurezza informatica ora segnala di ricevere una segnalazione di criminalità informatica ogni sette minuti.

È fondamentale in un momento di crescenti tensioni geopolitiche, incertezza economica globale e aumento della criminalità informatica attività affinché le imprese australiane restino consapevoli e vigili della continua minaccia della criminalità informatica. Come recente di alto profilo Gli incidenti informatici hanno dimostrato che una significativa incursione informatica può portare a ingenti danni finanziari, legali e costi reputazionali per un’impresa. Tuttavia, la criminalità informatica non è solo un grosso problema aziendale. Può avere un impatto sui piccoli operatori comprese le imprese a conduzione familiare. Stiamo assistendo a un numero crescente di criminali informatici che prendono di mira piccoli computer e le medie imprese come porta di servizio verso le grandi reti di filiere aziendali. Eppure le PMI australiane che costituiscono il 98% di tutte le imprese in Australia, spendono meno di 500 dollari all’anno in sicurezza informatica e sono meno probabilmente si riprenderà completamente dopo aver subito un grave incidente informatico.

Le migliori pratiche di gestione del rischio informatico per le aziende grandi o piccole iniziano con una buona governance. Questa pubblicazione è stata preparata da e per i gestori del rischio, i professionisti della governance e gli operatori economici che desiderano farlo capire come prepararsi, difendersi e rispondere agli incidenti informatici all’interno della propria organizzazione e in tutta la loro catena di fornitura. La Guida mira a fornire ai leader aziendali strutture e risorse pratiche da adottare e applicare le migliori pratiche di governance per un’organizzazione più sicura e resiliente.

Sono fiducioso che la Guida ti preparerà meglio a gestire un’organizzazione più sicura e abilitata digitalmente.

Indipendentemente dal tuo livello di maturità digitale, la Guida costituisce un passo utile verso la preparazione e la creazione di un’organizzazione più resiliente e sicura dal punto di vista informatico.

Il panorama del rischio informatico

La gestione dei rischi informatici è un elemento essenziale di una buona governance. Minacce come furto di dati, estorsione e attacchi informatici le interruzioni operative stanno aumentando in Australia e nel mondo, creando problemi finanziari, legali, operativi e impatti reputazionali su imprese, governo, organizzazioni no-profit e individui. L’aumento dell’impatto e dell’urgenza delle minacce informatiche ha suscitato anche una risposta normativa e priorità normative nei settori della legislazione sulla privacy, infrastrutture critiche e applicazione delle norme.

A livello globale, la “insicurezza informatica” rimane uno dei cinque rischi principali nel Global Risk Report 2024 del World Economic Forum.

Si prevede che il costo medio annuo della criminalità informatica aumenterà da 8,4 trilioni di dollari nel 2022 a oltre 23 trilioni di dollari entro il2027, con la regione Asia-Pacifico che subirà un enorme aumento degli attacchi informatici rispetto alle sue controparti globali.

Diversi fattori stanno determinando un aumento del volume e della sofisticazione degli attacchi informatici. La maggiore assorbimento del lavoro a distanza durante la pandemia di COVID e la continuazione del lavoro ibrido in molte organizzazioni, crescente adozione di piattaforme e strumenti di collaborazione come videoconferenze, archiviazione nel cloud e condivisione di file sta rapidamente spostando i confini della “superficie” di attacco delle organizzazioni che deve essere protetta.

Con l’aumento dei rischi e degli incidenti si riconosce sempre più che i rischi informatici sono rischi aziendali e di tutti i leader necessità di comprendere il panorama del rischio informatico. La gestione del rischio informatico è ormai affare di tutti.

Perchè questa guida?

Questa guida è stata sviluppata per coloro che hanno bisogno di comprendere la gestione del rischio informatico sia a livello olistico che globale livello pratico. Ciò include i decisori organizzativi, i direttori, i manager e altri incaricati di sviluppare, implementare, valutare o approvare strutture e governance per la gestione del rischio informatico.

Lo scopo è dare a questo gruppo la fiducia nella supervisione dei quadri e dei programmi relativi al rischio informatico, nel chiedere il diritto domande e nella valutazione delle informazioni loro fornite.

Anche se le organizzazioni variano notevolmente in termini di dimensioni, livelli di maturità del rischio, strutture di governance e obblighi normativi, questa guida ha lo scopo di fornire una panoramica delle questioni di governance e di rischio che dovrebbero prendere in considerazione.

Dovrebbero farlo anche i team di senior management che supervisionano la tecnologia, i prodotti e altri sistemi e cambiamenti di processo comprendere le pratiche relative al rischio informatico all’interno del quadro generale di gestione del rischio dell’organizzazione e garantirle vengono attuati nell’ambito delle loro competenze.

Per coloro che sono coinvolti nell’implementazione dei quadri di riferimento del rischio informatico, questa Guida fornisce una visione olistica e onnicomprensiva governance, gestione del rischio, sicurezza informatica e standard.

Cos’è il rischio informatico?

Uno dei potenziali ostacoli per amministratori, dirigenti, professionisti della governance e alcuni professionisti del rischio aziendale nella valutazione dei rischi informatici, è il linguaggio tecnico utilizzato per descrivere i rischi e le minacce informatiche. Questo può essere impegnativo per chi ha un background non tecnico. Questa sezione fornisce alcune definizioni ed esempi per potenziarti con la conoscenza per avviare e condurre conversazioni.

Il National Institute of Standards and Technology (NIST), un’agenzia del Dipartimento di Giustizia degli Stati Uniti Commerce, nonché una delle principali autorità globali nello sviluppo di strutture di gestione del rischio informatico, definisce rischio informatico come: un effetto di incertezza su o all’interno dell’informazione e della tecnologia.

I rischi per la sicurezza informatica riguardano la perdita di riservatezza, integrità o disponibilità di informazioni, dati o sistemi informativi (o di controllo) e riflettono i potenziali impatti negativi sulle operazioni organizzative (vale a dire, missione, funzioni, immagine o reputazione) e beni, individui, altre organizzazioni e la Nazione.

La “sicurezza informatica” è la stessa cosa della “sicurezza delle informazioni”?

I termini possono essere usati in modo intercambiabile, tuttavia esiste un’importante distinzione. La sicurezza informatica è più ampia e può comprendere rischi per la sicurezza oltre le informazioni per includere la comunicazione e altri sistemi di rete e attività. Il NIST fornisce le seguenti utili definizioni:

Sicurezza delle informazioni – “La protezione delle informazioni e dei sistemi informativi da accessi, usi, divulgazione, interruzione, modifica o distruzione per garantire riservatezza, integrità e disponibilità”. Anche questo è la definizione adottata dall’Australian Cyber ​​Security Centre (ACSC).

Cybersecurity – “La capacità di proteggere o difendere l’uso del cyberspazio dagli attacchi informatici”, dove il cyberspazio è «la rete interdipendente delle infrastrutture dei sistemi informativi, tra cui Internet e le telecomunicazioni reti, sistemi informatici e processori e controllori incorporati”.

Cosa considerare quando si identificano informazioni e rischi informatici

Di seguito vengono illustrati i tre principi della sicurezza delle informazioni, ovvero riservatezza, disponibilità e integrità.

I rischi informatici, invece, sono molto più ampi e possono riguardare la sicurezza dei dati, i sistemi on-premise, il cloud,

catena di fornitura di terze parti, rischi umani, rischi di conformità e rischi tecnici. Copre entrambe le minacce “interne” da dipendenti o partner che potrebbero non essere intenzionali e “minacce esterne” da parte di attori malintenzionati e cyber criminali.

La tabella seguente include alcuni esempi di rischio informatico.

Violazione dei dati e esfiltrazione dei dati.

Una violazione dei dati è lo spostamento o la divulgazione non autorizzata di dati privati ​​sensibili o informazioni aziendali. Si verifica una violazione dei dati quando sono sensibili o personali le informazioni vengono consultate, divulgate o esposte a persone non autorizzate. Questo può verificarsi accidentalmente o come risultato di una violazione della sicurezza.

L’esfiltrazione dei dati in genere comporta il furto di dati personali da parte di un criminale informatico o dispositivi aziendali, come computer e telefoni cellulari, utilizzando vari metodi di attacco informatico. Una definizione comune di esfiltrazione di dati è il furto o rimozione o spostamento non autorizzato di dati da un dispositivo.

Negazione del servizio attacchi e Negazione distribuita di attacchi ai servizi

Gli attacchi Denial of Service (DoS) sono progettati per interrompere o deteriorare i servizi online quali siti Web, posta elettronica e servizi DNS (Domain Name System). Per raggiungere questo obiettivo, gli attori malintenzionati possono utilizzare una serie di approcci per negare l’accesso ai legittimi utenti di servizi online quali:

• utilizzo di più computer per dirigere un grande volume di traffico di rete indesiderato ai servizi online per consumare tutta la larghezza di banda di rete disponibile

• utilizzo di più computer per indirizzare il traffico su misura verso i servizi online in un tentare di consumare le risorse di elaborazione dei servizi online, o

• dirottare i servizi online nel tentativo di reindirizzare gli utenti legittimi lontano da tali servizi ad altri servizi.12

Un attacco DDoS (Distributed Denial of Service) è il luogo in cui è compresa la fonte indirizzi IP univoci multipli e distribuiti utilizzati per inondare la larghezza di banda o le risorse di un sistema o di una rete mirata.

Malware

Il software dannoso, noto come “Malware”, si riferisce a qualsiasi tipo di codice o programma utilizzato per uno scopo dannoso.

I criminali informatici utilizzano malware per molti motivi diversi. Il malware è comunemente utilizzato per:

• rubare informazioni e dettagli dell’account

• crittografare i dati a scopo di riscatto, oppure

• installazione di software all’insaputa dell’utente.

Un attacco malware può avere conseguenze gravi e continue. Il malware può anche agire come un punto di ingresso per i criminali informatici, aprendo la porta a ulteriori attività dannose.

Il malware può essere distribuito in diversi modi:

• tramite e-mail o messaggi di spam, sia come collegamento che come allegato

• da siti Web dannosi che tentano di installare malware durante la visita degli utenti

• sfruttando le debolezze del software su dispositivi come laptop e dispositivi mobili telefoni

• spacciandosi per un’applicazione affidabile che gli utenti scaricano e installano da soli, oppure

• fingere di essere antivirus o prodotti di sicurezza.14

Attacchi uomo in mezzo (man-in-the-middle)

Un attacco man in the middle (MITM) si verifica quando i criminali informatici intercettano e alterare il traffico di rete che scorre tra i sistemi IT. L’attacco MITM impersona sia i mittenti che i destinatari sulla rete. Ha lo scopo di indurre entrambi a inviare dati non crittografati che l’aggressore intercetta e può utilizzare per ulteriori attacchi o guadagno finanziario.

Attacchi di phishing

Il phishing è il modo in cui i criminali informatici inducono le persone a fornire informazioni personali informazioni. Inviano e-mail o messaggi di testo fraudolenti spesso fingendo di farlo provenire da organizzazioni grandi, conosciute e affidabili. Potrebbero tentare di rubare online login bancari, dettagli di carte di credito o password. Il phishing può comportare la perdita di furto di informazioni, denaro o identità. Ad esempio, lo spear-phishing avviene quando questi e-mail e messaggi di testo sono altamente mirati a un destinatario.

Ransomware

Il ransomware è un malware comune che rende i dati o i sistemi inutilizzabili fino al la vittima effettua un pagamento.17 Funziona bloccando o crittografando i file in modo che non possano non sarà più possibile accedervi. Viene richiesto un riscatto, solitamente sotto forma di criptovaluta per ripristinare l’accesso ai file. I criminali informatici possono anche chiedere un riscatto per prevenire dati e proprietà intellettuale vengano divulgati o venduti online.

Il ransomware as a service (RaaS) è ​​un adattamento dannoso del software come a modello di business dei servizi (SaaS). È un modello basato su abbonamento che vende o affitta strumenti ransomware pre-sviluppati che gli acquirenti, chiamati affiliati ransomware, possono eseguire attacchi ransomware.

Elementi chiave della governance

Il processo di governance informatica dovrebbe essere inquadrato nel quadro generale della governance aziendale

organizzazione e dovrebbero essere adeguati al tipo, alla struttura proprietaria, alle dimensioni, al settore e al profilo di rischio di tale organizzazione.

Il ruolo del consiglio e dei comitati di amministrazione

Il consiglio è responsabile della supervisione della governance aziendale di un’organizzazione e della gestione del rischio. Lo è anche responsabile delle prestazioni dell’organizzazione e della supervisione della gestione di una serie di attività interne e stakeholder esterni, compresi gli azionisti, ma anche, nel contesto dei rischi informatici, clienti, individui e spesso, il pubblico.

Compiti degli amministratori

I direttori delle società australiane hanno doveri fiduciari generali ai sensi sia della legge statutaria che della legge comune con cui agire cura e diligenza. I consigli di amministrazione degli enti regolamentati dall’APRA sono “responsabili in ultima istanza della sicurezza delle informazioni”. un’entità”. Vi sono crescenti aspettative normative in relazione alle responsabilità degli amministratori per il rischio informatico.[1]

Il ruolo del consiglio di amministrazione è comprendere il ambiente minaccioso, impostare la propensione al rischio, garantire che siano assegnate risorse adeguate all’attività, e poi (direttamente o

attraverso un sottocomitato) monitorare e supervisionare lo sviluppo, la manutenzione, e implementazione di sistemi idonei e processi per la difesa informatica, incidenti risposta e ripristino e cyber resilienza.

Allo stesso tempo, i registi possono sfruttare i vantaggi che la tecnologia offre ad un’organizzazione.

Il ruolo del consiglio di amministrazione

Il consiglio svolge un ruolo importante nella gestione del rischio. La conoscenza generale della sicurezza informatica è fondamentale nel sviluppo e autorizzazione della strategia e delle decisioni. La tabella seguente fornisce domande e attività che il Consiglio potrebbe voler prendere in considerazione.

Lista di controllo del consiglio di amministrazione

  • Sono in atto processi per monitorare l’evoluzione del panorama normativo e il Consiglio è sufficientemente attivo informati sulle leggi e sugli standard attuali e futuri prima delle riunioni e quando prendono decisioni vengono realizzati?
  • Il quadro dei rischi dell’organizzazione viene regolarmente rivisto e il consiglio di amministrazione dispone di processi per garantirlo?
  • la direzione ottiene consulenza e garanzie indipendenti ove richiesto?
  • In che modo il Consiglio garantisce una cultura del rischio a livello di tutta l’organizzazione, inclusa una cultura attenta alla sicurezza?
  • Garantire il livello adeguato ed equilibrato di investimenti nella sicurezza informatica rispetto al cyber rischi a cui va incontro l’organizzazione.
  • Decidere la struttura di cyber governance appropriata per raggiungere gli obiettivi aziendali.
  • Garantire che il consiglio riceva una formazione adeguata sulla sicurezza informatica e sulla gestione del rischio.
  • Supervisionare il quadro di governance generale, compresa la gestione del rischio e la sicurezza informatica.
  • Garantire un’adeguata rendicontazione al consiglio, o attraverso i suoi comitati, sulle strategie informatiche, sui rischi, progetti e attività.
  • Richiedere la gestione delle parti interessate, inclusi azionisti, clienti, autorità di regolamentazione ecc.
  • Garantire che il rischio contrattuale sia gestito in conformità con il quadro delle deleghe dell’organizzazione.
  • Comprendere e supervisionare la governance dei dati.
  • Una sfida per i consigli di amministrazione è acquisire e sviluppare conoscenze e competenze rilevanti in materia di rischio informatico, in modo che possano farlo supervisionare in modo sicuro ed efficace i programmi di rischio informatico e la gestione delle sfide come richiesto. Le tavole possono prendere in considerazione l’inclusione della gestione del rischio informatico nella sua “matrice delle competenze” per garantire che vi siano competenze rilevanti a bordo e/o livello di comitato consiliare.
  • Un’ulteriore sfida per i consigli di amministrazione è definire la materialità del rischio informatico e stabilire una propensione al rischio misurabile e tollerabile in relazione ai rischi informatici. Ciò stimola gli investimenti in capacità e sistemi di sicurezza informatica e informa obiettivi e traguardi prestazionali.

Comitati consiliari

A seconda della struttura dei comitati dell’organizzazione, può essere opportuno includere la gestione del rischio informatico nell’ambito di competenza di un comitato rischi a livello di consiglio, di un comitato di audit, di un comitato tecnologico o di un comitato informatico autonomo

Comitato. Ciò è di particolare rilevanza per consigli di amministrazione e organizzazioni più grandi con cyber dettagliati e complessi rischi. Le organizzazioni più piccole possono decidere di tenere tutte le discussioni a livello di consiglio.

Laddove possano esserci lacune nelle capacità interne, nella conoscenza e nell’esperienza, potrebbe essere opportuno aumentare a comitato con membri esterni per fornire maggiori competenze relative a lacune specifiche come la governance dei dati e le minacce protezione o tutela dell’identità

Le domande chiave dell’ASIC[2] per i consigli di amministrazione

Quadro di gestione del rischio

Monitoraggio del rischio informatico

Controlli

Risposta

Responsabilità e responsabilità

Una componente importante della governance è garantire che le responsabilità relative al rischio informatico siano assicurate gestione siano ben definiti e che tutti i membri dell’organizzazione ne siano consapevoli.

Il modo in cui vengono assegnate le responsabilità varierà ampiamente tra i diversi tipi di organizzazioni, a seconda del loro settore, dimensioni, rischi, normative e livello di risorse. Alcune organizzazioni possono avere un capo dedicato Responsabile della sicurezza delle informazioni. In altre organizzazioni, la responsabilità per il rischio informatico può rientrare nell’ambito di competenza del Consulente legale generale, Chief Technology Officer, Chief Risk Officer o Chief Financial Officer. Nelle organizzazioni più piccole, la responsabilità gestionale può spettare all’amministratore delegato, a cui vengono affidati i compiti dettagliati o a un fornitore esterno.

Dato che la responsabilità può essere distribuita tra molti individui e comitati, è necessario il coordinamento del rischio informatico; a tale proposito, gli sforzi di gestione sono cruciali.

Per le entità regolamentate dall’APRA[3], la definizione di ruoli e responsabilità per la sicurezza delle informazioni è richiesta dall’APRA.

Ciò include chiaramente la “definizione degli aspetti relativi alla sicurezza delle informazioni”, ruoli e responsabilità del Consiglio, dell’alta direzione, degli organi di governo e dei soggetti responsabili per le funzioni decisionali, di approvazione, di supervisione, operative e di sicurezza delle informazioni”. Tuttavia, la definizione dei ruoli e le responsabilità rappresentano una buona pratica di governance per tutte le organizzazioni.

Segnalazione

Il reporting sia ai consigli di amministrazione che ai team di gestione è un’area importante che in genere si evolve man mano che le organizzazioni aumenta la maturità del rischio informatico.

È utile che i decisori, siano essi amministratori o management, concordino informazioni e parametri tenuti a presidiare il rischio informatico. Ciò può includere la propensione al rischio e i livelli di tolleranza, dove sono stati stabilito. È utile anche che il consiglio di amministrazione e i dirigenti ricevano report e informazioni contestualizzate le metriche. Ad esempio, aggiornamenti formativi sulle tendenze del rischio informatico sugli asset chiave dell’organizzazione o una panoramica dell’architettura tecnologica.

Potrebbe essere opportuno prendere in considerazione l’utilizzo di un dashboard del rischio informatico per fornire una panoramica di alto livello dei rischi informatici, difese, progetti e attività, con ulteriori dettagli disponibili attraverso il supporto di report interattivi o statici.

Alcune organizzazioni potrebbero anche voler considerare come sviluppare registri dei rischi a cascata laddove operativi dettagliati i rischi informatici “si alimentano” nei rischi informatici di livello superiore e, a loro volta, nel registro dei rischi aziendali. Lo stesso approccio potrebbe anche essere utilizzato per piani operativi informatici, programmi e iniziative strategiche aziendali a cascata.

Domande da considerare per la segnalazione del rischio informatico

Assicurazione

Una sfida per i consigli di amministrazione e il management è ottenere garanzie affidabili che l’organizzazione sia effettivamente protetta dai rischi informatici. Alcune organizzazioni dispongono di una funzione di audit interno o di garanzia, che può svolgere un ruolo nel cyber garanzia del rischio e dei controlli.

La misura in cui è necessaria una garanzia esterna dipenderà dai seguenti fattori

Conoscenze e competenze informatiche del consiglio di amministrazione e del management nella revisione del reporting sulla gestione del rischio informatico.

Quando si coinvolgono fornitori esterni, è necessario ottenere garanzie in merito alla loro sicurezza informatica pratiche gestionali. Tali obblighi possono essere inseriti nei contratti con i fornitori; tuttavia, potrebbe non essere così possibile quando un’organizzazione più piccola si avvale di un fornitore più grande e ha un potere contrattuale limitato. In definitiva, i consigli di amministrazione e i gruppi dirigenti dovrebbero valutare se sia appropriato continuare a utilizzare i sistemi e servizi di fornitori terzi che non possono o non vogliono fornire informazioni complete sui loro sistemi e pratiche di sicurezza informatica.

Le organizzazioni dovrebbero anche considerare se hanno assunto requisiti contrattuali per aderire a specifici standard o certificazioni o sottoporsi a controlli periodici. Questi audit possono essere utili anche per i consigli di amministrazione e interni gestione per fornire un livello di garanzia che siano in atto processi e controlli adeguati e identificarne eventuali lacune nei controlli e nelle pratiche.

Elementi di rischio informatico

Quadro di gestione. Inizia con una strategia per il rischio informatico.

Idealmente le organizzazioni devono sviluppare una strategia di rischio informatico, supervisionata dal consiglio di amministrazione, adeguata alle loro dimensioni e scala. Una strategia di rischio informatico valuta adeguatamente l’attuale livello di sicurezza informatica e conformità e identifica come ridurre o eliminare al meglio i rischi noti e gestire l’esposizione futura ai rischi attraverso sistemi e processi che monitorano, valutano e adattano gli approcci attuali.

Monitorare, valutare e adattare

Le organizzazioni devono considerare il proprio quadro generale di sicurezza informatica alla luce di una varietà di linee guida, standard, obblighi contrattuali e legislazione.28 Ad alto livello, è importante considerare se la sicurezza informatica

la gestione del rischio è:

La sezione seguente descrive questi elementi in dettaglio.

Integrazione con Risk Framework

Una questione da considerare è se integrare la gestione del rischio informatico nella gestione del rischio dell’organizzazione

Quadro di riferimento a livello aziendale come parte di un approccio “dell’intera organizzazione” alla gestione del rischio.

A un livello più granulare, potrebbe non essere sempre pratico, poiché sono necessari processi standard di sicurezza informatica, procedure e strumenti. A questo livello, i framework informatici sono solitamente più dettagliati, tecnici e prescrittivi.

Il livello di dettaglio non appare tipicamente nel quadro dell’intera azienda ma dovrebbe essere coerente con esso.

La sezione 5 di questa guida descrive il processo di gestione del rischio stesso, tuttavia sarà inerente anche il rischio informatico altri processi, come la gestione e la governance dei dati, la gestione delle crisi, la continuità aziendale e ripristino di emergenza.

Le organizzazioni di alcuni settori (vedi Sezione 8) possono essere soggette a requisiti specifici in relazione al loro rischio

quadri[4].

Generalmente lo saranno il Protective Security Policy Framework (PSPF) e l’Information Security Manual (ISM), rilevanti per gli enti e le organizzazioni di servizio pubblico australiane che forniscono informazioni e comunicazioni servizi tecnologici (ICT) al governo.

Adozione di uno standard

Oltre a rispettare eventuali requisiti legislativi relativi alla gestione e all’informazione del rischio informatico e alla sicurezza, le organizzazioni possono anche adottare standard volontari, alcuni dei quali offrono anche la certificazione.

È importante che le organizzazioni considerino i benefici e i costi dell’implementazione della gestione del rischio quadri e controlli allineati agli standard di seguito. I vantaggi includono la garanzia di una forte sicurezza informatica postura per gli stakeholder interni, come consigli di amministrazione e management, e dimostrando un impegno forte sicurezza informatica per le parti interessate esterne, inclusi azionisti e investitori, clienti, fornitori e autorità di regolamentazione.

Un numero crescente di clienti aziendali, sia privati ​​che governativi, richiede il rispetto di misure di sicurezza informatica, standard di gestione del rischio o di tecnologia informatica come requisito contrattuale.

Tuttavia, anche l’implementazione di programmi, controlli e audit esterni e certificazioni può avere un impatto significativo sui costi, che influenzeranno anche la decisione di un’organizzazione.

Di seguito sono riportati gli standard e i framework comunemente utilizzati.

L’Australian Cyber ​​Security Centre (ACSC) ha sviluppato gli “Essenziale 8” come linea di base che le organizzazioni possono adottare come primo passo. Le organizzazioni possono misurare i propri livelli di maturità rispetto al modello Essential 8. ACSC consiglia che le organizzazioni mirano allo stesso livello di maturità nelle otto strategie di mitigazione.

Le 8 strategie di mitigazione sono:

Manuale sulla sicurezza delle informazioni (ISM)

L’ISM è stato sviluppato anche dall’ACSC con la consulenza dell’Australian Signals Directorate (ASD). È mirato a organizzazioni più grandi con team di sicurezza informatica e ruoli consolidati come Chief Information Security Officer e Chief Information Officer. Delinea un quadro di sicurezza informatica che adotta un approccio basato sul rischio e può esserlo applicato utilizzando il quadro di gestione del rischio esistente di un’organizzazione.

Il manuale delinea cinque “principi di sicurezza informatica”31:

governo / protezione / controllo / risposta / recupero

Fornisce inoltre linee guida per

Quadro di sicurezza informatica del NIST

Il Cyber ​​Security Framework (CSF) del National Institute of Standards and Technology (NIST) è un sistema comunemente utilizzato quadro di sicurezza informatica a livello globale. La versione 2.0 è stata rilasciata nel febbraio 2024.

Il framework NIST è un insieme di linee guida progettate per aiutare le organizzazioni a gestire e ridurre i rischi di sicurezza informatica.

Il Framework fornisce un approccio flessibile per assistere le organizzazioni di tutte le dimensioni, in qualsiasi settore, ad applicare il principi e le migliori pratiche di gestione del rischio per migliorare la sicurezza e la resilienza delle loro infrastrutture critiche.

Il quadro NIST è costituito da tre componenti principali

È importante notare che il Quadro è volontario e funge da guida piuttosto che da una serie di obblighi. Le organizzazioni possono utilizzare il Framework per determinare il loro attuale livello di sicurezza informatica e fissare obiettivi misure di sicurezza informatica e stabilire un piano per migliorare o mantenere la propria posizione di sicurezza informatica.

Passaggi per la creazione e l’utilizzo di un Cyber ​​Security Framework: profilo organizzativo[5]

La norma ISO 27001:2022 sviluppata dall’International Standards Organization (ISO) è uno standard internazionale contro della quale è possibile ottenere anche la certificazione. È lo standard più conosciuto al mondo per la sicurezza delle informazioni dei sistemi di gestione (ISMS) e definisce i requisiti che l’ISMS deve soddisfare ma è più ampio del cyber.32 Fornisce aziende di qualsiasi dimensione e di tutti i settori di attività con guida per la costituzione, l’implementazione, il mantenimento e migliorare continuamente un sistema di gestione della sicurezza delle informazioni.

La norma ISO 27001 promuove un approccio olistico alla sicurezza delle informazioni: controllo delle persone, delle politiche e della tecnologia.

il sistema di gestione della sicurezza delle informazioni implementato secondo lo Standard è uno strumento per la gestione del rischio, resilienza informatica ed eccellenza operativa.

Le organizzazioni o le imprese conformi alla norma ISO 27001 hanno messo in atto un sistema per gestire i rischi legati alla sicurezza dei dati che possiede o gestisce, con tale sistema nel rispetto di tutte le migliori pratiche e principi sanciti la norma.

Considerati i crescenti livelli di criminalità informatica e le nuove minacce che emergono costantemente, può sembrare difficile o addirittura impossibile gestire i rischi informatici. La norma ISO 27001 ha lo scopo di aiutare le organizzazioni a diventare consapevoli dei rischi e in modo proattivo identificare e affrontare i punti deboli.33

Altri standard utili

Altri standard utili nell’uso commerciale includono il punteggio sicuro di Microsoft e il Center for Internet Security Controls (CIS) controlli di sicurezza critici.34

Fare riferimento alla Sezione 8 per un elenco di riferimento di standard, quadri normativi e certificazioni.

Ruolo della cultura

Creare una cultura cyber-consapevole è essenziale per gestire il rischio informatico. Gestione del rischio in generale, compreso quello informatico

Il rischio non riguarda solo i sistemi e l’hardware, ma anche le persone. Le persone a tutti i livelli di un’organizzazione possono farlo decisioni che hanno impatti negativi, vengono manipolate attraverso l’ingegneria sociale e commettono errori. Possono essere inoltre proattivi e vigili, tutelando l’organizzazione.

Una cultura cyber-consapevole e cyber-resiliente sarà efficace solo se si inserisce in una cultura generale di trasparenza e “parlare apertamente”, che promuove il buon governo e la gestione del rischio in generale. Questo renderà tutto più semplice e di più è probabile che le persone parlino apertamente e sollevino i rischi informatici.

Un elemento fondamentale di un quadro di sicurezza informatica è la formazione regolare, la sensibilizzazione e le esercitazioni sugli incidenti

La cultura incoraggerà inoltre le persone a segnalare attività e incidenti sospetti, ad esempio le e-mail di phishing

o testi e integrano la considerazione del rischio informatico nel loro processo decisionale. Ciò può verificarsi a bordo o livello esecutivo, ma dovrebbe anche far parte di altri forum e comitati che prendono decisioni sui cambiamenti dei sistemi, nuovi prodotti o processi.

Durante le trasformazioni tecnologiche o qualsiasi progetto IT, potrebbe essere opportuno condurre un impatto informatico valutazione. Questa valutazione considera come il nuovo progetto potrebbe avere un impatto sulla postura informatica dell’organizzazione, compresa la sua superficie di attacco. Risponde a domande come:

• Questo progetto introdurrà nuovi rischi informatici, come un sistema di backup di terze parti?

• Questo progetto creerà, rimuoverà, amplificherà o diminuirà eventuali controlli informatici?

• Dove verranno archiviati i dati?

• Chi dovrebbe avere accesso ai sistemi e ai dati nel nuovo progetto?

• In che misura l’intelligenza artificiale viene utilizzata nelle nuove applicazioni e ciò dà origine a nuove minacce?

• In che modo l’attuale quadro di gestione del rischio informatico e il quadro di governance dei dati saranno influenzati dal nuovo progetto?

• Eventuali nuove informazioni personali o sensibili verranno archiviate e come verranno gestite?

• Il nuovo sistema richiederà ulteriori classificazioni o etichette dei dati?

Capacità e risorse

Indipendentemente dalla forza del quadro di sicurezza informatica di un’organizzazione, non sarà efficace senza le competenze, competenze e risorse per implementarlo. Ciò include l’attrazione dei talenti giusti sia internamente che esternamente e formazione continua sia per i dipendenti in prima linea che per il management.

C’è anche una crescente necessità che i professionisti tecnici comprendano la strategia aziendale, gli obiettivi e le informazioni processi e comunicare in modo efficace in termini di business. Questo dovrebbe essere considerato durante il reclutamento o esternalizzare questi ruoli.

Un approccio “dell’intera organizzazione” alla gestione del rischio informatico deve considerare come un gruppo potenzialmente ampio di individui o gruppi lavoreranno insieme. Una gestione efficace del rischio informatico richiederà competenze in materia di sicurezza informatica, informatica in generale, gestione del rischio, legale, comunicazione e altre competenze. Spesso includerà sia i team interni che quelli in outsourcing.

La chiave per raggiungere questo approccio è identificare le competenze necessarie per stabilire, implementare e mantenere il rischio informatico pratiche e definendo chiaramente ruoli, aspettative e modalità di lavoro.

Per le organizzazioni più piccole, la gestione di un fornitore in outsourcing può ricadere su una sola funzione. All’altra estremità dello spettro, le organizzazioni più grandi avranno team numerosi che dovranno tenersi aggiornati sulle tecnologie emergenti e sui rischi in evoluzione.

Domande da porre sul tuo framework

Valutazione del rischio

Come vengono integrate le valutazioni del rischio informatico nel nostro quadro e nei nostri processi di rischio?

Esiste un processo per quantificare i rischi?

Preparazione

Come ci siamo preparati per il noto/plausibile rischi per la sicurezza delle informazioni?

L’organizzazione ha intrapreso un esercizio per comprendere il proprio patrimonio informativo e le minacce e le vulnerabilità relative a tali asset?

È stato avviato un programma di garanzia del controllo stabilito per confermare quanto sopra?

Sicurezza delle informazioni

Di chi è stata data la responsabilità gestire la sicurezza delle informazioni e chi lo è in definitiva responsabile?

Hanno progettato e funzionante in modo efficace controlli sono stati implementati per prevenire, rilevare e rispondere agli incidenti legati alla sicurezza delle informazioni?

L’organizzazione dispone del necessario competenze e capacità (a tutti i livelli – compreso la tavola) per interpretare e comprendere la sicurezza delle informazioni è importante e crea decisioni appropriate?

Avere report e metriche misurabili propensione/soglie/tolleranze al rischio istituito per garantire la sicurezza delle informazioni supervisione e processo decisionale?

Costi

Come è stata l’efficacia del controllo in termini di costi?

Determinare e garantire che il costo del controllo sia proporzionato al rischio/riduzione del rischio.

Persone e cultura

I dipendenti dell’organizzazione sono stati formati sulle potenziali minacce per l’organizzazione, e sulle loro responsabilità in materia di sicurezza delle informazioni?

I controlli dei precedenti o le autorizzazioni di sicurezza sono stati utilizzati per stabilire la fiducia nell’organizzazione

dipendenti?

Le politiche e le procedure dell’organizzazione e i processi sono in linea con le norme legali e normative requisiti e/o buone pratiche?

Il personale è incoraggiato a segnalare sospetti attività e incidenti?

Esistono esercitazioni organizzate per simulare un attacco informatico scenario?

La responsabilità della sicurezza informatica è isolata?

Sicurezza informatica

Come viene stabilita la propensione al rischio informatico da parte del consiglio?

Viene reso operativo dal quadro di sicurezza informatica?

In che modo il consiglio determina la materialità in relazione ai rischi per la sicurezza informatica in modo da informare priorità ed eventualmente rispetto obblighi di divulgazione?

Dati

Il nostro quadro comprende la valutazione del rischio di terzi, compreso il rischio di condivisione informazioni o fornire l’accesso a terzi?

Abbiamo identificato le criticità dell’organizzazione attività?

Disponiamo di un processo per la governance dei dati e protezione?

Processo di gestione del rischio

Vi è un crescente riconoscimento dell’importanza della resilienza agli attacchi informatici, e l’ASIC sottolinea che è “essenziale a tutte le organizzazioni che operano nell’economia digitale”.

Le organizzazioni cyber-resilienti devono includere la sicurezza informatica come parte della loro gestione complessiva del rischio sforzi. La gestione e la risposta agli incidenti sono diventate sempre più importanti per consigli di amministrazione, dirigenti e altri soggettiin seguito alla pandemia di COVID-19 e agli episodi di attacchi informatici di alto profilo in Australia.

Identificazione, valutazione e valutazione del rischio

Comprendere il profilo di rischio informatico e le vulnerabilità dell’organizzazione è essenziale per valutarne l’efficacia gestione del rischio, controlli, standard e dove dovrebbero risiedere le priorità.

Per comprendere i rischi, le organizzazioni devono capire cosa è a rischio, ovvero cosa ha valore per l’organizzazione?

Questo varierà tra le organizzazioni. Potrebbe essere una combinazione di dati, reputazione per operazioni senza interruzioni, beni fisici e infrastrutture o entrate che dipendono da un bene, come un sito web. Identificazione e la valutazione dei rischi richiede la comprensione del contesto in cui opera l’organizzazione.

Con l’evoluzione della tecnologia, evolvono anche i rischi informatici. Le organizzazioni devono prendere in considerazione la revisione dei propri rischi e controlli informatici quando si introducono nuove tecnologie, nuovi fornitori o si cambia tecnologia.

Se l’organizzazione dispone già di un processo di gestione del rischio, può essere utile utilizzare la gestione del rischio esistente processi per l’identificazione, la valutazione e la registrazione dei rischi, ad esempio, in un registro dei rischi.

Le domande da porre sul proprio profilo di rischio informatico possono includere:

Attori di minacce: è probabile che tu sia il bersaglio di uno dei seguenti: criminali informatici che cercano estorsioni o negazione del servizio, attori statali, hacktivisti, concorrenti, attuali dipendenti scontenti o ex dipendenti?

Sei esposto ai rischi della catena di fornitura, comprese terze e quarte parti nel tuo ecosistema?

Hai identificato le tue competenze interne e le vulnerabilità del sistema, inclusa una valutazione delle chiavi processi, sistemi e persone? E quali politiche sono in atto per gestire questi rischi?

Hai adottato nuove tecnologie come il cloud computing, l’internet delle cose (IOT) o quelle artificiali intelligenza (AI)?

Quali dati conservi? Quanti dati sono troppi? I dati organizzativi o dei clienti sono detenuti da terzi? Quali sono i tuoi “gioielli della corona”?

Rischi umani – Quali sono i rischi umani, sia interni che esterni?

Shadow AI: in che modo il management garantisce che l’intelligenza artificiale utilizzata all’interno dell’organizzazione sia sanzionata, all’interno politica e nota all’IT e al cyber team?

In base alle risposte a quanto sopra:

Quali scenari di rischio/minaccia sono più rilevanti per la vostra organizzazione?

Che cosa costituisce un rischio o un incidente informatico materiale e disponiamo di controlli adeguati per il nostro

rischi materiali?

Cosa potrebbe causare danni e vulnerabilità all’organizzazione:

perdita di dati di altre parti?

divulgazione di informazioni riservate?

incapacità di operare e servire i clienti o il pubblico?

Qual è la soglia per notificare al management esecutivo e al consiglio di amministrazione un evento informatico?

Disponiamo di un centro operativo di sicurezza (SOC) monitorato 24 ore su 24, 7 giorni su 7, 365 giorni all’anno?

Usiamo un feed di intelligence sulle minacce nelle nostre difese informatiche?

Valutiamo regolarmente l’efficacia dei nostri sistemi di gestione del rischio informatico?

Quando è stata eseguita l’ultima volta un penetration test e una valutazione delle vulnerabilità?

Ci sono state recenti violazioni o quasi incidenti?

Trattamento e controlli del rischio

Il trattamento del rischio deve prendere in considerazione i controlli sia per i rischi tecnici che per quelli umani, e considerare anche gli attacchi esterni come attacco o errore interno. Il quadro di controllo dovrebbe includere controlli preventivi, investigativi e correttivi.

Il trattamento del rischio comprende anche la mitigazione e il recupero.

Non è possibile elencare tutti i controlli possibili. Molti sono delineati negli standard a cui si fa riferimento in questa pubblicazione e includere:

• Sicurezza fin dalla progettazione, ovvero considerare i rischi informatici nelle prime fasi del processo di pianificazione delle modifiche tecniche e sviluppo del prodotto, piuttosto che condurre una revisione finale e dover accettare rischi o rischi significativi modificare i disegni.

• Intelligenza: comprendere l’ambiente delle minacce.

• Adottare un approccio “zero trust” per fornire l’accesso alle informazioni e ai dati solo ai ruoli che lo richiedono tramite

Controlli di accesso basati sui ruoli (RBAC).

• Politiche come parte del Programma di sicurezza informatica – ad esempio, classificazione dei dati, uso della tecnologia, risorse gestione e manutenzione.

• Controlli di accesso alle informazioni sensibili, inclusa la revoca dei diritti di accesso al sistema e alle informazioni di un utente non è più necessario, ad esempio, se qualcuno cambia ruoli e responsabilità o lascia l’organizzazione.

• Alcune leggi potrebbero richiedere controlli dei precedenti personali e autorizzazioni per dipendenti e appaltatori.

• Controlli sulle persone – formazione, test, ad esempio, per l’ingegneria sociale.

Test esterni: sia di persone che di sistemi, ad esempio test di penetrazione.

• Controlli di rilevamento: ad esempio, un sistema di rilevamento delle intrusioni che rileva attività sospette.

• Mitigazione attraverso piani di risposta agli incidenti o attraverso il trasferimento del rischio, ad esempio, l’assicurazione. Vedi la sezione di seguito per maggiori dettagli.

• Come testare al meglio i controlli e identificare le lacune. Come delineato nella Sezione 9, esistono strutture che possono aiutare organizzazioni con controlli di sicurezza informatica.

Gestione degli incidenti, delle crisi e della continuità aziendale

Integrare la pianificazione degli incidenti di sicurezza informatica nella crisi e nella continuità aziendale Quadri di pianificazione (BCP).

Con una maggiore attenzione alla resilienza organizzativa, è essenziale che le organizzazioni incorporino la sicurezza informatica eventi nei processi di gestione degli incidenti, gestione delle crisi, ripristino di emergenza IT e continuità aziendale.

Questi concetti sono descritti più dettagliatamente di seguito.

Continuità aziendale: la capacità di un’organizzazione di continuare a fornire prodotti e servizi entro tempi accettabili e con una capacità predefinita durante un’interruzione

Gestione della crisi: risposta a un evento dirompente, in modo efficace e tempestivo, con l’obiettivo di evitare o ridurre al minimo i danni alla redditività, alla reputazione e alla capacità di operare dell’organizzazione.

Incidente: un evento che può essere, o potrebbe portare a, un’interruzione, una perdita, un’emergenza o una crisi.

È buona pratica che le organizzazioni dispongano di piani di gestione delle crisi e di piani di continuità operativa

utilizzato da team esecutivi, consigli di amministrazione e team di risposta in una vasta gamma di situazioni. Tali piani sono sufficientemente ampi da coprono non solo eventi di sicurezza informatica ma anche situazioni come disastri naturali, pandemie, questioni legali o reputazionali

Crisi e fallimenti del sistema.

La sfida per le organizzazioni è avere un piano che delinei le persone chiave, i ruoli chiave e come si comporteranno i vari team; lavorare insieme non deve essere troppo prescrittivo per essere applicato a eventi imprevisti, ma ne includa anche una serie piani di risposta prescrittivi per scenari specifici.

Ad esempio, un piano di risposta al furto di dati sensibili e dati obbligatori notifica di violazione, ransomware o altre richieste di estorsione o interruzione del sistema di negazione del servizio. Idealmente, questi scenari sarebbero coerenti con i rischi informatici identificati e valutati durante il rischio dell’organizzazione processo di valutazione.

Lo standard internazionale per i sistemi di gestione della continuità operativa è ISO 22301:2019 Sicurezza e resilienza

— Sistemi di gestione della continuità operativa — Requisiti. 41 Fornisce un quadro di riferimento affinché le organizzazioni possano pianificare, stabilire, implementare, gestire, monitorare, rivedere, mantenere e migliorare continuamente una gestione documentata sistema per proteggere, ridurre la probabilità e garantire il ripristino da incidenti distruttivi.

Le linee guida di buona pratica (GPG) sono un’altra guida per i professionisti della continuità aziendale e della resilienza. Il GPG viene utilizzato come fonte di informazioni per individui e organizzazioni che cercano di comprendere la continuità aziendale come parte delle loro campagne di sensibilizzazione e dei programmi di formazione. Il GPG adotta un approccio collaborativo continuità aziendale, garantendo che le organizzazioni e gli individui comprendano come lavorare con il relativo management discipline adatte alla pianificazione delle crisi.

Pianificazione

La fase di pianificazione della continuità operativa prevede l’identificazione di quali sistemi e processi sono critici e la valutazione l’impatto di un evento informatico e delineando come l’organizzazione continuerà a operare durante l’evento dirompente evento e recuperare.

La pianificazione della gestione degli incidenti implica la definizione di cosa potrebbe essere un incidente, in questo caso un incidente informatico, e come il team di gestione degli incidenti identificherebbe la presenza di un incidente, classificherebbe l’incidente, lo conterrebbe o lo intensificherebbe.

I piani di gestione degli incidenti in genere includono la classificazione degli incidenti, incluso il luogo in cui sono diventati crisi.

Il piano di gestione della crisi dovrebbe definire cosa costituisce una crisi per l’organizzazione, delinearne il ruolo

team di gestione della crisi e specificare chi è necessario in una crisi informatica. Ciò può comportare domande impegnative e conversazioni sull’opportunità di coinvolgere attivamente i membri del consiglio o particolari dirigenti senior perché aggiungerebbero valore alla situazione o dovrebbero essere informati. Ciò varierà a seconda delle organizzazioni.

Per gli incidenti di sicurezza informatica viene spesso creato un piano di risposta agli incidenti di sicurezza informatica (CSIRP) che contiene a numero di “playbook” per rispondere e recuperare efficacemente da un incidente e mantenere i servizi.

Tutti i piani devono delineare ruoli e responsabilità per i singoli ruoli e team, compresi i consigli di amministrazione, l’esecutivo, altri leader, comunicazione interna ed esterna, tecnologia e legale. Dovrebbero anche delineare la frequenza con cui i team si incontreranno e come registreranno i problemi e le decisioni.

La comunicazione è vitale in tutti i punti del processo. Gli eventi informatici possono muoversi rapidamente e quanto più grande è l’organizzazione è, più persone saranno coinvolte.

Una considerazione chiave è il modo in cui i team interagiranno, inclusi i seguenti:

• Gestione delle crisi (coinvolgendo i dirigenti senior e forse il consiglio di amministrazione).

• Team di gestione degli incidenti e team tecnici: isolamento, ripristino del backup, analisi forense.

• Team aziendali che gestiscono il settore legale e assicurativo.

• Gestione dei clienti, e

• Media e pubbliche relazioni

È utile che i leader dell’organizzazione abbiano considerato le potenziali decisioni prima che si verifichi un evento di crisi:

• L’organizzazione pagherebbe una richiesta di ransomware? In quali circostanze, ad esempio, la sicurezza pubblica, sarebbe legale farlo, poiché potrebbe non essere legale in determinate situazioni?

• Qual è il procedimento legale interno e particolari incidenti dovrebbero essere segnalati alle forze dell’ordine del luogo in cui si trovano?

non è un obbligo legale farlo?

• In un evento cyber, chi deve essere coinvolto e chi deve essere informato?

• Quali sono i requisiti di notifica dell’organizzazione: normativi, contrattuali e reputazionali?

• A che punto deve essere informato l’assicuratore, e se deve essere presentata una richiesta di indennizzo, in base a quale polizza (annotando, ad esempio, che a una richiesta di ransomware si possa rispondere con una policy informatica o con una policy relativa ai crimini)?

La tabella seguente illustra la gamma di requisiti di notifica degli incidenti informatici applicabili in Australia

L’AUSTRAC[6] ha inoltre pubblicato linee guida per le violazioni dei dati in relazione alle entità regolamentate dall’AUSTRAC che lo sono incoraggiato a notificare all’AUSTRAC le violazioni dei dati.

Formazione, test ed esercitazioni

È fondamentale fornire formazione a tutti coloro che svolgono un ruolo nei team di gestione degli incidenti o delle crisi.

Sono importanti anche esercizi per convalidare il piano e documentare gli apprendimenti e i miglioramenti.

La frequenza degli esercizi dipenderà dalle circostanze, dal profilo di rischio e dalla maturità del processo di ciascuna organizzazione.

Ad esempio, un esercizio che coinvolge i dirigenti senior e il consiglio di amministrazione potrebbe essere condotto potenzialmente una volta all’anno compreso un esperto esterno. Tuttavia, i team addetti agli incidenti che rispondono regolarmente agli incidenti informatici possono scegliere di farlo impegnarsi in esercizi più frequentemente, ad esempio trimestralmente.

I formati degli esercizi possono variare da descrizioni dettagliate dei piani, facilitazioni guidate o esercizi a “sorpresa”, a seconda della maturità dei piani e dell’esperienza dei partecipanti.

Revisione post-incidente e lezioni apprese

È buona pratica condurre una revisione post-incidente delle crisi, degli incidenti e dei quasi incidenti (incidenti che si sono verificati senza che si verifichino danni o danni) per rivedere come i piani hanno funzionato nella pratica e determinare miglioramenti il futuro.

Regolamentazione emergente e assistenza governativa

Le organizzazioni dovrebbero monitorare gli sviluppi normativi emergenti, in particolare in materia di privacy e protezione dei dati legislazione e sicurezza delle infrastrutture critiche e che comprendono obblighi ed eventuale assistenza in materia cyber incidenti e ransomware. Fare riferimento alla sezione 8 per ulteriori dettagli.

Ulteriori modifiche normative potrebbero derivare anche dalla strategia di sicurezza informatica 2023-2030 dell’Australia così com’è progressivamente attuato.

Ulteriori domande da considerare

È chiaro quando un evento di sicurezza informatica attiverà il piano di crisi?

Sono previsti una procedura e dei criteri di escalation nel piano per incidenti, continuità aziendale e crisi?

Chi prende le decisioni chiave? Ad esempio, dichiarare una crisi, contattare le forze dell’ordine, il pubblico

annunci o richieste di riscatto.

Qual è il ruolo del consiglio in un incidente informatico?

Chi dovrebbe comunicare con i media e le altre principali parti interessate durante un evento informatico?

Il piano di crisi è stato esercitato/testato in relazione a uno scenario di evento informatico?

È disponibile l’assistenza governativa?

Qualora un fornitore esterno, Security Operation Center (SOC)/Cyber ​​Incident Response Service, essere impegnato 24 ore su 24, 7 giorni su 7 per aumentare la squadra centrale?

Esistono obblighi contrattuali riguardanti la notifica (ad esempio, ai partner commerciali, clienti o fornitori?

Assicurazione informatica

L’assicurazione è vista come una forma di “trasferimento del rischio”, in cui si assume il rischio dei costi finanziari di un incidente informatico dagli assicuratori. Non è possibile assicurarsi contro i danni alla reputazione ed è importante implementare il rischio gestione e controlli oltre all’acquisto di eventuali assicurazioni.

Inoltre, negli ultimi tempi il mercato assicurativo e l’aumento dei costi dei premi hanno svolto un ruolo importante nel processo decisionale anni sull’opportunità di acquistare una polizza assicurativa informatica. Identificare e valutare gli impatti dei rischi informatici in I dettagli delineati in questa guida possono aiutare le organizzazioni a prendere una decisione informata sull’assicurazione informatica.

Le polizze assicurative informatiche autonome variano in termini di ciò che coprono. In generale, coprono i “costi di prima parte”, che sono i costi direttamente sostenuti dall’assicurato, ad esempio l’assunzione di investigatori forensi. Politiche in genere coprono anche i “costi di terzi”, ovvero i costi per i quali un’organizzazione potrebbe essere responsabile nei confronti di altre parti a causa dell’evento. Questi potrebbero includere risarcimenti ai clienti o multe emesse dalle autorità di regolamentazione che tali multe possono essere recuperabili dall’assicurazione per legge.

Aree specifiche di copertura possono includere:

  • la responsabilità multimediale,
  • la responsabilità in materia di sicurezza e privacy,
  • la difesa normativa sulla privacy e sanzioni,
  • costi di risposta alla violazione della privacy,
  • spese di notifica al cliente,
  • assistenza e credito al cliente monitoraggio delle spese,
  •  protezione delle risorse di rete,
  • estorsione informatica,
  • terrorismo informatico,
  • dati del settore delle carte di pagamento
  • multe e accertamenti secondo lo standard di sicurezza (PCI DSS) e criminalità informatica, comprese frodi finanziarie e telecomunicazioni frodi e attacchi di phishing.

La copertura informatica può essere inclusa anche in altre polizze assicurative, come le polizze di indennizzo; tuttavia, lo è spesso specificatamente esclusi da tali politiche. È importante collaborare con broker assicurativi e assicuratori per capire dove possono esistere lacune nella copertura assicurativa e dove la copertura può sovrapporsi.

Il livello di copertura sarebbe idealmente allineato agli impatti dei rischi e alle conseguenze calcolati e valutati attraverso il processo di gestione del rischio dell’organizzazione. Ciò aiuterà anche a cercare un’assicurazione informatica come assicuratori ora richiedono informazioni dettagliate da parte delle organizzazioni sui rischi informatici e sui controlli di sicurezza informatica.

È anche importante notare il ruolo dell’assicurazione informatica nella risposta alla crisi in caso di incidente informatico. Il professionista consulenti a cui è possibile accedere nell’ambito delle polizze assicurative informatiche, come consulenti forensi, legali e di pubbliche relazioni potrebbe essere particolarmente utile per le organizzazioni che non dispongono di capacità interne. Le organizzazioni dovrebbero indagare con il loro broker e assicuratore come funzionerebbe nella pratica questa assistenza durante un evento informatico.

Consigli per l’assicurazione informatica

• Valutare se sia più conveniente acquistare un’assicurazione informatica o autoassicurarsi.

• Prendere in considerazione l’idea di impegnarsi nella quantificazione del rischio informatico per informare le discussioni sui premi assicurativi informatici e copertura.

• Assicurati di essere a conoscenza della copertura fornita nelle tue polizze specifiche. La copertura varia ampiamente tra le polizze assicurative disponibili sul mercato, e questo potrebbe non essere evidente finché non viene presentata una richiesta di risarcimento.

• Essere consapevoli dei potenziali cambiamenti normativi poiché si tratta di un settore in rapida evoluzione.

• Garantire tutte le misure necessarie durante un incidente informatico, come la notifica all’assicuratore prima delle spese subiti, sono inclusi nel piano di gestione degli incidenti della tua organizzazione così come i loro dettagli di contatto se durante l’incidente verranno utilizzati i consulenti esterni dell’assicuratore.

• Tieni presente che può essere necessario del tempo per valutare l’impatto finanziario completo di un incidente informatico, che potrebbe avere un impatto sul termine per ricevere il pagamento di una richiesta di indennizzo assicurativo.

Il panorama normativo

OMISSIS PERCHE’ RIFERITO AD ASPETTI NORMATIVI TIPICI DELL’AUSTRALIA

Strategia australiana per la sicurezza informatica 2023-2030

Piano d’azione

Pubblicate dal governo federale nel novembre 2023, la Strategia australiana per la sicurezza informatica 2023-2030 e Il piano d’azione australiano per la sicurezza informatica 2023-2030 che accompagna la strategia, che integra la strategia, ne definisce la chiave iniziative di sicurezza informatica da realizzare nei prossimi due anni. Questi documenti delineano proposte significative riforme legislative per introdurre sei scudi informatici:

• Un obbligo di segnalazione del ransomware senza colpa e senza responsabilità per le aziende

• Modifiche ai requisiti di conservazione dei dati concentrandosi sui dati non personali per affrontare gli oneri e i rischi relativi a soggetti che detengono quantità significative di dati per un periodo più lungo del necessario

• Ulteriori modifiche alla legge SOCI per sottoporre i fornitori di telecomunicazioni a una più rigorosa segnalazione informatica requisiti spostando la regolamentazione della sicurezza per questo settore dal Telecommunications Act del 1997 al SOCI Agire chiarendo e aumentando gli obblighi informatici per settori quali fornitori di servizi gestiti, aviazione, entità regolamentate da strutture marittime e offshore

• Un rafforzamento del potere di revisione e di rimedio da parte del governo, e

• Come ultima risorsa, tutti i rischi conseguono al potere di gestione laddove il governo sarebbe in grado di autorizzare azione per gestire le conseguenze di un incidente di rilevanza nazionale.

Intelligenza artificiale (AI)

Il 26 marzo 2024 il Senato ha deliberato l’istituzione della Commissione ristretta per l’adozione dell’intelligenza artificiale

(AI), per indagare e riferire sulle opportunità e sugli impatti per l’Australia derivanti dall’adozione dell’IA tecnologie in Australia. I termini di riferimento del Comitato possono essere trovati qui. Il Comitato è si prevede di presentare la sua relazione finale nel settembre 2024. Il Comitato prenderà in considerazione gli approcci internazionali per regolamentare le attività legate all’intelligenza artificiale, come l’European AI Act – il primo nel suo genere – che mira regolamentare le attività ad alto rischio attività. La legge UE sull’IA classifica l’IA in base al rischio, pertanto nella maggior parte dei casi il rischio inaccettabile è vietato legge relativa ai sistemi di IA ad alto rischio, che sono regolamentati. Una sezione più piccola gestisce i sistemi di intelligenza artificiale a rischio limitato, che sono soggetti a obblighi di trasparenza più leggeri. Gli sviluppatori e i distributori devono garantire che gli utenti finali siano consapevoli che interagiscono con l’intelligenza artificiale, ad esempio, chatbot e deepfake. Nell’UE, la maggior parte degli obblighi ricadranno sugli sviluppatori di sistemi di IA ad alto rischio, compresi quelli che intendono commercializzare o mettere in servizio l’IA ad alto rischio sistemi nell’UE, indipendentemente dal fatto che abbiano sede nell’UE o in un altro paese, nonché in altri paesi stranieri fornitori in cui i risultati del sistema di IA ad alto rischio vengono utilizzati nell’UE. La maggior parte delle altre giurisdizioni hanno adottato un guardrail approccio alla regolamentazione degli utilizzatori dell’IA attraverso codici di condotta, strumenti e orientamenti e un modello di governance dell’IA Quadri.

Il governo australiano ha pubblicato la sua risposta provvisoria alla consultazione sul sostegno all’IA responsabile documento di discussione nel gennaio 2024. Principi che guidano la risposta provvisoria del governo australiano a sostegno della sicurezza e l’IA responsabile includono quanto segue:

• un approccio basato sul rischio

• equilibrato e proporzionato all’innovazione aziendale

• collaborativo e trasparente

• un partner internazionale di fiducia, e

• un approccio che mette al primo posto la comunità

L’approccio proposto e i prossimi passi riguardano la prevenzione dei danni attraverso test e trasparenza e responsabilità, chiarendo e rafforzando le leggi per salvaguardare i cittadini, lavorando a livello internazionale per sostenere la sviluppo e diffusione sicuri dell’IA e massimizzazione dei benefici dell’IA.

Cyber Risk Management and Cyber Security

• NIST Cybersecurity Framework and NIST 800-53

• Essential

• Information Security Manual (ISM)

• Microsoft Secure Score

• MITRE ATT&CK

CIS Critical Security Controls

Cloud Security Alliance Cloud Controls Matrix

Open Web Application Security Project (OWASP) Top 10

International Standards (IT)

ISO/IEC 27001:2022 Information security, cyber security and privacy protection – Information security

management systems – Requirements

ISO 28000:2033 Security and resilience – Security Management systems – Requirements

ISO/IEC 38500:2024 Information Technology – Governance of IT for the organization

International Standard (Risk)

ISO 31000:2018 Risk Management – Guidelines

International Standard (Business Continuity)

ISO 22301:2019 Business Continuity Management Systems – Requirements

Australian Commonwealth Government Entities

Protective Security Policy Framework (PSPF)

APRA-regulated entities:

CPS 220 Risk Management

CPS 230 Operational Risk Management

CPS 234 Information Security

Payment card processing:

Payment Card Industry Data Security Standard (PCI DSS)

Resources

Reporting to government

• Australian Cyber Security Hotline on 1300 CYBER1 (1300 292 371)

• Report a cybercrime, incident or vulnerability to the Australian Signals Directorate

Privacy

• Office of the Australian Information Commissioner (OAIC)

• Guide to conducting privacy impact assessments Guide to undertaking privacy impact assessments, OAIC

• Notifiable data breaches, OAIC

Cyber Resilience and Security Guidance

• Cyber resilience, ASIC

• Australian Cyber Security Centre, Australian Signals Directorate

• Security Guidance

• Cyber and Infrastructure Security Centre (CISC)

• Overview of Cyber Security Obligations for Corporate Leaders (CISC)

Charities

• Australian Charities and Not-for-profits Commission Governance Toolkit Cyber Security

Scams

• Scamwatch – ACCC

International

• NIST https://www.nist.gov/cybersecurityhttps://www.nist.gov/cybersecurityISO .gov/cybersecurity

• NIST Cyber Security Framework 2.0

Legislazione comparata    omissis

Acronyms and Glossaries

• ACSC – Australian Cyber Security Centre

• APRA – Australian Prudential Regulation Authority

• APT – advanced persistent threat

• ASD – Australian Signals Directorate

• BEC – business email compromise

• CCPA – California Consumer Protection Act (US)

• CISO – Chief Information Security Officer

• DDoS – Distributed Denial of Service attack

• DLP – data loss prevention

• E8 – Essential Eight

• EDR – endpoint detection and response

• GDPR – General Data Protection Regulation (Europe)

• HIPAA – Health Insurance Portability and Accountability Act (US)

• ICT – Information and communications technology

• IOT – ‘internet of things’

• MFA – multifactor authentication

• MSP – managed service provider

• MSSP – Managed security service provider

• NIST – National Institute of Standards and Technology Cyber Security Framework (US)

• PCI DSS – Payment Card Industry Data Security Standards

• RBAC – roles-based access controls

• RPO – recovery point objective

• RTO – recovery time objective

• SIEM – security information and event management

• SOC – security operations centre

• SOCI – Security of Critical Infrastructure

• SOX – Sarbanes-Oxley Act (US)

• SSO – single sign-on

• XDR – Extended detection and response

Glossaries of cybersecurity terms:

• ACSC

• ISM

• SANS

• NIST

• Cybrary

• US National Initiative for Cybersecurity Careers and Studies

[1] Ad esempio, in un’azione intentata dall’ASIC, il consiglio di amministrazione di un’entità titolare di una licenza australiana per i servizi finanziari ha violato il Corporations Act per non aver gestito i rischi informatici. L’Australian Information Commissioner ha inoltre recentemente avviato un procedimento di sanzione civile contro Medibank Private Limited in relazione alla sua  Violazione dei dati dell’ottobre 2022 secondo cui Medibank ha gravemente interferito con la privacy di 9,7 milioni di persone non riuscendo a prendere misure ragionevoli per proteggere le proprie informazioni personali da uso improprio e accesso e divulgazione non autorizzati violazione della legge sulla privacy del 21.1988

[2] ASIC è l’organismo australiano di regolamentazione integrata delle società, dei mercati, dei servizi finanziari e del credito al consumo e serviamo la comunità australiana. Link: https://asic.gov.au/

[3] L’APRA è il supervisore dell’Australia, responsabile di garantire che il sistema finanziario sia stabile, competitivo ed efficiente. Link: https://www.apra.gov.au/

[4] Ad esempio, le entità regolamentate dall’APRA devono essere consapevoli che l’APRA continua a includere un “intensificato l’attenzione della vigilanza sulla resilienza informatica” come una delle sue priorità, con l’obiettivo che “tutte le entità regolamentate debbano garantire che adottino misure per essere resilienti contro la crescente minaccia di attacchi informatici”.

[5] Fonte: NIST Framework 2.0. ISO 27001:2022 Sicurezza delle informazioni, sicurezza informatica e tutela della privacy Sistemi di gestione della sicurezza delle informazioni – Requisiti (ISO 27001:2022)

[6] L’Australian Transaction Reports and Analysis Centre (AUSTRAC) è un’agenzia di intelligence finanziaria del governo australiano responsabile del monitoraggio delle transazioni finanziarie per identificare il riciclaggio di denaro, la criminalità organizzata, l’evasione fiscale, la frode previdenziale e il finanziamento del terrorismo.[3] L’AUSTRAC è stata fondata nel 1989 ai sensi del Financial Transaction Reports Act del 1988.[4] Attua in Australia le raccomandazioni della Financial Action Task Force on Money Laundering (FATF), a cui l’Australia ha aderito nel 1990. (cfr. Weekepedia). Il  Link al sito dell’Agenzia è il seguente: https://www.austrac.gov.au/

About Author /

Dott. Prof.( a.c.) Davide De Luca - Compliance & Cybersecurity Advisor - LinkedIn

Lascia un commento

Your email address will not be published.

Potrebbe piacerti

𝐝𝐢𝐠𝐢𝐭𝐚𝐥𝐞
Recepito dall’Italia il 𝐑𝐞𝐠𝐨𝐥𝐚𝐦𝐞𝐧𝐭𝐨 𝐃𝐎𝐑𝐀: 𝐬𝐮𝐥𝐥𝐚 𝐫𝐞𝐬𝐢𝐥𝐢𝐞𝐧𝐳𝐚 𝐨𝐩𝐞𝐫𝐚𝐭𝐢𝐯𝐚 𝐝𝐢𝐠𝐢𝐭𝐚𝐥𝐞
29 Aprile 2025
documenti informatici
La Formazione, gestione e conservazione dei documenti informatici alla luce del Piano Triennale per l’informatica nella PA.
18 Marzo 2025
trattamento dei dati personali
Il trattamento dei dati personali nella gestione dei contratti IT.
30 Agosto 2024

Start typing and press Enter to search