di Costanza MATTEUZZI e Aldo PEDICO
Da un po’ di anni a questa parte, assistiamo ad una sempre più forte integrazione dei sistemi informatici sia come piattaforme periferiche per il trattamento delle informazioni sia come quantità e tipo di dati.
Tale integrazione impone particolare attenzione e cura dei dati trattati e dei relativi servizi, derivanti soprattutto dalle normative di legge; ad avviso di chi scrive, ciò determina una evoluzione del termine qualità.
(Gli autori hanno intrapreso la scrittura di questo articolo per illustrare la loro idea di coniare una nuova definizione di Sistema Qualità. Di seguito, gli autori hanno voluto, tramite l’illustrazione e l’applicabilità dei nuovi concetti, dare una dimostrazione della loro nuova asserzione.)
Storicamente nell’ambito IT, il termine qualità è stato tendenzialmente associato ad alcune caratteristiche del software: ora questa impostazione è cambiata! Non si può più coltivare la Qualità del software come una entità avulsa dagli altri contesti (normative e leggi, tecnologia e servizi).
Nasce l’esigenza di parlare di Sistema Qualità. Da qui la necessità di un nuovo PARADIGMA.
Tale concezione racchiude in sé i seguenti contesti:
- il dato;
- il software o prodotto;
- il servizio e processo;
- le persone o ruoli.
I contesti sono elementi dell’intersezione delle leggi, le quali, nel caso specifico Reg. UE 2016/679 e Ex. D.Lgs. 231/01, richiamano direttamente o indirettamente al loro interno gli attributi appartenenti ai singoli contesti.
Inoltre, recentemente è stato pubblicato il Regolamento UE 2019/881 sulla Cibersicurezza (Cybersecurity Act) ed il considerando (65) cita:
La certificazione della cibersicurezza riveste un ruolo importante nel rafforzare la sicurezza di prodotti TIC, servizi TIC e processi TIC e nell’accrescere la fiducia negli stessi.
Il mercato unico digitale, in particolare l’economia dei dati e l’Internet degli oggetti, possono prosperare solo se i cittadini sono convinti che tali prodotti, servizi e processi offrono un determinato livello di cibersicurezza.
Le automobili connesse e automatizzate, i dispositivi medici elettronici, i sistemi di controllo per l’automazione industriale e le reti elettriche intelligenti sono solo alcuni esempi di settori in cui la certificazione è già ampiamente utilizzata o sarà probabilmente utilizzata in un prossimo futuro.
La certificazione della cibersicurezza riveste un’importanza fondamentale anche nei settori disciplinati dalla direttiva (UE) 2016/1148.
Come logica conseguenza sia alla precedente affermazione (“Ecco che l’Unione tende a predisporre un programma strategico per lo scambio d’informazioni che presuppone una visione d’insieme degli attuali sistemi di raccolta, trattamento e condivisione dei dati, che sia accompagnata da una valutazione approfondita della loro utilità, efficienza, efficacia, proporzionalità e dell’osservanza del diritto al rispetto della vita.”) sia al considerando sopra citato, l’azienda che realizza e vende un prodotto, un servizio ed un processo dovrà adottare un Sistema informatico attraverso il quale assuma:
- sia la responsabilità della qualità del dato trattato
- sia la garanzia della qualità del processo e del prodotto utilizzato per il trattamento.
Diversamente, se l’azienda non adotta tali “meccanismi” per introdurre i principi di responsabilità e di garanzia nel suo sistema di produzione, è probabile che subisca danni economici per effetto di perdita di quote di mercato.
Invece l’azienda che acquisisce un prodotto, un servizio o un processo dovrà adottare, nel suo sistema di gestione, un processo interno che escluda quei fornitori che non assumono né la responsabilità della qualità del dato trattato né forniscono la garanzia della qualità del processo e del prodotto utilizzato per il trattamento.
Quindi, l’unione dei principi di Responsabilità e di Garanzia all’interno di un sistema di gestione, si arricchisce di un valore di estrema importanza, ossia l’adozione del “Sistema Qualità Cibersicurezza”.
A questo punto è coniabile il nuovo paradigma “Sistema Qualità Cibersicurezza” che integri, al suo interno,:
- le imposizioni dei regolamenti dell’Unione Europea 2016/679 e 2019/881 con
- le esigenze sociali delle persone, dei processi, dei servizi e dei prodotti all’interno delle aziende.
PARADIGMA
Partendo dalle definizioni, si vuole indicare come questo innovativo Paradigma, più consono alle attuali esigenze ed esteso ai nuovi regolamenti europei, di fatto, si trasformi in un modello.
Tale modello delinea il futuro cambiamento sia d’intendere la realtà dei fatti e le relazioni con il prossimo, caratteristici di una mentalità moderna, sia dei processi organizzativi e strutturali interni alle aziende.
DEFINIZIONE DI SISTEMA QUALITÀ:
«Insieme di elementi concreti tra loro interdipendenti ed organizzati in modo da formare un complesso organico»
SPIEGAZIONE
L’insieme è composto dai seguenti elementi eterogenei.
A. Tecnologie
1. Infrastruttura fisica (rete, computer, apparati, ecc.).
2. Software, base dati.
B. Tecniche
3. Sistemi di cifratura, anonimizzazione, ecc.
4. Tecniche di sviluppo software (rimozione vulnerabilità, efficienza, efficacia, ecc.).
5. Tecniche di test, di protezione per riduzione del Rischio (SAST, IAST, PT, BAS, WAF, ecc.).
C. Regole e Principi
6. Standard di riferimento (ISO/IEC 25000, ISO/IEC 27000, ISO/IEC 29100; NIST; PCI-
DSS; OWASP; CWE SANS; ecc.).
7. Conformità alle leggi Reg. UE 2016/679 (RGPD o GDPR) e Reg. UE 2019/881 (Cybersecurity Act).
8. Policy.
D. Organizzazione
9. Regole di assegnazione compiti.
10. Ruoli.
Sistema Qualità = {Tecnologia Ս Tecnica Ս Regole e Principi Ս Organizzazione}
Riassumendo schematicamente i concetti precedenti, otteniamo le seguenti immagini:
Dai precedenti schemi, si constata palesemente che il Sistema Qualità si arricchisce della componente Cibersicurezza a tutela sia dei dati sia dei processi e servizi, nel rispetto dei nuovi regolamenti europei.
È necessario fare la seguente considerazione.
ASSIOMA: LA SICUREZZA È UNA CARATTERISTICA DELLA QUALITÀ
Per valutare le caratteristiche di Sicurezza proprie della qualità, ad esempio di un prodotto software (lo stesso esempio è replicabile a processi e servizi con i relativi standard ISO/IEC o NIST), ISO/IEC 25010 propone di utilizzare l’approccio GQM (Goal, Question, Metric).
Scendendo nel dettaglio delle definizioni, di seguito, si elencano le sotto caratteristiche della Qualità in riferimento alle caratteristiche della Cibersicurezza.
- PREVENIRE => Integrity (Valuta la capacità di proteggere dall’accesso non autorizzato a dati e informazioni, sia esso accidentale o intenzionale).
- PROTEGGERE => Confidentiality (Valuta la capacità del sistema o del computer di impedire accessi non autorizzati o modifiche ai dati o ai programmi del computer).
- DIMOSTRARE => Non repudiation (Valuta la capacità di provare le azioni o gli eventi che hanno avuto luogo, in modo che tali azioni o eventi non possano essere ripudiati in seguito).
- RESPONSABILITÀ (TRACCE ATTIVITÀ) => Accountability (Valuta la responsabilità e la capacità di dimostrare, attraverso tracciature inequivocabili, le azioni svolte da un’entità).
- AUTENTICITÀ (ILLUSTRARE / MOSTRARE) => Authenticity (Valuta la capacità di dimostrare l’identità di un individuo o di una risorsa).
Associando le definizioni di Sistema Qualità e di assioma, otteniamo il paradigma: Sistema Qualità Cibersicurezza.
Dal punto di vista pratico, questo Paradigma si risolve con l’adozione di Processi di Certificazione del Prodotto, del Processo e del Servizio come, d’altro canto, indicato nel considerando 65 del Reg. UE 2019/881: “La certificazione della cibersicurezza riveste un ruolo importante nel rafforzare la sicurezza di prodotti TIC, servizi TIC e processi TIC e nell’accrescere la fiducia negli stessi. …..”.
Nel paragrafo successivo, si indica, attraverso uno schema, un processo d’innovazione integrato all’interno di un Sistema di Gestione, che impone una radicale trasformazione metodologica.
CERTIFICAZIONE DEL PROCESSO DEL SISTEMA QUALITÀ CIBERSICUREZZA
Schema del Processo o Ciclo di Vita
Descrizione dei passi
Punto (1) La valutazione della fattibilità di acquisto o vendita di un servizio, un prodotto o un processo deve soddisfare le esigenze imposte dall’azienda.
Punto (2a) La verifica delle conformità imposte dal Reg. UE 2016/679 delle specifiche tecniche, tecnologiche ed organizzative afferenti un servizio, un prodotto o un processo fornito.
Parallelamente, il processo prevede
Punto (2b) La verifica delle conformità consigliate dal Reg. UE 2019/881 delle specifiche tecniche, tecnologiche ed organizzative afferenti un servizio, un prodotto o un processo fornito.
A titolo informativo, si riporta di seguito un estratto degli articoli 53 e 56 del Reg. UE 2019/881.
Articolo 53 – Autovalutazione della conformità
1. Un sistema europeo di certificazione della cibersicurezza può consentire un’autovalutazione della conformità sotto la sola responsabilità del fabbricante o del fornitore di prodotti TIC, servizi TIC o processi TIC. Tale autovalutazione della conformità è consentita unicamente in relazione ai prodotti TIC, servizi TIC e processi TIC che presentano un basso rischio corrispondenti al livello di affidabilità «di base».
2. Il fabbricante o fornitore di prodotti TIC, servizi TIC o processi TIC può rilasciare una dichiarazione UE di conformità in cui afferma che è stato dimostrato il rispetto dei requisiti previsti nel sistema. Rilasciando tale dichiarazione, il fabbricante o fornitore di prodotti TIC, servizi TIC o processi TIC si assume la responsabilità della conformità del prodotto TIC, servizio TIC o processo TIC ai requisiti previsti in tale sistema.
3. ….
4. Il rilascio di una dichiarazione UE di conformità è volontario, salvo diversamente
specificato nel diritto dell’Unione o degli Stati membri.
5. Le dichiarazioni UE di conformità sono riconosciute in tutti gli Stati membri.
Articolo 56 – Certificazione della cibersicurezza
1. I prodotti TIC, i servizi TIC e i processi TIC certificati ricorrendo a un sistema europeo di certificazione della cibersicurezza adottato a norma dell’articolo 49 sono considerati conformi ai requisiti di tale sistema.
2. La certificazione della cibersicurezza è volontaria, salvo diversamente specificato dal diritto dell’Unione o degli Stati membri.
Punto (3) I risultati delle verifiche precedenti impongono al fornitore di prevedere l’autocertificazione oppure la certificazione in base agli standard internazionali al Sistema Qualità Cibersicurezza. Gli standard di riferimento sono indicati nella tabella in cui si ripartiscono per ogni contesto, all’interno del precedente paragrafo “Paradigma”.
CONCLUSIONI
Per poter raggiungere il livello di qualità attesa, è prodromico un mutamento di mentalità da parte delle aziende che tenda ad una sistematicità tra tecnica, tecnologia e organizzazione delle stesse, accantonando la moltitudine di certificazioni.
Soltanto attraverso la sensibilizzazione ad una visione totale di qualità che abbracci tutta l’azienda, intesa e concepita come unità, e non in singoli comparti scissi l’uno dall’altro, si può raggiungere e garantire la sicurezza del dato e raggiungere un livello qualitativo che soddisfi le odierne esigenze di tutela previste dall’ordinamento.
Intervento di:
Costanza MATTEUZZI, Avvocato, Foro di Firenze, esperta in Privacy, GDPR, reati informatici e modelli 231
Aldo PEDICO, Consulente GDPR e Cybersecurity Act, DPO
Per approfondimenti, consultare i seguenti link e/o riferimenti:
Regolamento UE n. 881/2019 sulla Cibersicurezza (Cybersecurity Act) e ENISA
