La categorizzazione delle attività e dei servizi non può essere relegata esclusivamente alla funzione ICT, come purtroppo sta avvenendo all’interno di molte organizzazioni. Tale approccio riduzionista rappresenta un rischio metodologico concreto: l’adempimento ai requisiti della Direttiva NIS2 non si traduce in un mero inventario di asset tecnologici, bensì nella necessità di “fotografare” l’organizzazione aziendale nel suo complesso, mappando i processi operativi e di business.
Indice degli argomenti
La classificazione attività e servizi NIS2 non riguarda solo l’ICT
Definito il Team di lavoro multidisciplinare – che per sua natura deve comprendere non solo l’ICT, ma figure chiave come il C.I.S.O e il responsabile della funzione HR – si pone il problema strategico di come e da dove iniziare il censimento. In questo scenario, avere a disposizione un mansionario aggiornato e un organigramma dettagliato rappresenta senza dubbio un ottimo punto di partenza per comprendere la distribuzione dei ruoli e delle responsabilità. Purtroppo, molte organizzazioni, soprattutto nell’ambito delle Piccole e Medie Imprese (PMI), non dispongono di una documentazione così formalizzata, rendendo la fase iniziale di raccolta delle informazioni più complessa e destrutturata.
L’Agenzia per la Cybersicurezza Nazionale (ACN), all’interno delle apposite Linee Guida, precisa opportunamente che: “Ai fini dell’individuazione delle attività e dei servizi, non è richiesto l’uso di una specifica metodologia, ogni soggetto potrà utilizzare quella maggiormente adatta al proprio contesto”. Sulla scorta di tale autonomia metodologica, pertanto, di seguito intendo condividere l’approccio pratico utilizzato dal sottoscritto all’interno di contesti aziendali complessi.
Il foglio Excel ACN come matrice operativa
Il punto di partenza operativo è stato il foglio di calcolo Excel reso disponibile nella piattaforma informatica di ACN, il quale riporta una serie accurata di esempi per ciascuna macro-area. Questo documento rappresenta un’eccellente “matrice” di riferimento per la catalogazione sistematica delle attività. Per rendere tale strumento realmente efficace e calato sulla specifica realtà aziendale, il foglio di lavoro originale è stato strutturalmente ampliato, inserendo due variabili fondamentali: l’ufficio o unità organizzativa in cui viene effettivamente svolta l’attività e le specifiche risorse ICT (hardware, software, applicativi e infrastrutture di rete) che ne abilitano l’esecuzione.
Tenuto conto che un’organizzazione strutturata può presentare attività collocabili potenzialmente in tutte le 9 macro-aree individuate dal framework (mentre la decima area mantiene una funzione residuale per i servizi non classificati altrove), l’applicazione letterale degli esempi forniti da ACN porta a identificare circa 50 attività e servizi distinti. Per evitare una frammentazione eccessiva, che renderebbe la successiva analisi del rischio e la gestione della compliance inutilmente onerose, si è provveduto a ricomporre e accorpare le attività e i servizi coesistenti nella medesima macro-area, adottando come criterio guida l’omogeneità delle risorse informatiche utilizzate e del rischio.
Come accorpare attività e servizi nella stessa macro-area
Ad esempio, se nella macro-area denominata “gestione finanziaria” le attività specifiche di “elaborazione del budget”, “controllo degli scostamenti” e “amministrazione della tesoreria” vengono svolte dal personale che opera nell’ambito della stessa area funzionale e mediante l’utilizzo dei medesimi strumenti ed applicativi ICT (come un unico modulo del sistema ERP aziendale), non ha alcun senso logico né operativo considerarle come tre attività separate, a meno che non si ritenga che abbiano impatti diversi. In questo specifico caso è preferibile trattare l’intero flusso come un’unica attività complessiva, adottando una denominazione omnicomprensiva quale “gestione finanziaria e controllo di gestione”. Laddove nell’organigramma o nelle procedure aziendali sia già presente una dicitura simile, è fortemente consigliabile utilizzare la medesima nomenclatura interna per garantire coerenza e aderenza ai processi reali.
Si precisa, tuttavia, che tale opera di razionalizzazione e accorpamento non risulta tecnicamente e normativamente possibile per attività che, pur condividendo le medesime risorse o il medesimo personale, si collocano in macro-area differenti secondo lo schema ACN. Ad esempio, la fatturazione, la contabilità generale e la gestione fiscale – compresa la tenuta dei registri obbligatori – non possono essere fuse in un’unica macro-attività. Anche qualora tali adempimenti siano eseguiti dallo stesso personale amministrativo e attraverso il medesimo software gestionale, essi appartengono a due differenti macro-aree: la gestione fiscale e la tenuta dei registri obbligatori rientrano nell’ambito dell’area “gestione amministrativa”, mentre le attività di fatturazione e contabilità sono incardinate nell’area “gestione finanziaria”. Dal punto di vista logico inserire la gestione fiscale e la tenuta dei registri obbligatori nell’area “finanziaria” appare poco coerente, poiché trattasi di attività “amministrativa”. Ciò significa che nell’effettuare la categorizzazione, ACN ha tenuto conto sia dell’omogeneità dell’attività che del diverso impatto in caso di incidente.
Fornitori esterni e supply chain security nella mappatura
È bene precisare, inoltre, che nell’ambito delle attività e dei servizi da “catalogare” rientrano a pieno titolo anche i processi e le funzioni operative svolte da soggetti terzi in regime di esternalizzazione. Di conseguenza, al fine di garantire una visione unitaria, olistica e trasparente dell’intera superficie di attacco e di dipendenza tecnologica, il foglio Excel appositamente creato deve essere arricchito con l’esplicita denominazione dei fornitori esterni e dei relativi provider di servizi cloud o IT (Supply Chain Security).
La categoria di rilevanza e l’impatto potenziale
Una volta catalogate compiutamente tutte le attività e i servizi facenti parte di ciascuna macro-area, occorre procedere all’assegnazione della relativa “categoria di rilevanza”, finalizzata a indicare l’impatto potenziale in caso di compromissione, classificato secondo quattro livelli: alto, medio, basso o minimo. Anche questa delicata fase del processo valutativo merita degli approfondimenti. Occorre infatti considerare che ACN ha già assegnato all’interno della propria piattaforma un valore di baseline (ovvero una proposta di orientamento iniziale), in cui figurano ad impatto “alto” le attività afferenti all’area “monitoraggio e controllo” e ad impatto “medio” le attività dell’area “produzione di beni e servizi”, lasciando le restanti aree a un impatto prevalentemente basso o minimo.
Con specifico riferimento alla determinazione guidata della “categoria di rilevanza”, ed al fine di evitare interpretazioni distorte, valgono le seguenti precisazioni:
a) L’impatto non deve essere attribuito alla macro-area nel suo complesso. Al contrario, la valutazione va effettuata facendo esplicito riferimento a ciascuna singola attività o servizio che verrà comunicata ad ACN, pertanto, all’interno della medesima macro-area è possibile riscontrare attività o servizi caratterizzati da livelli di impatto diversi tra loro, a seconda della loro reale criticità operativa.
b) L’impatto deve essere ponderato verificando il potenziale “danno” e il livello di interruzione che un incidente informatico può provocare esclusivamente sulle attività e sui servizi strettamente connessi all’ambito NIS2. Non devono quindi essere prese in considerazione le attività o i servizi accessori svolti dall’organizzazione che esulano dall’elenco normativo per cui il soggetto è stato classificato come entità essenziale o importante. Si pensi, a titolo esemplificativo, a un operatore della Grande Distribuzione Organizzata (GDO) che gestisce sia una rete di supermercati al dettaglio sia un canale di logistica e commercio all’ingrosso: in questo caso, l’impatto NIS2 va valutato facendo esclusivo riferimento al perimetro del commercio all’ingrosso, escludendo l’operatività retail non soggetta agli obblighi diretti della direttiva. Nella valutazione complessiva dell’impatto, occorre inoltre pesare accuratamente la natura, la riservatezza e il volume dei dati trattati, prestando particolare attenzione alla presenza di dati personali sensibili.
c) L’Appendice B alle Linee Guida di ACN risulta un documento particolarmente interessante e di fondamentale utilità per chi si appresta ad effettuare la valutazione dell’impatto, poiché esplicita in modo trasparente le motivazioni logiche e i criteri analitici sulla base dei quali l’Autorità ha assegnato le categorie di rilevanza di baseline. Alcuni operatori manifestano la tendenza a voler elevare l’impatto dell’area “produzione di beni e servizi” da medio ad alto, partendo dal presupposto che un attacco cyber in tale ambito potrebbe provocare il blocco totale del core business aziendale. Tuttavia, ACN giustifica l’impatto medio di baseline evidenziando che un sistema di monitoraggio e controllo ben strutturato e resiliente (classificato ad impatto alto) consente di presidiare, isolare e supervisionare efficacemente anche la catena di produzione dei beni e dei servizi, riducendone intrinsecamente l’impatto sistemico. Ciò dimostra chiaramente che la valutazione dell’impatto non deve essere condotta analizzando compartimenti stagni o singole aree isolate, bensì esaminando l’architettura di sicurezza e le interdipendenze dell’intera organizzazione.
d) L’area logistica, per talune tipologie di imprese e specifici modelli di business, potrebbe richiedere una riclassificazione motivata a un livello di impatto medio (categoria superiore), in virtù della sua straordinaria rilevanza strategica. Riprendendo il caso della GDO o delle catene di approvvigionamento critiche, la logistica non rappresenta una mera funzione di supporto, ma costituisce un’area operativa vitale, il cui blocco prolungato equivale esattamente al blocco della linea produttiva per un’impresa manifatturiera.
Conclusioni
In conclusione, l’approccio strutturato da ACN attraverso la metodologia di categorizzazione ha il grande merito di fornire alle organizzazioni un modus operandi moderno, maturo e finalmente orientato ai processi. La sicurezza delle informazioni e la resilienza cibernetica non vengono più riferite e confinate ai singoli apparati fisici, alle applicazioni isolate o ai meri servizi informatici, bensì vengono correlate direttamente alle attività di business che essi abilitano. È questo il vero cambio di paradigma culturale richiesto dalla Direttiva NIS2.
Partecipa alla community