Metodologie

Cybersecurity: ecco i 10 principi della Charter of Trust

Nata su iniziativa di Siemens, la “carta” che definisce 10 principi comuni sulla cybersecurity è stata firmata da 10 aziende e presentata alla Security Conference di Monaco, uno dei più importanti consessi a livello mondiale sui temi della sicurezza

Pubblicato il 25 Apr 2018

Patrizia Fabbri

Charter of Trust: 10 principi per la sicurezza informatica

In occasione della 54° Conferenza sulla Sicurezza Globale tenutasi il 16-18 febbraio 2018 a Monaco, è stata firmata la Charter of Trust, una “carta” che definisce 10 principi comuni per garantire una maggior sicurezza informatica dai rischi derivanti da attacchi informatici oltre che nelle aziende anche su infrastrutture critiche, impianti industriali, città intelligenti ecc.

La Charter of Trust, un documento di dichiarazione di intenti siglato da Aes, Airbus, Allianz, Atos, Daimler, Enel, IBM, MSC (Munich Security Conference), NXP, Siemens, SGS, T-Systems è stato presentato nell’ambito di una conferenza che ha visto riuniti i massimi esperti mondiali in tema cybersecurity, con interventi di esponenti politici e opinion leader di vari paesi. Stabilisce tre obiettivi primari:

  • proteggere i dati di individui e aziende;
  • prevenire danni alle persone, aziende e infrastrutture
  • costituire una base affidabile che accresca la fiducia in un mondo digitale e connesso.

I 10 principi della Charter of Trust

1. Ownership della cybersecurity e dell’IT security

Ancorare la responsabilità della cybersecurity ai massimi livelli governativi e aziendali designando ministeri e CISO specifici. Stabilire misure e obiettivi chiari e la giusta mentalità in tutte le organizzazioni sulla base del principio che la cybersecurity: “È compito di tutti”.

2. Responsabilità in tutta la supply chain digitale

Le aziende, e se necessario i governi, devono stabilire regole basate sul rischio che assicurino un’adeguata protezione su tutti gli strati dell’IoT con requisiti chiaramente definiti e obbligatori. Garantire la riservatezza, l’autenticità, l’integrità e la disponibilità impostando standard di base, come ad esempio:

  • Gestione delle identità e degli accessi: i dispositivi connessi devono disporre di identità e misure di salvaguardia sicure che consentano solo agli utenti e ai dispositivi autorizzati di utilizzarli.
  • Crittografia: i dispositivi connessi devono garantire la riservatezza per l’archiviazione e la trasmissione dei dati, laddove appropriato.
  • Protezione continua: le aziende devono offrire aggiornamenti e patch in un ciclo di vita ragionevole per i loro prodotti, sistemi e servizi tramite un meccanismo di aggiornamento sicuro.

3. Security by default

Adottare il più alto livello appropriato di sicurezza e protezione dei dati e assicurarsi che sia preconfigurato nella progettazione di prodotti, funzionalità, processi, tecnologie, operazioni, architetture e modelli di business.

4. Centralità dell’utente

Operare come partner affidabile per un ciclo di vita ragionevole, fornendo prodotti, sistemi e servizi nonché indicazioni basate sulle esigenze, gli impatti e i rischi della cybersecurity del cliente.

5. Innovazione e co-creazione

Agevolare la collaborazione per una comprensione congiunta tra le aziende e i responsabili delle norme sulla sicurezza informatica e le regole al fine di innovare e adattare continuamente le misure di sicurezza informatica alle nuove minacce; guidare e incoraggiare, per esempio, contratti di partenariato pubblico-privato.

6. Istruzione

Includere corsi dedicati di cybersecurity nei programmi scolastici (come corsi di laurea in università, istruzione professionale ecc.) al fine di guidare la trasformazione delle competenze e dei profili professionali necessari per il futuro.

7. Certificazione per infrastrutture e soluzioni critiche

Le aziende, e se necessario i governi, stabiliscano certificazioni indipendenti obbligatorie di terzi (basate su definizioni “a prova di futuro”, in particolare in tutti quegli ambiti dove la vita delle persone può essere a rischio) per infrastrutture critiche e per soluzioni IoT critiche.

8. Trasparenza e risposte

Partecipare a una rete di sicurezza informatica industriale per condividere nuove conoscenze, informazioni sugli incidenti e altri; segnalare incidenti al di là della pratica odierna che si sta concentrando sull’infrastruttura critica.

9. Quadro normativo

Promuovere collaborazioni multilaterali nel campo della regolamentazione e della standardizzazione per stabilire condizioni di parità che soddisfino la portata globale del WTO; inclusione di regole per la sicurezza informatica negli accordi di libero scambio (Free Trade Agreements).

10. Iniziative comuni

Promuovere iniziative comuni, che comprendano tutti i principali stakeholder, al fine di attuare i principi di cui sopra nelle varie parti del mondo digitale senza ritardi indebiti.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

Articoli correlati

  • Guida

    GDPR: Cosa fare. Come fare. Gli scenari.

    27 Nov 2019

    di P4I - Partners4Innovation

    Condividi

  • Metodologie

    Il GDPR e il trasferimento di dati personali extra UE: alcuni spunti di riflessione

    16 Apr 2018

    di Piero Bologna e Andrea Reghelin

    Condividi

  • Metodologie

    GDPR e sicurezza dei dati e dei trattamenti: analisi dei rischi, misure adeguate e data masking

    19 Mar 2018

    di Alessio Pennasilico

    Condividi

Prossimo

GDPR: Cosa fare. Come fare. Gli scenari.

Articolo 1 di 4