Cybersecurity : tra Informatica e Conformità (GDPR e NIS2)

𝗡𝗼𝗺𝗶𝗻𝗮 𝗱𝗲𝗹 𝗥𝗲𝗳𝗲𝗿𝗲𝗻𝘁𝗲 𝗖𝗦𝗜𝗥𝗧 : 𝗰𝗵𝗶, 𝗰𝗼𝗺𝗲 𝗲 𝗽𝗲𝗿𝗰𝗵𝗲̀La scadenza del 31/12/2025 per la nomina del Referente CSIRT si avvicina, e con essa una scelta strategica fondamentale per ogni azienda soggetta alla direttiva NIS2: affidarsi a una risorsa interna o a un consulente esterno?La questione non è banale. Il Referente CSIRT è il punto di contatto operativo con le autorità in caso di incidente.Deve gestire comunicazioni critiche in tempi strettissimi (24 ore per la prima segnalazione), possedere competenze specifiche di cybersecurity e, allo stesso tempo, conoscere a fondo l'infrastruttura di rete aziendale.Per molte PMI, trovare una figura interna che unisca tutte queste capacità può essere complesso e oneroso. L'IT manager, infatti, durante una crisi è giustamente concentrato sul ripristino dei sistemi, non sulla gestione burocratica e comunicativa con le autorità.Ecco perché il consulente esterno specializzato emerge come una soluzione strategica ed efficace.𝗤𝘂𝗮𝗹𝗶 𝘀𝗼𝗻𝗼 𝗶 𝘃𝗮𝗻𝘁𝗮𝗴𝗴𝗶?Competenza specialistica: Un CISO as a Service porta con sé un bagaglio di esperienze nella gestione di incidenti e una profonda conoscenza delle normative, competenze non sempre disponibili internamente𝗙𝗼𝗰𝗮𝗹𝗶𝘇𝘇𝗮𝘇𝗶𝗼𝗻𝗲 𝘀𝘂𝗹 𝗿𝘂𝗼𝗹𝗼Può dedicarsi interamente al dialogo con il CSIRT Italia, garantendo comunicazioni precise e professionali, senza sottrarre risorse cruciali alle attività di ripristino.𝗚𝗲𝘀𝘁𝗶𝗼𝗻𝗲 𝘀𝘁𝗿𝗮𝘁𝗲𝗴𝗶𝗰𝗮Un consulente esperto non si limita alla notifica, ma gestisce la comunicazione in modo maturo e intelligente, proteggendo l'azienda ed evitando di esporne le inevitabili debolezze organizzative.𝗟𝗮 𝗻𝗼𝗺𝗶𝗻𝗮 𝘀𝘂𝗹 𝗽𝗼𝗿𝘁𝗮𝗹𝗲 𝗔𝗖𝗡 𝗲̀ 𝘀𝗼𝗹𝗼 𝘂𝗻𝗼 𝗱𝗲𝗶 𝗽𝗮𝘀𝘀𝗶 Il vero lavoro consiste nel preparare l'organizzazione, definire i processi e scegliere una figura che abbia la competenza tecnica e l'approccio manageriale per governare la complessità. 𝙇𝙖 𝙧𝙚𝙨𝙥𝙤𝙣𝙨𝙖𝙗𝙞𝙡𝙞𝙩𝙖̀ 𝙡𝙚𝙜𝙖𝙡𝙚 𝙧𝙚𝙨𝙩𝙖 𝙙𝙚𝙜𝙡𝙞 𝙤𝙧𝙜𝙖𝙣𝙞 𝙖𝙥𝙞𝙘𝙖𝙡𝙞, 𝙢𝙖 𝙦𝙪𝙚𝙡𝙡𝙖 𝙤𝙥𝙚𝙧𝙖𝙩𝙞𝙫𝙖 𝙧𝙞𝙘𝙝𝙞𝙚𝙙𝙚 𝙪𝙣 𝙥𝙧𝙤𝙛𝙚𝙨𝙨𝙞𝙤𝙣𝙞𝙨𝙩𝙖 𝙙𝙚𝙙𝙞𝙘𝙖𝙩𝙤.TIMELINE 00:00 Intro00:10 Referente CSIRT00:30 Perché si rende necessaria questa figura?01:10 La notifica tempestiva delle violazioni01:50 Competenze richieste alla figura di Referente CSIRT03:00 Uno sguardo all'organizzazione interna03:30 Inserimento su portale ACN04:10 Responsabilità diretta e Indiretta del referente CSIRT05:10 Sintesi dei punti precedentihashtag#NIS2 hashtag#CSIRT hashtag#Cybersecurity hashtag#Compliance𝘗𝘦𝘳 𝘢𝘱𝘱𝘳𝘰𝘧𝘰𝘯𝘥𝘪𝘮𝘦𝘯𝘵𝘪:𝗦𝗶𝘁𝗼 𝗪𝗲𝗯 : www.marcoiacovitti.it : sito con videocorsi e test in area riservata.𝗬𝗼𝘂𝗧𝘂𝗯𝗲 : https://www.youtube.com/@marcoiacovitti : canale youtube con oltre 400 video.

La vera cybersecurity non si compra, si organizza. È fatta di ruoli, responsabilità, processi documentati e capacità di risposta concreta agli incidenti.FINALMENTE INIZIAMO A FARE SUL SERIO: IL GARANTE ENTRA NEL MERITO Vediamo insieme la sanzione che il Garante ha elevato all'ente reo di aver ignorato le basiche regole della sicurezza informatica. Il "tentativo di difesa legale", poi, fa quasi più danni degli hacker. A nulla sono valse le difese che richiamano le misure minime dell'AGID (vecchie di 7 anni) e i riferimenti ai budget limitati.Misure adeguate (e non minime) la cui definizione deve riferimento a oggettive analisi del rischio e non a (fantasiose) valutazioni soggettive.Bastava poco per poter limitare i danni (alcune attività erano a costo zero). Con l'innalzamento della complessità, la competenza diventa sempre più centrale.In questo podcast entriamo nel merito (insieme al garante) degli errori fatti, spiegando anche quanto sarebbe stato facile evitare il coinvolgimento di tutta la rete (compreso la compromissione dei backup).La vera cybersecurity non si compra, si organizza.È fatta di ruoli, responsabilità, processi documentati e capacità di risposta concreta agli incidenti.Fare le cose, costa poco.Saper quale cosa fare, vale molto. 

Oggi la cybersecurity è una questione di governance, non (solo) di tecnologia. Serve un modello operativo chiaro, ruoli definiti, processi formali, e una cultura aziendale consapevole. Nel podcast affrontiamo il concetto chiave secondo cui la cybersecurity non può essere relegata esclusivamente all’ambito tecnico o IT. Si tratta piuttosto di una responsabilità dirigenziale e organizzativa, essenziale per la resilienza aziendale e la tutela della reputazione. Il messaggio centrale è che la sicurezza digitale richiede strategie, governance e processi formalizzati, non solo strumenti tecnologici. 💣 PROBLEMA + RISCHIO REALE “La cybersecurity… è roba da informatici.” “Uso l’antivirus, quindi va tutto bene.” Eppure quando arriva l’incidente: blocco totale, servizi bloccati, clienti in allarme, dati criptati, caos decisionale.Ciò che emerge è una fragilità organizzativa profonda: mancanza di ruoli, processi e responsabilità.🔁 La cybersecurity va affrontata come una strategia di governance, non solo come tecnologia da installare. Serve un modello operativo chiaro, con ruoli definiti, processi di resilienza, e una cultura aziendale consapevole.✔️ CHECKLIST – 5 errori da evitare subito ▪ Considerare la cybersecurity esclusivamente un problema tecnico ▪ Affidarsi all’IT esterno senza definire ruoli interni ▪ Ignorare la nomina di responsabili per la sicurezza ▪ Non avere un piano incidenti documentato▪ Attendere richieste da autorità o auditor per agire ✅ BENEFICI DI UN APPROCCIO PROATTIVO ▪ Controllo operativo più solido ▪ Reputazione aziendale protetta▪ Vantaggio competitivo in gare e certificazioni ❓ DOMANDA APERTA AL TUO PUBBLICO Puoi rispondere a queste 3 domande in azienda? ▪ In caso di incidente, chi fa cosa? ▪ In quanto tempo? ▪ Con quali istruzioni?

Cybersecurity & Compliance 🎙️ 𝗨𝗻𝗮 𝗻𝘂𝗼𝘃𝗮 𝗽𝘂𝗻𝘁𝗮𝘁𝗮 𝗱𝗲𝗹 𝗺𝗶𝗼 𝗽𝗼𝗱𝗰𝗮𝘀𝘁 (AI Based) 𝗲̀' 𝗼𝗻𝗹𝗶𝗻𝗲!!   ⏰ SANZIONE DA 30.000€: il SERVER ESPOSTO NON AGGIORNATO...e tanto altro.🔒 Attacco brute force su server con sistema obsoleto e RDP esposto, assenza di MFA,  segmentazione di rete e policy troppo leggere.💥 Risultato: esfiltrazione di dati identitari e giudiziari di 3.000 persone, inclusi 160 procedimenti disciplinari.📄 Giustificazione? “Risorse limitate” e misure minime AGID. ⚖️ Il Garante è stato chiaro:❌ non bastano le misure minime,✅ servono misure adeguate al rischio, come impone il GDPR.🚨 IL COMPITINO NON BASTA PIÙ ❗ ❗  Molte PA e aziende pensano che basti una checklist standard.Ma un server vecchio, senza MFA e senza monitoraggio, non può essere compliance.🔄 E' NECESSARIO UN CAMBIO DI PARADIGMANon è più tempo di giustificarsi con “non abbiamo budget”.La sicurezza informatica è un dovere, non un’opzione, soprattutto se si gestiscono dati sensibili o giudiziari. ➡️ L’analisi del rischio non è burocrazia: è il solo modo per capire:   →  cosa fare,   → quanto costa e come proteggersi davvero.📌 CHECKLIST: 5 ERRORI CHE NON PUOI PIÛ PERMETTERTI  → Server accessibili da remoto senza protezione.  → Nessun sistema automatico di rilevamento.  → MFA assente.  → Nessuna segmentazione interna della rete.  → Politiche e documentazione solo “di facciata”..

Cybersecurity & Compliance 🎙️ 𝗨𝗻𝗮 𝗻𝘂𝗼𝘃𝗮 𝗽𝘂𝗻𝘁𝗮𝘁𝗮 𝗱𝗲𝗹 𝗺𝗶𝗼 𝗽𝗼𝗱𝗰𝗮𝘀𝘁 (AI Based) 𝗲̀' 𝗼𝗻𝗹𝗶𝗻𝗲!!   Questa puntata nasce da un'esigenza concreta che sto affrontando proprio in questi giorni:supportare enti pubblici e realtà ibride nel comprendere e applicare in modo efficace le nuove indicazioni del Piano Triennale per l’Informatica nella PA 2024–2026.🔐 Cybersecurity e Pubblica Amministrazione: cosa cambia con il Piano Triennale 2024–2026? In questa puntata analizziamo le nuove linee guida strategiche dell’Agenzia per l’Italia Digitale:📌 centralità della cyber resilience📌 spinta verso soluzioni AI-based📌 focus su compliance, infrastrutture digitali e interoperabilità👉 Un approfondimento concreto per capire come le PA dovranno organizzarsi (e cosa anche le aziende possono imparare) per essere pronte alle sfide normative e tecnologiche dei prossimi anni. Nel mio lavoro quotidiano, tra cybersecurity, compliance e trasformazione digitale, mi trovo spesso a decodificare documenti strategici complessi e a trasformarli in percorsi operativi.È proprio da questo lavoro sul campo che ho sentito l’urgenza di condividere una riflessione strutturata su:🔹 L’impatto delle nuove linee guida AgID🔹 L’evoluzione dei concetti di cybersecurity e resilienza nella PA🔹 Il ruolo crescente delle soluzioni AI-based🔹 Le implicazioni per chi lavora in o con la pubblica amministrazione, in ottica NIS2 e digital compliance🎧 L’obiettivo? Offrire una bussola utile a professionisti, manager pubblici e consulenti per orientarsi in questo nuovo ciclo strategico, evitando approcci formali e sterili e puntando invece su concretezza, visione e responsabilità operativa.

🎙️ Nuova puntata del podcast online!Compliance, cybersecurity e nuovi obblighi normativi: cosa sta cambiando (davvero) per le imprese? 👉 In questo episodio affrontiamo in modo diretto e pratico il tema della conformità normativa in ambito cybersecurity, con uno sguardo concreto a:cosa sta succedendo con le nuove direttive NIS2, DORA, Cyber Resilience Act;perché le imprese del credito e recupero crediti sono oggi tra le più esposte ai nuovi obblighi;quali azioni immediate conviene mettere in campo per evitare sanzioni e blocchi operativi;il valore di un approccio scalabile e sostenibile alla compliance, per non bloccare il business.🎯 Una puntata pensata per imprenditori, IT manager e responsabili compliance che vogliono capire come difendersi con metodo e trasformare un obbligo in un vantaggio competitivo. 

L’accordo normativo sottoscritto nel Gennaio 2023 per l’aggiornamento della precedente direttiva europea sul trattamento sicuro dei dati (NIS2) che entrerà in vigore nel prossimo 17/10/2024, oltre ad ampliare la platea delle strutture interessate, allarga alle aziende fornitrici (chiamate a rispondere in solido in caso di eventuali danni) il problema della valutazione del rischio informatico.  In quest’ottica s’inserisce il processo di controllo della struttura (CyberCheck) attraverso l’acquisizione dati e la successiva valutazione del rischio informatico che, tenendo conto delle normative vigente, analizza la rete informatica, fornendo indicazioni oggettive sul rischio rilevato per poi identificare i necessari interventi di mitigazione e la successiva pianificazione.Oggi afforntiamo le diverse normative che si ocupano di cybersecurity e cosa comporta il mancato adeguatamento per le aziende.