Il vocabolario GRC, scritto da chi lo pratica.

Definizioni oneste e ragionate di cybersecurity, privacy, rischio e governance AI. Scritte dalla prospettiva di un CISO attivo, non copiate da uno standard. Ogni voce dice cosa significa davvero il termine nella pratica, cosa non significa e dove trovare il testo ufficiale.

Un glossario che puoi citare senza sembrare un depliant.

GRC encyclopedia

Practitioner voice

Scritto dalla sala audit, non dalla biblioteca accademica. Cosa significa il termine e cosa le persone fraintendono.

Fonti e date

Fonti ufficiali (EUR-Lex, ANSSI, CNIL, ENISA, ISO) per ogni voce. Date di revisione visibili.

Collegato in tutto il sito

Ogni voce rimanda ai termini correlati, alla pagina pillar e alla coorte che la insegna.

Filter by topic
A

4 entries

AI Risk Manager

AI Risk Manager è la credenziale (PECB / ISACA emerging) per i professionisti che gestiscono programmi di rischio specifici per l'IA: rischio del modello, bias, drift, trasparenza, rischio del modello da terze parti. Livello operativo che completa ISO/IEC 42001 (livello di sistema) e l'AI Act (livello regolatorio). Accompagnamento frequente al CISO o al Lead AI Auditor.

AI governanceRead entry

AAIA · Advanced in AI Audit

AAIA è la credenziale ISACA avanzata per l'audit di sistemi, modelli e governance dell'IA. Di recente introduzione (dal 2024). Richiede una certificazione CISA in corso di validità o equivalente. Progettata per auditor senior che integrano competenze in ambito IA, mappata su ISO 42001 e sugli obblighi ad alto rischio dell'AI Act europeo.

Certifications & credentialsRead entry

ANSSI · Agenzia nazionale francese per la cybersicurezza

ANSSI è l'agenzia nazionale francese per la cybersicurezza, posta sotto l'autorità del Primo Ministro dal 2009. È l'autorità nazionale per la politica di cybersicurezza in Francia: qualifica prodotti e fornitori di servizi, pubblica EBIOS Risk Manager e agisce come autorità competente per il recepimento di NIS 2. Le sue qualificazioni (SecNumCloud, PVID, PASSI) rappresentano il riferimento di eccellenza nel settore pubblico francese.

Standards bodiesRead entry

Audit stage 1 / stage 2

La certificazione ISO iniziale si articola in stage 1 (verifica della documentazione e della prontezza operativa, di norma 1-2 giorni) e stage 2 (audit delle evidenze operative, 2-5 giorni). Lo stage 1 conferma che il sistema di gestione esiste sulla carta; lo stage 2 verifica che funzioni concretamente. La maggior parte degli audit stage 2 "falliti" sono problemi di stage 1 che nessuno ha corretto nel frattempo.

Audit & complianceRead entry
C

14 entries

CIS Controls

I CIS Critical Security Controls sono un insieme prioritizzato di 18 categorie di controllo pubblicato dal Center for Internet Security. I gruppi di implementazione (IG1, IG2, IG3) corrispondono alla maturità dell'organizzazione. Il metodo più rapido per portare una piccola o media organizzazione da zero a un livello di difesa adeguato. Si mappa in modo preciso sull'Annex A di ISO 27001.

Cybersecurity operationsRead entry

COBIT

COBIT è il framework ISACA per la governance e la gestione dell'IT aziendale. L'edizione corrente è COBIT 2019. È il framework utilizzato dalle Big Four per valutare la maturità della governance IT e il riferimento per la certificazione CGEIT. Più strategico di ISO 27001; meno prescrittivo di NIST.

Audit & complianceRead entry

CCAK · Certificate of Cloud Auditing Knowledge

CCAK è la credenziale congiunta ISACA / Cloud Security Alliance per i revisori cloud. Copre la governance cloud, il CCM, il programma STAR e le considerazioni di audit specifiche degli hyperscaler. L'estensione naturale per chi detiene il CISA e opera in ambienti cloud-first.

Certifications & credentialsRead entry

CSX-P · Certificazione Cybersecurity Practitioner

CSX-P è la certificazione pratica di cybersecurity di ISACA, basata sulla performance. Viene verificata in un ambiente cyber-range live sulle cinque funzioni del NIST CSF. Meno nota di CISM o CISA, ma tra le rare credenziali in cui l'esame valuta ciò che si sa fare concretamente, non ciò che si sa scrivere.

Certifications & credentialsRead entry

CCOA · Certified Cybersecurity Operations Analyst

CCOA è la certificazione operativa hands-on di ISACA per la cybersecurity, focalizzata sul lavoro in SOC: monitoraggio, rilevamento, risposta, ripristino. Il complemento tecnico al CISM. Indicata per analisti e incident responder, non per manager o auditor.

Certifications & credentialsRead entry

CDPSE · Certified Data Privacy Solutions Engineer

CDPSE è la certificazione tecnica sulla privacy di ISACA. Tre domini: governance della privacy, architettura della privacy, ciclo di vita del dato. È il complemento tecnico-ingegneristico delle certificazioni DPO/CDPO orientate alle policy. Adatta ai team di sicurezza responsabili dell'implementazione della privacy e agli architetti che operano nell'ambito del GDPR o dell'AI Act.

Certifications & credentialsRead entry

CISM · Certified Information Security Manager

CISM è la certificazione ISACA per i responsabili della sicurezza delle informazioni: governance, gestione dei programmi, gestione del rischio, gestione degli incidenti. È lo standard di riferimento per i ruoli di leadership nella sicurezza, richiesto in circa il 60% delle offerte per CISO. Prospettiva diversa rispetto al CISSP: orientata al management, meno tecnica.

Certifications & credentialsRead entry

CISA · Certified Information Systems Auditor

CISA è la certificazione di riferimento per l'audit IT, rilasciata da ISACA dal 1978. Cinque domini che coprono il processo di audit, la governance, l'acquisizione, le operazioni e la protezione degli asset. La certificazione di riferimento nei mandati delle Big Four. Riconosciuta a livello globale; obbligatoria per molti ruoli di audit interno e compliance nei settori regolamentati.

Certifications & credentialsRead entry

CRISC · Certified in Risk and Information Systems Control

CRISC è la certificazione ISACA dedicata ai professionisti del rischio IT. Copre identificazione, valutazione, risposta e monitoraggio del rischio legato ai sistemi informativi. Collega il rischio di business a quello IT. È il complemento naturale al CISA per gli auditor che si spostano verso la gestione del rischio, e a ISO 27005 / 31000 per i professionisti con formazione ISO che integrano il vocabolario ISACA.

Certifications & credentialsRead entry

CGEIT · Certified in the Governance of Enterprise IT

CGEIT è la certificazione ISACA per i professionisti senior che si occupano della governance dell'IT aziendale: allineamento strategico, creazione di valore, ottimizzazione dei rischi e delle risorse. Si basa su COBIT. Ha un mercato più ristretto rispetto a CISA / CISM, ma è la certificazione adatta a CIO, advisor IT a livello di board e consulenti senior.

Certifications & credentialsRead entry

CISO · Chief Information Security Officer

Il CISO è il dirigente responsabile della strategia di sicurezza delle informazioni. Gestisce il registro dei rischi, guida la risposta agli incidenti, informa il consiglio di amministrazione e approva il rischio residuo. Con NIS 2 e DORA, la responsabilità è ora esplicita e personale. Il ruolo riguarda la governance, non l'implementazione; la parte più difficile è la traduzione per il board.

Certifications & credentialsRead entry

CNIL · Commission nationale de l'informatique et des libertés

La CNIL è l'autorità francese per la protezione dei dati, istituita nel 1978. Applica il GDPR in Francia, emette decisioni vincolanti e sanzioni, pubblica linee guida (cookie, biometria, IA) e gestisce lo strumento PIA. È una delle autorità di controllo più attive nell'UE; le sue decisioni costituiscono spesso un precedente a livello europeo.

Standards bodiesRead entry

CRA · Cyber Resilience Act

Il Cyber Resilience Act è il regolamento UE che impone obblighi minimi di sicurezza ai prodotti hardware e software con elementi digitali commercializzati in Europa. Obblighi del fornitore lungo l'intero ciclo di vita: secure-by-design, gestione delle vulnerabilità, SBOM, cinque anni di patch. Adottato alla fine del 2024, si applica dal dicembre 2027. Da integrare con NIS 2 (prospettiva organizzativa) e AI Act (prospettiva dei modelli).

EU regulationsRead entry

CMMC · Cybersecurity Maturity Model Certification

CMMC è il modello di maturità della cybersecurity che il Dipartimento della Difesa statunitense impone ai propri appaltatori che trattano informazioni contrattuali federali e informazioni non classificate controllate. CMMC 2.0 si è ridotto a tre livelli (Foundational, Advanced, Expert) allineati con NIST SP 800-171 e 800-172. Se si vende al DoD o si fa parte della loro catena di fornitura, si è nel perimetro di applicazione.

EU regulationsRead entry
D

8 entries

DPIA · Data Protection Impact Assessment

Un DPIA è l'analisi strutturata che il GDPR richiede prima di qualsiasi trattamento ad alto rischio. Documenta natura, portata, contesto e finalità; valuta necessità e proporzionalità; individua le misure di attenuazione. La CNIL mette a disposizione gratuitamente un tool PIA: è consigliabile utilizzarlo. Omettere un DPIA quando era obbligatorio è uno dei modi più diretti per attirare una visita dell'autorità di controllo.

Privacy & data protectionRead entry

DPO · Data Protection Officer

Il DPO è il ruolo previsto dal GDPR che monitora la conformità, consiglia il titolare del trattamento e funge da punto di contatto con l'autorità di controllo. Obbligatorio per le autorità pubbliche e per i trattamenti che richiedono un monitoraggio sistematico su larga scala o dati di categoria speciale. Indipendenza e accesso al management sono i due elementi che gli auditor verificano concretamente.

Privacy & data protectionRead entry

Defense in depth

Defense in depth è il principio di stratificare i controlli in modo che nessun singolo punto di cedimento comprometta il sistema. Rete, endpoint, applicazione, dati, persone, fisico: ogni livello rallenta l'attaccante, aumenta il costo e guadagna tempo per il rilevamento. Principio fondante fin dagli anni Novanta. Gli auditor si aspettano di vederlo applicato; i vendor adorano vendere livelli aggiuntivi.

Cybersecurity operationsRead entry

DORA · Digital Operational Resilience Act

DORA è il regolamento UE che impone un framework di resilienza uniforme agli enti finanziari e ai loro fornitori ICT critici. Cinque pilastri: gestione del rischio ICT, segnalazione degli incidenti, test di resilienza incluso il TLPT, rischio ICT di terze parti, condivisione delle informazioni. Applicabile dal 17 gennaio 2025. Incide in modo più stringente di NIS 2 sul versante ICT; in quanto lex specialis, prevale per gli enti finanziari.

EU regulationsRead entry

Direttiva NIS 1

NIS 1 (Direttiva 2016/1148) è stata la prima direttiva europea di cybersecurity intersettoriale, applicabile agli operatori di servizi essenziali e ai fornitori di servizi digitali. Sostituita da NIS 2 nell'ottobre 2024, perché l'ambito di applicazione era troppo ristretto, il regime sanzionatorio disomogeneo e gli obblighi di notifica degli incidenti privi di efficacia reale. Citata qui principalmente per chiarire cosa fosse effettivamente il "vecchio regime" che i colleghi ricordano ancora vagamente.

EU regulationsRead entry

Direttiva ePrivacy

La Direttiva ePrivacy (2002/58/CE, modificata nel 2009) è la «cookie law» che tutti implementano a metà. Disciplina la riservatezza delle comunicazioni elettroniche e le tecnologie di tracciamento sui dispositivi degli utenti. Precedente al GDPR e tuttora in vigore; il Regolamento ePrivacy che avrebbe dovuto sostituirla è bloccato in sede negoziale dal 2017. Le autorità nazionali di protezione dei dati (CNIL, Garante, AEPD) la applicano nei rispettivi ambiti territoriali.

EU regulationsRead entry

DR · Disaster Recovery

Il disaster recovery è il sottoinsieme dell'BCM focalizzato sull'IT: ripristino di infrastrutture, applicazioni e dati dopo un'interruzione. RPO, RTO e runbook appartengono a questo ambito. Un piano di DR mai testato end-to-end è una finzione. ISO 24762 lo disciplinava in precedenza; la pratica attuale rimanda a ISO 22301 e ai runbook operativi.

Resilience & continuityRead entry

DDoS · Distributed Denial of Service

DDoS è l'attacco che inondata un servizio da molteplici sorgenti per esaurirne la capacità. Può operare a livello volumetrico, di protocollo o applicativo. La mitigazione è ormai una commodity (Cloudflare, Akamai, AWS Shield). La domanda di rischio non è più «riusciamo a bloccarlo» ma «i servizi critici sono instradati attraverso la protezione, incluse le API che non compaiono mai nei dashboard».

Cybersecurity operationsRead entry
E

4 entries

ENISA · Agenzia dell'Unione Europea per la Cybersecurity

ENISA è l'agenzia UE per la cybersecurity, con sede ad Atene. Supporta gli Stati membri e le istituzioni UE in materia di politica della cybersecurity, cooperazione operativa e quadro di certificazione europeo. È operativamente coinvolta nella cooperazione NIS 2, negli standard tecnici di attuazione DORA e nella baseline di sicurezza dell'AI Act. Il loro rapporto sul panorama delle minacce è la pubblicazione annuale più citata in assoluto.

Standards bodiesRead entry

EBIOS RM · EBIOS Risk Manager

EBIOS Risk Manager è il metodo di gestione del rischio cyber di ANSSI, incentrato sugli scenari di attacco strategici. Mette in relazione i processi di business con gli obiettivi degli attaccanti, per poi derivare i controlli tecnici. È lo standard nel settore pubblico francese e tra gli operatori di importanza vitale. Particolarmente efficace per mostrare al board perché uno scenario specifico sia rilevante; meno diffuso negli audit multinazionali del settore privato.

Risk managementRead entry

EU AI Act

L'EU AI Act è la prima regolamentazione completa sull'intelligenza artificiale al mondo. Quattro livelli di rischio: inaccettabile (vietato), alto (obblighi sostanziali e valutazione di conformità), limitato (trasparenza), minimo. Si applica per fasi fino ad agosto 2027. Da abbinare a ISO 42001 per una risposta basata su sistema di gestione, non su checklist. Le regole sui modelli GPAI si aggiungono in cima.

EU regulationsRead entry

EDR · Endpoint Detection and Response

EDR è la piattaforma basata su agente che registra l'attività degli endpoint, rileva comportamenti sospetti e consente agli analisti di isolare o rimediare gli host compromessi. XDR estende la visibilità su endpoint, rete e cloud; MDR è il servizio gestito che li racchiude. L'endpoint rimane il vettore d'ingresso più comune; EDR è oggi un requisito di base, non un elemento differenziante.

Cybersecurity operationsRead entry
I

15 entries

ISO 19011

ISO 19011 è la norma di riferimento per le linee guida sull'audit dei sistemi di gestione. Generica, si applica indifferentemente agli audit ISO 27001, 9001 e 22301. Definisce i principi di audit, la gestione del programma di audit, il ciclo di audit e la competenza degli auditor. Il corso Lead Auditor la insegna; gli auditor che si incontrano sul campo sono stati formati su di essa.

Audit & complianceRead entry

ISO 22301

ISO 22301 è lo standard internazionale per i sistemi di gestione della continuità operativa (BCMS). Specifica i requisiti per pianificare, gestire, monitorare e migliorare un BCMS che ripristina le operazioni critiche dopo un'interruzione. È richiesto con crescente frequenza dai regolatori finanziari in applicazione del DORA e dalle autorità di vigilanza NIS 2 per gli operatori di servizi essenziali.

Resilience & continuityRead entry

ISO 31000

ISO 31000 è lo standard generico per la gestione del rischio. Principi, framework e processo iterativo. NON è un sistema di gestione certificabile: non esiste un ISO 31000 Lead Auditor, nonostante quanto affermato da alcuni cataloghi. Il percorso PECB è Foundation → Risk Manager → Lead Risk Manager. Da utilizzare quando il rischio va oltre la sola sicurezza delle informazioni.

Risk managementRead entry

ISO/IEC 27001

ISO 27001 è il framework certificabile che gli auditor utilizzano per valutare la sicurezza delle informazioni. La revisione del 2022 ha ridotto l'Annex A a 93 controlli distribuiti su quattro temi (organizzativo, persone, fisico, tecnologico). Il vostro ISMS si regge o cade sulla Statement of Applicability e sulle evidenze operative. Tutti lo citano; pochi lo gestiscono davvero.

Information securityRead entry

ISO/IEC 27002

ISO 27002 è la guida all'implementazione dei controlli dell'Annex A di ISO 27001. Non è certificabile da sola. Gli auditor la utilizzano quando vogliono verificare COME si opera un controllo, non solo se è "in essere". Va trattata come il manuale operativo a fianco dello standard di certificazione.

Information securityRead entry

ISO/IEC 27005

ISO 27005 è la metodologia per la gestione del rischio di sicurezza delle informazioni che si integra con ISO 27001. Identificazione, analisi, valutazione, trattamento, accettazione. La revisione del 2022 si allinea ai principi di ISO 31000 e chiarisce il rapporto con il Clause 6 di ISO 27001. Meno prescrittivo di EBIOS RM, ma la lingua franca canonica con gli auditor.

Risk managementRead entry

ISO/IEC 27017

ISO 27017 è l'estensione dei controlli di sicurezza cloud a ISO 27001. Aggiunge controlli specifici per il cloud e chiarisce la ripartizione della responsabilità condivisa tra fornitore e cliente. Se lo scope del vostro ISMS include workload su hyperscaler (AWS, Azure, GCP, OVH), gli auditor chiederanno quali controlli 27017 avete mappato.

Information securityRead entry

ISO/IEC 27018

ISO 27018 è l'estensione dei controlli privacy di ISO 27001 per i cloud provider che agiscono come responsabili del trattamento di informazioni a carattere personale. Collega ISO 27001 agli obblighi del responsabile del trattamento previsti dal GDPR. Adottata principalmente dagli hyperscaler, viene utilizzata dai loro clienti come elemento di due diligence sui fornitori.

Privacy & data protectionRead entry

ISO/IEC 27034

ISO 27034 è lo standard per la sicurezza delle applicazioni. Articolato in più parti. Copre l'intero ciclo di vita sicuro del software: requisiti, progettazione, sviluppo, test, distribuzione, manutenzione. Meno noto di ISO/IEC 27001 perché vive all'interno dell'SDLC, ma è l'unico standard ISO che parla la lingua dei team di sviluppo. Si abbina naturalmente alle pratiche OWASP e SBOM.

Information securityRead entry

ISO/IEC 27037

ISO 27037 è lo standard per la digital forensics relativo all'identificazione, raccolta, acquisizione e conservazione delle prove digitali. È il riferimento che un team forense interno, un CERT o un consulente di litigation support utilizza per mantenere integra la catena di custodia. Va trattato come il manuale operativo con cui auditor e legali confronteranno le azioni intraprese dopo un incidente.

Cybersecurity operationsRead entry

ISO/IEC 27701

ISO 27701 è l'estensione per la gestione delle informazioni sulla privacy di ISO 27001. Aggiunge gli obblighi del titolare e del responsabile del trattamento al di sopra dell'ISMS. Utile per le organizzazioni che desiderano un unico sistema di gestione certificabile che copra sia la sicurezza sia la privacy. Si ricollega al GDPR, ma non "sostituisce" il lavoro di conformità al GDPR.

Privacy & data protectionRead entry

ISO/IEC 42001

ISO 42001 è il primo standard internazionale per i sistemi di gestione dell'intelligenza artificiale, pubblicato a fine 2023. L'equivalente AIMS di ciò che ISO 27001 rappresenta per l'ISMS. Pensato per le organizzazioni che devono governare la progettazione, il deployment e l'operatività dell'AI: rischio, accountability, trasparenza, miglioramento continuo. Si allinea in modo diretto agli obblighi dell'AI Act per i sistemi ad alto rischio.

AI governanceRead entry

IAM · Identity and Access Management

IAM è la disciplina che gestisce chi può accedere a cosa, quando, come e in quali condizioni. Provisioning, autenticazione, autorizzazione, deprovisioning. L'identità è il nuovo perimetro. Ogni architettura Zero Trust è, nella sostanza, un problema di IAM complesso mascherato da problema di rete.

Cybersecurity operationsRead entry

ISMS · Information Security Management System

Un ISMS è il sistema documentato che si gestisce per proteire gli asset informativi: basato sul rischio, supportato da evidenze, sottoposto a riesame della direzione. Non è un raccoglitore di policy. Gli auditor non valutano le policy; valutano le evidenze operative. Ciclo Plan-Do-Check-Act, certificato secondo ISO 27001, con il SoA come artefatto centrale.

Information securityRead entry

ISACA · Information Systems Audit and Control Association

ISACA è l'associazione globale per i professionisti di audit IT, sicurezza, rischio e governance. Fondata nel 1969, con sede a Schaumburg, IL, conta oltre 165.000 membri in 188 paesi. Rilascia le certificazioni CISA, CISM, CRISC, CGEIT, CDPSE, AAIA, CCOA. Pubblica COBIT. Cyber Academy è un ISACA Accredited Premium Partner.

Standards bodiesRead entry
L

4 entries

Lead Auditor

Lead Auditor è la credenziale PECB per i professionisti in grado di pianificare e condurre audit di terza parte o interni di un sistema di gestione. Corso di cinque giorni basato su ISO 19011. Punto di ingresso per diventare auditor presso un organismo di certificazione accreditato. Impostazione diversa rispetto al Lead Implementer: prove, campionamento, reporting, tecnica di intervista.

Certifications & credentialsRead entry

Lead Ethical Hacker

Lead Ethical Hacker è la certificazione PECB per i professionisti della sicurezza offensiva. Copre metodologia, definizione del perimetro, ricognizione, sfruttamento delle vulnerabilità, reporting ed etica. Il complemento accademico a certificazioni pratiche come OSCP e CRTO. Si abbina a Lead Penetration Testing Professional per la gestione degli incarichi.

Certifications & credentialsRead entry

Lead Implementer

Lead Implementer è la credenziale PECB per i professionisti in grado di pianificare, costruire e gestire un sistema di gestione basato su uno specifico standard ISO (nella maggior parte dei casi ISO 27001, ISO 42001, ISO 22301). Corso di cinque giorni, esame, certificato. Costituisce la componente implementativa della disciplina ISO; si affianca al Lead Auditor sul versante dell'audit.

Certifications & credentialsRead entry

Least privilege

Least privilege è il principio secondo cui ogni identità (umana o di sistema) riceve i permessi minimi necessari per il proprio compito, e nient'altro. Concetto ovvio in teoria; raramente applicato in pratica. La maggior parte degli incidenti di esfiltrazione di dati ha origine da un account di servizio con privilegi eccessivi che nessuno sapeva giustificare quando messo alle strette. Da affiancare a revisioni periodiche degli accessi.

Cybersecurity operationsRead entry
N

4 entries

NIS 2 Directive

NIS 2 è la direttiva UE che rende i consigli di amministrazione direttamente responsabili della cybersecurity. Medie e grandi imprese, in uno qualsiasi dei 18 settori elencati, rientrano nel perimetro. Il cronometro parte al primo incidente significativo: allerta precoce entro 24 ore, notifica entro 72 ore, rapporto completo entro un mese. Le sanzioni sono severe (10 milioni di euro o il 2% del fatturato mondiale). Il recepimento varia da Stato membro a Stato membro.

EU regulationsRead entry

NIST CSF · NIST Cybersecurity Framework

NIST CSF è il framework di cybersecurity pubblicato dal National Institute of Standards and Technology statunitense. La revisione 2.0 (2024) ha aggiunto la funzione "Govern" alle cinque funzioni esistenti (Identify, Protect, Detect, Respond, Recover). Non è certificabile; viene utilizzato come riferimento di maturità. Accompagna frequentemente ISO 27001 nelle organizzazioni transatlantiche.

Information securityRead entry

NIST SP 800-171

NIST SP 800-171 è lo standard statunitense che definisce i requisiti di sicurezza per la protezione delle informazioni non classificate controllate nei sistemi non federali. Costituisce la base tecnica del CMMC per i fornitori della difesa. La revisione 3 (2024) ha irrigidito i controlli. Se si vende al DoD statunitense, è obbligatorio; se si opera esclusivamente in Europa, ha valore informativo.

Information securityRead entry

Non conformità (NC)

Una non conformità è la constatazione, da parte del valutatore, che un requisito non è soddisfatto. Le NC maggiori mettono a rischio la certificazione; le NC minori richiedono un piano d'azione correttivo con scadenza definita. NC minori ripetute nella stessa area possono essere elevate a maggiori nel successivo audit di sorveglianza. L'obiettivo non è zero NC: è un'azione correttiva onesta e tracciabile.

Audit & complianceRead entry
P

9 entries

PCI DSS

PCI DSS è il Payment Card Industry Data Security Standard. Obbligatorio per chiunque memorizzi, elabori o trasmetta dati dei titolari di carta. La versione 4.0.1 è la revisione corrente, pienamente obbligatoria dal 31 marzo 2025. La riduzione dello scope (tokenizzazione, segmentazione) è la leva su cui puntare; la conformità è binaria, ma tutto dipende da quanto si riesce a ridurre lo scope.

Audit & complianceRead entry

Patch management

Il patch management è il processo operativo che prende una correzione pubblicata e la applica sull'intero parco sistemi, entro un SLA definito, con verifica. Spesso è l'anello più debole: le patch di emergenza collidono con le finestre di cambiamento, la compatibilità dei vendor e le dipendenze da terze parti. L'audit chiede sempre l'SLA, l'elenco delle eccezioni e le metriche.

Cybersecurity operationsRead entry

Penetration testing

Un penetration test è una simulazione di attacco autorizzata e perimetrata, finalizzata a individuare vulnerabilità sfruttabili prima che lo facciano attaccanti reali. Black box / grey box / white box, interno / esterno, applicativo / infrastrutturale. Da distinguere dalla vulnerability scan (automatizzata, in ampiezza) e dal red team (plurimensile, basato su obiettivi). I report alimentano il backlog di remediation.

Cybersecurity operationsRead entry

Phishing

Il phishing è l'attacco di social engineering che induce un utente a cliccare su un link malevolo, aprire un file malevolo o rivelare le proprie credenziali. Varianti: spear phishing (mirato), whaling (dirigenti), smishing (SMS), vishing (voce), BEC (business email compromise). La formazione è essenziale; l'MFA resistente al phishing lo è ancora di più.

Cybersecurity operationsRead entry

Privacy by design e by default

La privacy by design (GDPR Articolo 25) è l'obbligo di integrare le misure di protezione dei dati nei sistemi fin dalla fase dei requisiti. La privacy by default è l'obbligo di rendere l'opzione con il livello di protezione più elevato quella standard. Gli auditor cercano prove documentate (DPIA, design review, impostazioni di conservazione predefinite) piuttosto che uno slogan in una policy.

Privacy & data protectionRead entry

PAM · Privileged Access Management

PAM è il sottoinsieme di IAM focalizzato sugli account privilegiati: amministratori, root, account di servizio, break-glass. Conserva le credenziali in vault, intermedia le sessioni, registra l'attività. È il primo obiettivo dell'attaccante dopo l'accesso iniziale, e il controllo che gli auditor verificano con maggiore rigore nell'ambito di NIS 2 e DORA.

Cybersecurity operationsRead entry

PECB · Professional Evaluation and Certification Board

PECB è l'organismo di certificazione accreditato con sede a Montreal che rilascia credenziali professionali su 30+ standard ISO in 150+ paesi. Sicurezza delle informazioni, rischio, BCM, governance dell'IA, privacy, qualità. Cyber Academy è PECB Gold Partner. Le credenziali recano il marchio PECB; i corsi si svolgono tramite partner accreditati.

Standards bodiesRead entry

Propensione al rischio

La propensione al rischio è la quantità e la tipologia di rischio che l'organizzazione è disposta ad accettare per raggiungere i propri obiettivi. Definita a livello esecutivo o dal consiglio di amministrazione, per iscritto. In sua assenza, ogni decisione di trattamento del rischio diventa un giudizio personale del team di rischio, e l'audit la smonta pezzo per pezzo. Da abbinare alla tolleranza al rischio (lo scostamento tollerato rispetto alla propensione).

Risk managementRead entry

Pseudonimizzazione

La pseudonimizzazione è la tecnica definita dall'articolo 4(5) del GDPR che consiste nel sostituire gli identificatori diretti con token reversibili, conservando la chiave separatamente. Riduce il rischio e favorisce un atteggiamento positivo da parte delle autorità di controllo, ma il dato rimane un dato personale. L'anonimizzazione è la tecnica che consente di uscire completamente dal perimetro del GDPR; la pseudonimizzazione no. Attenzione alla confusione tra i due concetti.

Privacy & data protectionRead entry
R

5 entries

Ransomware

Il ransomware è la classe di malware che cifra i dati e richiede un pagamento per la chiave, spesso abbinata al furto di dati e all'estorsione (double extortion). Vettori di attacco: phishing, esposizione su sistemi internet-facing, supply chain. Le assicurazioni coprono meno, i regolatori controllano di più. L'esito dipende dal lavoro svolto prima dell'incidente (backup, segmentazione, piano IR), non dalla negoziazione.

Cybersecurity operationsRead entry

RTO / RPO · Recovery Time Objective e Recovery Point Objective

L'RTO è la durata massima accettabile durante la quale un processo di business può rimanere inoperativo prima che si verifichino danni inaccettabili. L'RPO è la perdita massima di dati, misurata in tempo, precedente all'interruzione. Entrambi derivano dalla BIA. I valori che il CIO inserisce nel BCP senza consultare il business sono quelli che cedono sotto pressione.

Resilience & continuityRead entry

Registro dei rischi

Il registro dei rischi è l'elenco canonico e dinamico dei rischi identificati, con relativa analisi, valutazione, trattamento e titolarità. Non è un foglio di calcolo una tantum. Gli auditor si aspettano voci datate, responsabili nominati, modifiche tracciabili e cicli di revisione collegati al riesame della direzione. La versione per il board è più sintetica; quella operativa contiene tutto.

Risk managementRead entry

ROPA · Registro delle Attività di Trattamento

Il ROPA è l'inventario documentato delle attività di trattamento richiesto dall'articolo 30 del GDPR. I titolari elencano finalità, categorie, destinatari, conservazione e trasferimenti; i responsabili elencano i titolari serviti, le categorie e i trasferimenti. La maggior parte delle organizzazioni sottovaluta il lavoro di manutenzione. L'autorità di controllo richiede il ROPA come prima cosa all'avvio di un'indagine.

Privacy & data protectionRead entry

Rischio inerente vs rischio residuo

Il rischio inerente è l'esposizione prima dei controlli. Il rischio residuo è ciò che rimane dopo l'applicazione dei controlli. Gli auditor esaminano il divario: deve essere giustificato, accettato (o ulteriormente trattato) da un responsabile nominato, e coerente con la propensione al rischio. Un valore "residuo = zero" nel registro è un segnale d'allarme, non un risultato.

Risk managementRead entry
S

7 entries

SCC · Clausole Contrattuali Standard

Le SCC sono le clausole standard approvate dalla Commissione Europea per il trasferimento di dati personali verso paesi terzi in assenza di una decisione di adeguatezza. Le SCC del 2021 hanno sostituito le versioni precedenti e richiedono una Transfer Impact Assessment (TIA) a seguito della sentenza Schrems II. Documentazione obbligatoria per chiunque utilizzi provider SaaS non europei.

Privacy & data protectionRead entry

SoA · Dichiarazione di Applicabilità

La SoA è il documento controllato che indica all'auditor quali controlli dell'Annex A si applicano all'organizzazione, per quale motivo e dove si trova l'evidenza. Obbligatoria ai sensi di ISO 27001. L'incoerenza tra SoA, piano di trattamento del rischio e operazioni reali è la causa più frequente di non conformità nell'audit di stage 2.

Information securityRead entry

SOC 2

SOC 2 è il report di attestazione AICPA sui controlli di un'organizzazione di servizi, che copre cinque criteri di fiducia (sicurezza, disponibilità, integrità del trattamento, riservatezza, privacy). Riferimento canonico nordamericano per i vendor SaaS; ISO 27001 è l'equivalente europeo. Type I = valutazione puntuale; Type II = efficacia operativa su un periodo di 6-12 mesi. Spesso richiesto nei processi di procurement enterprise.

Audit & complianceRead entry

Schrems II

Schrems II è la sentenza della CGUE del 2020 che ha invalidato l'EU-US Privacy Shield e ha introdotto il requisito della Transfer Impact Assessment. Ogni trasferimento verso un paese terzo richiede ora un'analisi documentata della normativa locale in materia di sorveglianza e delle misure supplementari. Sostituito nella pratica dall'EU-US Data Privacy Framework (2023), ma la disciplina della TIA è rimasta in vigore.

Privacy & data protectionRead entry

SIEM · Security Information and Event Management

Un SIEM aggrega i log, normalizza gli eventi ed esegue regole di rilevamento sull'intero stack. È il livello di visibilità da cui dipende il SOC. I principali vendor SIEM (Splunk, Sentinel, Elastic, Sumo) integrano sempre più spesso funzionalità SOAR e UEBA. La parte difficile non è acquistare il SIEM; è il data engineering e la pipeline di detection-as-code che ne consegue.

Cybersecurity operationsRead entry

SOC · Security Operations Center

Un SOC è il team e l'insieme di strumenti che monitora, rileva, analizza e risponde agli eventi di sicurezza in tempo reale. Analisti su livelli (T1 rilevamento, T2 investigazione, T3 threat hunting), 8x5 o 24x7. Interno, esternalizzato (MSSP) o ibrido. Senza un SOC il SIEM è un archivio di log; con uno diventa un sistema di allerta precoce.

Cybersecurity operationsRead entry

SOAR · Security Orchestration, Automation and Response

SOAR è lo strato che recepisce gli alert del SIEM ed esegue i playbook: arricchimento, triage, contenimento, ticketing. Obiettivo: ridurre l'MTTR e liberare gli analisti dal lavoro di copia-incolla. Attenzione alle promesse eccessive dei vendor: un SOAR vale quanto i playbook che si scrivono e si mantengono. La maggior parte dei progetti SOAR falliti ha esaurito gli autori di playbook.

Cybersecurity operationsRead entry
T

4 entries

Tabletop exercise

Un tabletop exercise è una simulazione discussione-based di uno scenario disruptivo con il team di risposta attorno a un tavolo. Economico, rapido, rivela le lacune che nessuna revisione documentale individuerà. Pratica richiesta da ISO 22301, NIS 2 e DORA, e l'attività con il ROI più elevato in un programma BCM. Pianificarlo con cadenza trimestrale, non annuale.

Resilience & continuityRead entry

TPRM · Third-Party Risk Management

Il TPRM è la disciplina che governa il rischio introdotto da fornitori, subappaltatori e service provider. Due diligence in fase di onboarding, clausole contrattuali, assurance continuativa, offboarding. Obbligatorio ai sensi di NIS 2 (sicurezza della supply chain) e DORA (rischio ICT da terze parti). Il blackout Crowdstrike e l'incidente SolarWinds hanno entrambi portato il TPRM all'attenzione dei board.

Risk managementRead entry

TLPT · Threat-Led Penetration Testing

TLPT è l'esercizio di red team supervisionato dal regolatore, richiesto da DORA per le entità finanziarie significative. Basato sul framework TIBER-EU (Threat Intelligence-Based Ethical Red Teaming). Si estende su più mesi, è guidato dall'intelligence e supervisionato dall'autorità nazionale. Il test più rigoroso che un CISO si troverà ad affrontare, e quello che mette a nudo il SOC per quello che è realmente.

Cybersecurity operationsRead entry

Trattamento del rischio

Il trattamento del rischio è ciò che si fa una volta che il rischio è noto: evitarlo, ridurlo, trasferirlo, accettarlo. Ogni decisione è documentata, giustificata dalla propensione al rischio e tracciata attraverso il SoA fino ai controlli e alle evidenze operative. La maggior parte degli audit falliti si riduce a un unico problema: il piano di trattamento e la realtà si sono discostati, e nessuno ha aggiornato il SoA.

Risk managementRead entry

Hai bisogno della formazione pratica?

Una definizione è l'inizio. Una certificazione è la prova.

Ogni voce dell'enciclopedia rimanda alla coorte che insegna il concetto dall'inizio alla fine. Da NIS 2 a ISO 42001, il catalogo è prenotabile sulla stessa pagina.