GRC encyclopedia
Definizioni oneste e ragionate di cybersecurity, privacy, rischio e governance AI. Scritte dalla prospettiva di un CISO attivo, non copiate da uno standard. Ogni voce dice cosa significa davvero il termine nella pratica, cosa non significa e dove trovare il testo ufficiale.
Un glossario che puoi citare senza sembrare un depliant.
Practitioner voice
Scritto dalla sala audit, non dalla biblioteca accademica. Cosa significa il termine e cosa le persone fraintendono.
Fonti e date
Fonti ufficiali (EUR-Lex, ANSSI, CNIL, ENISA, ISO) per ogni voce. Date di revisione visibili.
Collegato in tutto il sito
Ogni voce rimanda ai termini correlati, alla pagina pillar e alla coorte che la insegna.
4 entries
AI Risk Manager è la credenziale (PECB / ISACA emerging) per i professionisti che gestiscono programmi di rischio specifici per l'IA: rischio del modello, bias, drift, trasparenza, rischio del modello da terze parti. Livello operativo che completa ISO/IEC 42001 (livello di sistema) e l'AI Act (livello regolatorio). Accompagnamento frequente al CISO o al Lead AI Auditor.
AAIA è la credenziale ISACA avanzata per l'audit di sistemi, modelli e governance dell'IA. Di recente introduzione (dal 2024). Richiede una certificazione CISA in corso di validità o equivalente. Progettata per auditor senior che integrano competenze in ambito IA, mappata su ISO 42001 e sugli obblighi ad alto rischio dell'AI Act europeo.
ANSSI è l'agenzia nazionale francese per la cybersicurezza, posta sotto l'autorità del Primo Ministro dal 2009. È l'autorità nazionale per la politica di cybersicurezza in Francia: qualifica prodotti e fornitori di servizi, pubblica EBIOS Risk Manager e agisce come autorità competente per il recepimento di NIS 2. Le sue qualificazioni (SecNumCloud, PVID, PASSI) rappresentano il riferimento di eccellenza nel settore pubblico francese.
La certificazione ISO iniziale si articola in stage 1 (verifica della documentazione e della prontezza operativa, di norma 1-2 giorni) e stage 2 (audit delle evidenze operative, 2-5 giorni). Lo stage 1 conferma che il sistema di gestione esiste sulla carta; lo stage 2 verifica che funzioni concretamente. La maggior parte degli audit stage 2 "falliti" sono problemi di stage 1 che nessuno ha corretto nel frattempo.
3 entries
BCM è la disciplina che identifica le minacce alle operazioni critiche e progetta piani e procedure per mantenerle operative durante una disruption. Non si tratta di un progetto una tantum. Il team BCM che performa durante un incidente reale è quello che ha condotto un esercizio tabletop quattro mesi prima e ha documentato i punti di fallimento.
BEC è l'attacco di social engineering mirato che impersona un dirigente o un fornitore per dirottare un pagamento o indurre un dipendente ad approvarlo. Nessun malware richiesto: puro pretexting. La perdita media per incidente supera di gran lunga quella del ransomware. I controlli di processo (segregazione dei compiti, verifica tramite richiamata) lo individuano; la tecnologia da sola non basta.
Una BIA è l'analisi strutturata che quantifica l'impatto di un'interruzione su ciascuna attività critica nel tempo. Gli output includono il recovery time objective, il recovery point objective e il minimum business continuity objective. Input obbligatorio per ISO 22301 e DORA. Eseguita correttamente, diventa il documento che il board legge davvero.
14 entries
I CIS Critical Security Controls sono un insieme prioritizzato di 18 categorie di controllo pubblicato dal Center for Internet Security. I gruppi di implementazione (IG1, IG2, IG3) corrispondono alla maturità dell'organizzazione. Il metodo più rapido per portare una piccola o media organizzazione da zero a un livello di difesa adeguato. Si mappa in modo preciso sull'Annex A di ISO 27001.
COBIT è il framework ISACA per la governance e la gestione dell'IT aziendale. L'edizione corrente è COBIT 2019. È il framework utilizzato dalle Big Four per valutare la maturità della governance IT e il riferimento per la certificazione CGEIT. Più strategico di ISO 27001; meno prescrittivo di NIST.
CCAK è la credenziale congiunta ISACA / Cloud Security Alliance per i revisori cloud. Copre la governance cloud, il CCM, il programma STAR e le considerazioni di audit specifiche degli hyperscaler. L'estensione naturale per chi detiene il CISA e opera in ambienti cloud-first.
CSX-P è la certificazione pratica di cybersecurity di ISACA, basata sulla performance. Viene verificata in un ambiente cyber-range live sulle cinque funzioni del NIST CSF. Meno nota di CISM o CISA, ma tra le rare credenziali in cui l'esame valuta ciò che si sa fare concretamente, non ciò che si sa scrivere.
CCOA è la certificazione operativa hands-on di ISACA per la cybersecurity, focalizzata sul lavoro in SOC: monitoraggio, rilevamento, risposta, ripristino. Il complemento tecnico al CISM. Indicata per analisti e incident responder, non per manager o auditor.
CDPSE è la certificazione tecnica sulla privacy di ISACA. Tre domini: governance della privacy, architettura della privacy, ciclo di vita del dato. È il complemento tecnico-ingegneristico delle certificazioni DPO/CDPO orientate alle policy. Adatta ai team di sicurezza responsabili dell'implementazione della privacy e agli architetti che operano nell'ambito del GDPR o dell'AI Act.
CISM è la certificazione ISACA per i responsabili della sicurezza delle informazioni: governance, gestione dei programmi, gestione del rischio, gestione degli incidenti. È lo standard di riferimento per i ruoli di leadership nella sicurezza, richiesto in circa il 60% delle offerte per CISO. Prospettiva diversa rispetto al CISSP: orientata al management, meno tecnica.
CISA è la certificazione di riferimento per l'audit IT, rilasciata da ISACA dal 1978. Cinque domini che coprono il processo di audit, la governance, l'acquisizione, le operazioni e la protezione degli asset. La certificazione di riferimento nei mandati delle Big Four. Riconosciuta a livello globale; obbligatoria per molti ruoli di audit interno e compliance nei settori regolamentati.
CRISC è la certificazione ISACA dedicata ai professionisti del rischio IT. Copre identificazione, valutazione, risposta e monitoraggio del rischio legato ai sistemi informativi. Collega il rischio di business a quello IT. È il complemento naturale al CISA per gli auditor che si spostano verso la gestione del rischio, e a ISO 27005 / 31000 per i professionisti con formazione ISO che integrano il vocabolario ISACA.
CGEIT è la certificazione ISACA per i professionisti senior che si occupano della governance dell'IT aziendale: allineamento strategico, creazione di valore, ottimizzazione dei rischi e delle risorse. Si basa su COBIT. Ha un mercato più ristretto rispetto a CISA / CISM, ma è la certificazione adatta a CIO, advisor IT a livello di board e consulenti senior.
Il CISO è il dirigente responsabile della strategia di sicurezza delle informazioni. Gestisce il registro dei rischi, guida la risposta agli incidenti, informa il consiglio di amministrazione e approva il rischio residuo. Con NIS 2 e DORA, la responsabilità è ora esplicita e personale. Il ruolo riguarda la governance, non l'implementazione; la parte più difficile è la traduzione per il board.
La CNIL è l'autorità francese per la protezione dei dati, istituita nel 1978. Applica il GDPR in Francia, emette decisioni vincolanti e sanzioni, pubblica linee guida (cookie, biometria, IA) e gestisce lo strumento PIA. È una delle autorità di controllo più attive nell'UE; le sue decisioni costituiscono spesso un precedente a livello europeo.
Il Cyber Resilience Act è il regolamento UE che impone obblighi minimi di sicurezza ai prodotti hardware e software con elementi digitali commercializzati in Europa. Obblighi del fornitore lungo l'intero ciclo di vita: secure-by-design, gestione delle vulnerabilità, SBOM, cinque anni di patch. Adottato alla fine del 2024, si applica dal dicembre 2027. Da integrare con NIS 2 (prospettiva organizzativa) e AI Act (prospettiva dei modelli).
CMMC è il modello di maturità della cybersecurity che il Dipartimento della Difesa statunitense impone ai propri appaltatori che trattano informazioni contrattuali federali e informazioni non classificate controllate. CMMC 2.0 si è ridotto a tre livelli (Foundational, Advanced, Expert) allineati con NIST SP 800-171 e 800-172. Se si vende al DoD o si fa parte della loro catena di fornitura, si è nel perimetro di applicazione.
8 entries
Un DPIA è l'analisi strutturata che il GDPR richiede prima di qualsiasi trattamento ad alto rischio. Documenta natura, portata, contesto e finalità; valuta necessità e proporzionalità; individua le misure di attenuazione. La CNIL mette a disposizione gratuitamente un tool PIA: è consigliabile utilizzarlo. Omettere un DPIA quando era obbligatorio è uno dei modi più diretti per attirare una visita dell'autorità di controllo.
Il DPO è il ruolo previsto dal GDPR che monitora la conformità, consiglia il titolare del trattamento e funge da punto di contatto con l'autorità di controllo. Obbligatorio per le autorità pubbliche e per i trattamenti che richiedono un monitoraggio sistematico su larga scala o dati di categoria speciale. Indipendenza e accesso al management sono i due elementi che gli auditor verificano concretamente.
Defense in depth è il principio di stratificare i controlli in modo che nessun singolo punto di cedimento comprometta il sistema. Rete, endpoint, applicazione, dati, persone, fisico: ogni livello rallenta l'attaccante, aumenta il costo e guadagna tempo per il rilevamento. Principio fondante fin dagli anni Novanta. Gli auditor si aspettano di vederlo applicato; i vendor adorano vendere livelli aggiuntivi.
DORA è il regolamento UE che impone un framework di resilienza uniforme agli enti finanziari e ai loro fornitori ICT critici. Cinque pilastri: gestione del rischio ICT, segnalazione degli incidenti, test di resilienza incluso il TLPT, rischio ICT di terze parti, condivisione delle informazioni. Applicabile dal 17 gennaio 2025. Incide in modo più stringente di NIS 2 sul versante ICT; in quanto lex specialis, prevale per gli enti finanziari.
NIS 1 (Direttiva 2016/1148) è stata la prima direttiva europea di cybersecurity intersettoriale, applicabile agli operatori di servizi essenziali e ai fornitori di servizi digitali. Sostituita da NIS 2 nell'ottobre 2024, perché l'ambito di applicazione era troppo ristretto, il regime sanzionatorio disomogeneo e gli obblighi di notifica degli incidenti privi di efficacia reale. Citata qui principalmente per chiarire cosa fosse effettivamente il "vecchio regime" che i colleghi ricordano ancora vagamente.
La Direttiva ePrivacy (2002/58/CE, modificata nel 2009) è la «cookie law» che tutti implementano a metà. Disciplina la riservatezza delle comunicazioni elettroniche e le tecnologie di tracciamento sui dispositivi degli utenti. Precedente al GDPR e tuttora in vigore; il Regolamento ePrivacy che avrebbe dovuto sostituirla è bloccato in sede negoziale dal 2017. Le autorità nazionali di protezione dei dati (CNIL, Garante, AEPD) la applicano nei rispettivi ambiti territoriali.
Il disaster recovery è il sottoinsieme dell'BCM focalizzato sull'IT: ripristino di infrastrutture, applicazioni e dati dopo un'interruzione. RPO, RTO e runbook appartengono a questo ambito. Un piano di DR mai testato end-to-end è una finzione. ISO 24762 lo disciplinava in precedenza; la pratica attuale rimanda a ISO 22301 e ai runbook operativi.
DDoS è l'attacco che inondata un servizio da molteplici sorgenti per esaurirne la capacità. Può operare a livello volumetrico, di protocollo o applicativo. La mitigazione è ormai una commodity (Cloudflare, Akamai, AWS Shield). La domanda di rischio non è più «riusciamo a bloccarlo» ma «i servizi critici sono instradati attraverso la protezione, incluse le API che non compaiono mai nei dashboard».
4 entries
ENISA è l'agenzia UE per la cybersecurity, con sede ad Atene. Supporta gli Stati membri e le istituzioni UE in materia di politica della cybersecurity, cooperazione operativa e quadro di certificazione europeo. È operativamente coinvolta nella cooperazione NIS 2, negli standard tecnici di attuazione DORA e nella baseline di sicurezza dell'AI Act. Il loro rapporto sul panorama delle minacce è la pubblicazione annuale più citata in assoluto.
EBIOS Risk Manager è il metodo di gestione del rischio cyber di ANSSI, incentrato sugli scenari di attacco strategici. Mette in relazione i processi di business con gli obiettivi degli attaccanti, per poi derivare i controlli tecnici. È lo standard nel settore pubblico francese e tra gli operatori di importanza vitale. Particolarmente efficace per mostrare al board perché uno scenario specifico sia rilevante; meno diffuso negli audit multinazionali del settore privato.
L'EU AI Act è la prima regolamentazione completa sull'intelligenza artificiale al mondo. Quattro livelli di rischio: inaccettabile (vietato), alto (obblighi sostanziali e valutazione di conformità), limitato (trasparenza), minimo. Si applica per fasi fino ad agosto 2027. Da abbinare a ISO 42001 per una risposta basata su sistema di gestione, non su checklist. Le regole sui modelli GPAI si aggiungono in cima.
EDR è la piattaforma basata su agente che registra l'attività degli endpoint, rileva comportamenti sospetti e consente agli analisti di isolare o rimediare gli host compromessi. XDR estende la visibilità su endpoint, rete e cloud; MDR è il servizio gestito che li racchiude. L'endpoint rimane il vettore d'ingresso più comune; EDR è oggi un requisito di base, non un elemento differenziante.
2 entries
La gestione delle vulnerabilità è il ciclo di individuazione, prioritizzazione, remediation e verifica delle vulnerabilità nel proprio ambiente. Gli scanner segnalano migliaia di problemi; la disciplina risiede nella prioritizzazione (criticità dell'asset + disponibilità dell'exploit + esposizione al business) piuttosto che nella scansione. CVE, CVSS e KEV sono il vocabolario di riferimento.
Il GDPR disciplina i dati personali nell'UE e ovunque si servano residenti europei. Base giuridica, diritti degli interessati, responsabilizzazione, notifica delle violazioni, applicazione da parte delle autorità di controllo. Le sanzioni massime (20 milioni di euro o il 4% del fatturato mondiale) fanno notizia; nella pratica, la maggior parte delle azioni esecutive passa attraverso il dialogo con le autorità di controllo, non attraverso il massimo edittale.
15 entries
ISO 19011 è la norma di riferimento per le linee guida sull'audit dei sistemi di gestione. Generica, si applica indifferentemente agli audit ISO 27001, 9001 e 22301. Definisce i principi di audit, la gestione del programma di audit, il ciclo di audit e la competenza degli auditor. Il corso Lead Auditor la insegna; gli auditor che si incontrano sul campo sono stati formati su di essa.
ISO 22301 è lo standard internazionale per i sistemi di gestione della continuità operativa (BCMS). Specifica i requisiti per pianificare, gestire, monitorare e migliorare un BCMS che ripristina le operazioni critiche dopo un'interruzione. È richiesto con crescente frequenza dai regolatori finanziari in applicazione del DORA e dalle autorità di vigilanza NIS 2 per gli operatori di servizi essenziali.
ISO 31000 è lo standard generico per la gestione del rischio. Principi, framework e processo iterativo. NON è un sistema di gestione certificabile: non esiste un ISO 31000 Lead Auditor, nonostante quanto affermato da alcuni cataloghi. Il percorso PECB è Foundation → Risk Manager → Lead Risk Manager. Da utilizzare quando il rischio va oltre la sola sicurezza delle informazioni.
ISO 27001 è il framework certificabile che gli auditor utilizzano per valutare la sicurezza delle informazioni. La revisione del 2022 ha ridotto l'Annex A a 93 controlli distribuiti su quattro temi (organizzativo, persone, fisico, tecnologico). Il vostro ISMS si regge o cade sulla Statement of Applicability e sulle evidenze operative. Tutti lo citano; pochi lo gestiscono davvero.
ISO 27002 è la guida all'implementazione dei controlli dell'Annex A di ISO 27001. Non è certificabile da sola. Gli auditor la utilizzano quando vogliono verificare COME si opera un controllo, non solo se è "in essere". Va trattata come il manuale operativo a fianco dello standard di certificazione.
ISO 27005 è la metodologia per la gestione del rischio di sicurezza delle informazioni che si integra con ISO 27001. Identificazione, analisi, valutazione, trattamento, accettazione. La revisione del 2022 si allinea ai principi di ISO 31000 e chiarisce il rapporto con il Clause 6 di ISO 27001. Meno prescrittivo di EBIOS RM, ma la lingua franca canonica con gli auditor.
ISO 27017 è l'estensione dei controlli di sicurezza cloud a ISO 27001. Aggiunge controlli specifici per il cloud e chiarisce la ripartizione della responsabilità condivisa tra fornitore e cliente. Se lo scope del vostro ISMS include workload su hyperscaler (AWS, Azure, GCP, OVH), gli auditor chiederanno quali controlli 27017 avete mappato.
ISO 27018 è l'estensione dei controlli privacy di ISO 27001 per i cloud provider che agiscono come responsabili del trattamento di informazioni a carattere personale. Collega ISO 27001 agli obblighi del responsabile del trattamento previsti dal GDPR. Adottata principalmente dagli hyperscaler, viene utilizzata dai loro clienti come elemento di due diligence sui fornitori.
ISO 27034 è lo standard per la sicurezza delle applicazioni. Articolato in più parti. Copre l'intero ciclo di vita sicuro del software: requisiti, progettazione, sviluppo, test, distribuzione, manutenzione. Meno noto di ISO/IEC 27001 perché vive all'interno dell'SDLC, ma è l'unico standard ISO che parla la lingua dei team di sviluppo. Si abbina naturalmente alle pratiche OWASP e SBOM.
ISO 27037 è lo standard per la digital forensics relativo all'identificazione, raccolta, acquisizione e conservazione delle prove digitali. È il riferimento che un team forense interno, un CERT o un consulente di litigation support utilizza per mantenere integra la catena di custodia. Va trattato come il manuale operativo con cui auditor e legali confronteranno le azioni intraprese dopo un incidente.
ISO 27701 è l'estensione per la gestione delle informazioni sulla privacy di ISO 27001. Aggiunge gli obblighi del titolare e del responsabile del trattamento al di sopra dell'ISMS. Utile per le organizzazioni che desiderano un unico sistema di gestione certificabile che copra sia la sicurezza sia la privacy. Si ricollega al GDPR, ma non "sostituisce" il lavoro di conformità al GDPR.
ISO 42001 è il primo standard internazionale per i sistemi di gestione dell'intelligenza artificiale, pubblicato a fine 2023. L'equivalente AIMS di ciò che ISO 27001 rappresenta per l'ISMS. Pensato per le organizzazioni che devono governare la progettazione, il deployment e l'operatività dell'AI: rischio, accountability, trasparenza, miglioramento continuo. Si allinea in modo diretto agli obblighi dell'AI Act per i sistemi ad alto rischio.
IAM è la disciplina che gestisce chi può accedere a cosa, quando, come e in quali condizioni. Provisioning, autenticazione, autorizzazione, deprovisioning. L'identità è il nuovo perimetro. Ogni architettura Zero Trust è, nella sostanza, un problema di IAM complesso mascherato da problema di rete.
Un ISMS è il sistema documentato che si gestisce per proteire gli asset informativi: basato sul rischio, supportato da evidenze, sottoposto a riesame della direzione. Non è un raccoglitore di policy. Gli auditor non valutano le policy; valutano le evidenze operative. Ciclo Plan-Do-Check-Act, certificato secondo ISO 27001, con il SoA come artefatto centrale.
ISACA è l'associazione globale per i professionisti di audit IT, sicurezza, rischio e governance. Fondata nel 1969, con sede a Schaumburg, IL, conta oltre 165.000 membri in 188 paesi. Rilascia le certificazioni CISA, CISM, CRISC, CGEIT, CDPSE, AAIA, CCOA. Pubblica COBIT. Cyber Academy è un ISACA Accredited Premium Partner.
4 entries
Lead Auditor è la credenziale PECB per i professionisti in grado di pianificare e condurre audit di terza parte o interni di un sistema di gestione. Corso di cinque giorni basato su ISO 19011. Punto di ingresso per diventare auditor presso un organismo di certificazione accreditato. Impostazione diversa rispetto al Lead Implementer: prove, campionamento, reporting, tecnica di intervista.
Lead Ethical Hacker è la certificazione PECB per i professionisti della sicurezza offensiva. Copre metodologia, definizione del perimetro, ricognizione, sfruttamento delle vulnerabilità, reporting ed etica. Il complemento accademico a certificazioni pratiche come OSCP e CRTO. Si abbina a Lead Penetration Testing Professional per la gestione degli incarichi.
Lead Implementer è la credenziale PECB per i professionisti in grado di pianificare, costruire e gestire un sistema di gestione basato su uno specifico standard ISO (nella maggior parte dei casi ISO 27001, ISO 42001, ISO 22301). Corso di cinque giorni, esame, certificato. Costituisce la componente implementativa della disciplina ISO; si affianca al Lead Auditor sul versante dell'audit.
Least privilege è il principio secondo cui ogni identità (umana o di sistema) riceve i permessi minimi necessari per il proprio compito, e nient'altro. Concetto ovvio in teoria; raramente applicato in pratica. La maggior parte degli incidenti di esfiltrazione di dati ha origine da un account di servizio con privilegi eccessivi che nessuno sapeva giustificare quando messo alle strette. Da affiancare a revisioni periodiche degli accessi.
3 entries
MFA è il requisito per cui l'autenticazione utilizza due o più fattori appartenenti a categorie distinte (conoscenza, possesso, inerenza). Non tutte le MFA sono equivalenti: i codici via SMS e via e-mail sono soggetti a phishing, le notifiche push espongono a fenomeni di fatigue, i token hardware e le passkey rappresentano le forme più robuste. NIS 2 e DORA impongono entrambi una MFA "forte" sugli accessi critici.
MITRE ATT&CK è la knowledge base aperta di tattiche, tecniche e procedure (TTP) degli avversari osservate in ambienti reali. Vocabolario standard per la difesa informata dalle minacce: regole di detection, scenari red-team, formazione degli analisti SOC. Aggiornata continuamente, gratuita. Se le regole del proprio SIEM non referenziano gli ID di tecnica ATT&CK, si sta lavorando con più sforzo del necessario.
MTTD è il tempo medio che intercorre tra l'inizio di un incidente e la sua rilevazione. MTTR è il tempo medio dalla rilevazione al ripristino. Insieme costituiscono le metriche operative di riferimento per un SOC e un programma di incident response. I benchmark di settore si collocano nell'ordine di giorni o settimane; i programmi maturi puntano alle ore.
4 entries
NIS 2 è la direttiva UE che rende i consigli di amministrazione direttamente responsabili della cybersecurity. Medie e grandi imprese, in uno qualsiasi dei 18 settori elencati, rientrano nel perimetro. Il cronometro parte al primo incidente significativo: allerta precoce entro 24 ore, notifica entro 72 ore, rapporto completo entro un mese. Le sanzioni sono severe (10 milioni di euro o il 2% del fatturato mondiale). Il recepimento varia da Stato membro a Stato membro.
NIST CSF è il framework di cybersecurity pubblicato dal National Institute of Standards and Technology statunitense. La revisione 2.0 (2024) ha aggiunto la funzione "Govern" alle cinque funzioni esistenti (Identify, Protect, Detect, Respond, Recover). Non è certificabile; viene utilizzato come riferimento di maturità. Accompagna frequentemente ISO 27001 nelle organizzazioni transatlantiche.
NIST SP 800-171 è lo standard statunitense che definisce i requisiti di sicurezza per la protezione delle informazioni non classificate controllate nei sistemi non federali. Costituisce la base tecnica del CMMC per i fornitori della difesa. La revisione 3 (2024) ha irrigidito i controlli. Se si vende al DoD statunitense, è obbligatorio; se si opera esclusivamente in Europa, ha valore informativo.
Una non conformità è la constatazione, da parte del valutatore, che un requisito non è soddisfatto. Le NC maggiori mettono a rischio la certificazione; le NC minori richiedono un piano d'azione correttivo con scadenza definita. NC minori ripetute nella stessa area possono essere elevate a maggiori nel successivo audit di sorveglianza. L'obiettivo non è zero NC: è un'azione correttiva onesta e tracciabile.
9 entries
PCI DSS è il Payment Card Industry Data Security Standard. Obbligatorio per chiunque memorizzi, elabori o trasmetta dati dei titolari di carta. La versione 4.0.1 è la revisione corrente, pienamente obbligatoria dal 31 marzo 2025. La riduzione dello scope (tokenizzazione, segmentazione) è la leva su cui puntare; la conformità è binaria, ma tutto dipende da quanto si riesce a ridurre lo scope.
Il patch management è il processo operativo che prende una correzione pubblicata e la applica sull'intero parco sistemi, entro un SLA definito, con verifica. Spesso è l'anello più debole: le patch di emergenza collidono con le finestre di cambiamento, la compatibilità dei vendor e le dipendenze da terze parti. L'audit chiede sempre l'SLA, l'elenco delle eccezioni e le metriche.
Un penetration test è una simulazione di attacco autorizzata e perimetrata, finalizzata a individuare vulnerabilità sfruttabili prima che lo facciano attaccanti reali. Black box / grey box / white box, interno / esterno, applicativo / infrastrutturale. Da distinguere dalla vulnerability scan (automatizzata, in ampiezza) e dal red team (plurimensile, basato su obiettivi). I report alimentano il backlog di remediation.
Il phishing è l'attacco di social engineering che induce un utente a cliccare su un link malevolo, aprire un file malevolo o rivelare le proprie credenziali. Varianti: spear phishing (mirato), whaling (dirigenti), smishing (SMS), vishing (voce), BEC (business email compromise). La formazione è essenziale; l'MFA resistente al phishing lo è ancora di più.
La privacy by design (GDPR Articolo 25) è l'obbligo di integrare le misure di protezione dei dati nei sistemi fin dalla fase dei requisiti. La privacy by default è l'obbligo di rendere l'opzione con il livello di protezione più elevato quella standard. Gli auditor cercano prove documentate (DPIA, design review, impostazioni di conservazione predefinite) piuttosto che uno slogan in una policy.
PAM è il sottoinsieme di IAM focalizzato sugli account privilegiati: amministratori, root, account di servizio, break-glass. Conserva le credenziali in vault, intermedia le sessioni, registra l'attività. È il primo obiettivo dell'attaccante dopo l'accesso iniziale, e il controllo che gli auditor verificano con maggiore rigore nell'ambito di NIS 2 e DORA.
PECB è l'organismo di certificazione accreditato con sede a Montreal che rilascia credenziali professionali su 30+ standard ISO in 150+ paesi. Sicurezza delle informazioni, rischio, BCM, governance dell'IA, privacy, qualità. Cyber Academy è PECB Gold Partner. Le credenziali recano il marchio PECB; i corsi si svolgono tramite partner accreditati.
La propensione al rischio è la quantità e la tipologia di rischio che l'organizzazione è disposta ad accettare per raggiungere i propri obiettivi. Definita a livello esecutivo o dal consiglio di amministrazione, per iscritto. In sua assenza, ogni decisione di trattamento del rischio diventa un giudizio personale del team di rischio, e l'audit la smonta pezzo per pezzo. Da abbinare alla tolleranza al rischio (lo scostamento tollerato rispetto alla propensione).
La pseudonimizzazione è la tecnica definita dall'articolo 4(5) del GDPR che consiste nel sostituire gli identificatori diretti con token reversibili, conservando la chiave separatamente. Riduce il rischio e favorisce un atteggiamento positivo da parte delle autorità di controllo, ma il dato rimane un dato personale. L'anonimizzazione è la tecnica che consente di uscire completamente dal perimetro del GDPR; la pseudonimizzazione no. Attenzione alla confusione tra i due concetti.
5 entries
Il ransomware è la classe di malware che cifra i dati e richiede un pagamento per la chiave, spesso abbinata al furto di dati e all'estorsione (double extortion). Vettori di attacco: phishing, esposizione su sistemi internet-facing, supply chain. Le assicurazioni coprono meno, i regolatori controllano di più. L'esito dipende dal lavoro svolto prima dell'incidente (backup, segmentazione, piano IR), non dalla negoziazione.
L'RTO è la durata massima accettabile durante la quale un processo di business può rimanere inoperativo prima che si verifichino danni inaccettabili. L'RPO è la perdita massima di dati, misurata in tempo, precedente all'interruzione. Entrambi derivano dalla BIA. I valori che il CIO inserisce nel BCP senza consultare il business sono quelli che cedono sotto pressione.
Il registro dei rischi è l'elenco canonico e dinamico dei rischi identificati, con relativa analisi, valutazione, trattamento e titolarità. Non è un foglio di calcolo una tantum. Gli auditor si aspettano voci datate, responsabili nominati, modifiche tracciabili e cicli di revisione collegati al riesame della direzione. La versione per il board è più sintetica; quella operativa contiene tutto.
Il ROPA è l'inventario documentato delle attività di trattamento richiesto dall'articolo 30 del GDPR. I titolari elencano finalità, categorie, destinatari, conservazione e trasferimenti; i responsabili elencano i titolari serviti, le categorie e i trasferimenti. La maggior parte delle organizzazioni sottovaluta il lavoro di manutenzione. L'autorità di controllo richiede il ROPA come prima cosa all'avvio di un'indagine.
Il rischio inerente è l'esposizione prima dei controlli. Il rischio residuo è ciò che rimane dopo l'applicazione dei controlli. Gli auditor esaminano il divario: deve essere giustificato, accettato (o ulteriormente trattato) da un responsabile nominato, e coerente con la propensione al rischio. Un valore "residuo = zero" nel registro è un segnale d'allarme, non un risultato.
7 entries
Le SCC sono le clausole standard approvate dalla Commissione Europea per il trasferimento di dati personali verso paesi terzi in assenza di una decisione di adeguatezza. Le SCC del 2021 hanno sostituito le versioni precedenti e richiedono una Transfer Impact Assessment (TIA) a seguito della sentenza Schrems II. Documentazione obbligatoria per chiunque utilizzi provider SaaS non europei.
La SoA è il documento controllato che indica all'auditor quali controlli dell'Annex A si applicano all'organizzazione, per quale motivo e dove si trova l'evidenza. Obbligatoria ai sensi di ISO 27001. L'incoerenza tra SoA, piano di trattamento del rischio e operazioni reali è la causa più frequente di non conformità nell'audit di stage 2.
SOC 2 è il report di attestazione AICPA sui controlli di un'organizzazione di servizi, che copre cinque criteri di fiducia (sicurezza, disponibilità, integrità del trattamento, riservatezza, privacy). Riferimento canonico nordamericano per i vendor SaaS; ISO 27001 è l'equivalente europeo. Type I = valutazione puntuale; Type II = efficacia operativa su un periodo di 6-12 mesi. Spesso richiesto nei processi di procurement enterprise.
Schrems II è la sentenza della CGUE del 2020 che ha invalidato l'EU-US Privacy Shield e ha introdotto il requisito della Transfer Impact Assessment. Ogni trasferimento verso un paese terzo richiede ora un'analisi documentata della normativa locale in materia di sorveglianza e delle misure supplementari. Sostituito nella pratica dall'EU-US Data Privacy Framework (2023), ma la disciplina della TIA è rimasta in vigore.
Un SIEM aggrega i log, normalizza gli eventi ed esegue regole di rilevamento sull'intero stack. È il livello di visibilità da cui dipende il SOC. I principali vendor SIEM (Splunk, Sentinel, Elastic, Sumo) integrano sempre più spesso funzionalità SOAR e UEBA. La parte difficile non è acquistare il SIEM; è il data engineering e la pipeline di detection-as-code che ne consegue.
Un SOC è il team e l'insieme di strumenti che monitora, rileva, analizza e risponde agli eventi di sicurezza in tempo reale. Analisti su livelli (T1 rilevamento, T2 investigazione, T3 threat hunting), 8x5 o 24x7. Interno, esternalizzato (MSSP) o ibrido. Senza un SOC il SIEM è un archivio di log; con uno diventa un sistema di allerta precoce.
SOAR è lo strato che recepisce gli alert del SIEM ed esegue i playbook: arricchimento, triage, contenimento, ticketing. Obiettivo: ridurre l'MTTR e liberare gli analisti dal lavoro di copia-incolla. Attenzione alle promesse eccessive dei vendor: un SOAR vale quanto i playbook che si scrivono e si mantengono. La maggior parte dei progetti SOAR falliti ha esaurito gli autori di playbook.
4 entries
Un tabletop exercise è una simulazione discussione-based di uno scenario disruptivo con il team di risposta attorno a un tavolo. Economico, rapido, rivela le lacune che nessuna revisione documentale individuerà. Pratica richiesta da ISO 22301, NIS 2 e DORA, e l'attività con il ROI più elevato in un programma BCM. Pianificarlo con cadenza trimestrale, non annuale.
Il TPRM è la disciplina che governa il rischio introdotto da fornitori, subappaltatori e service provider. Due diligence in fase di onboarding, clausole contrattuali, assurance continuativa, offboarding. Obbligatorio ai sensi di NIS 2 (sicurezza della supply chain) e DORA (rischio ICT da terze parti). Il blackout Crowdstrike e l'incidente SolarWinds hanno entrambi portato il TPRM all'attenzione dei board.
TLPT è l'esercizio di red team supervisionato dal regolatore, richiesto da DORA per le entità finanziarie significative. Basato sul framework TIBER-EU (Threat Intelligence-Based Ethical Red Teaming). Si estende su più mesi, è guidato dall'intelligence e supervisionato dall'autorità nazionale. Il test più rigoroso che un CISO si troverà ad affrontare, e quello che mette a nudo il SOC per quello che è realmente.
Il trattamento del rischio è ciò che si fa una volta che il rischio è noto: evitarlo, ridurlo, trasferirlo, accettarlo. Ogni decisione è documentata, giustificata dalla propensione al rischio e tracciata attraverso il SoA fino ai controlli e alle evidenze operative. La maggior parte degli audit falliti si riduce a un unico problema: il piano di trattamento e la realtà si sono discostati, e nessuno ha aggiornato il SoA.
Hai bisogno della formazione pratica?
Ogni voce dell'enciclopedia rimanda alla coorte che insegna il concetto dall'inizio alla fine. Da NIS 2 a ISO 42001, il catalogo è prenotabile sulla stessa pagina.