L’Asset Management nel Perimetro di Sicurezza Nazionale Cibernetica

 

Al giorno d’oggi è sempre più pressante per le aziende di ogni dimensione, dalle SMEs ai grandi gruppi multinazionali, porre l’accento sulla sicurezza cibernetica e gli obblighi normativi relativi. In particolare, vogliamo fare riferimento alla normativa in materia di Perimetro di Sicurezza Nazionale Cibernetica, così come è stata redatta nel decreto-legge n.105/2019 e nel relativo e attuativo DPCM 131/2020, apripista di altri tre decreti della stessa portata applicativa.[1]

Per rendere funzionale ed efficace il core business dell’azienda è importante quindi identificare gli asset, le minacce, le vulnerabilità e i controlli di sicurezza nonché le relazioni tra questi.

 

Il multiforme concetto di asset management

«Asset» è un bene, qualsiasi cosa che abbia valore per l’organizzazione, può essere un’informazione, un software, un hardware, servizi, ma anche reputazione e immagine dell’organizzazione.[2]

Una gestione organizzata degli asset porta a una serie di attività riguardanti la loro descrizione e divisione in categorie con relativi elenchi di minacce, controlli di sicurezza (o di vulnerabilità) e parametri RID a esse pertinenti, nei quali si garantiscono la Riservatezza delle informazioni trattate, l’Integrità delle configurazioni inerenti ad hardware e software nonché la Disponibilità per assicurare la continuità delle attività.
Una scorretta configurazione delle operazioni citate potrebbe recare innumerevoli danni, tra i quali l’intrusione di malintenzionati spinti dalla volontà di danneggiare l’azienda, basti pensare ai crackers o blackhats che sono, appunto, gli hackers malintenzionati; al contrario, una funzionale e quindi dinamica organizzazione delle informazioni rende il loro utilizzo sicuro.I mezzi di informazione, di recente, hanno riportato il caso della celebre banca Credit Suisse che, in seguito alla procedura fallimentare per insolvenza della Greensill Bank, ha richiesto, d’urgenza, la riorganizzazione dell’asset management nominando un nuovo responsabile, Ulrich Koerner, a capo del nuovo organigramma che vede separati asset management e gestione patrimoniale internazionale.[3]

 

Relazionare l’asset management italiano al Perimetro di Sicurezza Nazionale Cibernetica

Il decreto-legge 105/2019 prevede che i soggetti inclusi nel Perimetro predispongano e aggiornino, con cadenza almeno annuale, l’elenco dei beni ICT di rispettiva pertinenza sottolineando l’indicazione delle reti, dei sistemi informativi, e dei servizi informatici che li compongono.[4]
In esito all’analisi del rischio per ogni funzione essenziale o servizio essenziale, motivo di inclusione nel Perimetro, bisogna individuare i beni ICT necessari a svolgere la funzione essenziale o il servizio essenziale per predisporre e trasmettere, entro 6 mesi, tramite apposita piattaforma del DIS (Dipartimento delle informazioni per la sicurezza), l’elenco alla struttura della Presidenza del Consiglio dei ministri.[5]

Un’interpretazione restrittiva e letterale della normativa comporta che, nella predisposizione dell’elenco, si faccia riferimento unicamente ai beni ICT essenziali citati espressamente dalle singole disposizioni contenute nell’articolo 7 del DPCM, in specifico nel comma 2 lett. A) ove è indicato che i beni ICT dovranno essere analizzati in base alla possibilità che una loro compromissione possa ledere la confidenzialità, disponibilità e/o integrità dei servizi essenziali erogati.

A scanso di equivoci, un’interpretazione estensiva, che riguardi l’intero comparto dei beni ICT, prescindendo dalla verosimiglianza di impattare il servizio essenziale, sottintende che, per giungere all’individuazione dei beni ICT essenziali si conosca e si rendiconti la globalità dei beni ICT, circostanza in ogni caso vera anche nel caso in cui si voglia adottare un’interpretazione restrittiva, in quanto tale attività risulterebbe comunque necessaria allo scopo di identificare i beni di cui all’art. 7 c.2 lett. A).

 

 

Conoscere per applicare, agire per tutelare

Le attività di gestione, rendicontazione e trasmissione degli asset, dunque l’abilità di un asset manager, sono di vitale importanza sia dal punto di vista normativo e sia da una prospettiva puramente economica; la prosecuzione di operazioni aziendali è subordinata sì al rispetto della legge, ma anche alla promessa di responsabilità che un titolare stringe con i propri dipendenti e clienti in ragione della continuità operativa dell’intera compagine.

Tale attività, grazie all’”avvento” della normativa relativa al Perimetro di Sicurezza Nazionale Cibernetica diventa funzionale anche alla tutela della sicurezza nazionale, non solo delle aziende ma anche per tutti i cittadini.

 

 

Note:

[1] Al fine di ottenere una disquisizione più coerente si consiglia la lettura della normativa su Gazzetta Ufficiale

[2] C. Gallotti, Sicurezza delle informazioni, 2019

[3] Per ulteriori informazioni sulla vicenda succitata v. Credit Suisse, il caso Greensill innesca un terremoto nell’AM – Bluerating.com; Fallimento Greensill, il tribunale tedesco chiama il curatore di Lehman | L’HuffPost (huffingtonpost.it)

[4] D.l. n. 105/2019, art. 1 co. 2

[5] DPCM n. 131/2020, art. 9 co. 1