Come abbiamo già visto nei precedenti articoli, per sicurezza informatica si intende l’insieme dei mezzi e delle tecnologie utilizzati per la protezione dei sistemi informatici in termini di disponibilità, confidenzialità e integrità dei beni e di autenticità delle informazioni.
Per valutare l’efficacia di un sistema di cyber security è dunque necessario individuare le minacce, le vulnerabilità e i rischi associati agli asset, affinché sia possibile evitare possibili attacchi (interni o esterni) capaci di provocare danni diretti o indiretti ad una determinata organizzazione.
Pertanto, questa forma di tutela dovrebbe essere predisposta da ogni organizzazione che possiede beni, al fine di proteggerli contrastando il loro danneggiamento.
Il principio di accountability
Il Regolamento europeo 2016/679 sulla protezione dei dati personali (GDPR) – che si applica a partire dal 25 maggio 2018 – ha dato un’importante attenzione al concetto di cyber security, anche alla luce dei sempre più numerosi attacchi ed incidenti di questo tipo.
Il GDPR ha difatti introdotto delle importanti novità, richiedendo alle aziende e ai loro titolari di adottare delle misure adeguate alla protezione del proprio sistema informatico e delle informazioni in proprio possesso. Si tratta del cosiddetto “principio di accountability”, che comporta l’assunzione di responsabilità nell’implementare strumenti adeguati ai pericoli specifici dell’organizzazione di cui si è titolari o responsabili.
A riguardo, l’articolo 24 del GDPR, ha affermato che il titolare ed il responsabile del trattamento debbano essere in grado di mettere in atto disposizioni tecniche ed organizzative volte sia ad accertare, che a comprovare, il rispetto dei principi applicabili al trattamento dei dati personali.
Per fare questo occorre tener conto di una serie di elementi ad essi relativi, quali:
- la natura;
- il contesto;
- le finalità del trattamento;
- i rischi connessi alle libertà e ai diritti degli interessati.
L’accountability, tuttavia, non si risolve esclusivamente nella semplice “responsabilizzazione”, ma richiede che il titolare ed il responsabile siano in grado, in qualsiasi momento, di stabilire le garanzie più appropriate e di dimostrare di aver protetto i dati in maniera conforme a quanto previsto dal regolamento europeo.
Quindi, a differenza del passato, il legislatore richiede, nella gestione della protezione delle informazioni, di adottare un approccio non solo formale ma sostanziale, che pertanto comporta un cambiamento organizzativo e culturale dell’intera struttura, anche informatica, delle aziende e degli studi professionali.
Le misure di sicurezza adeguate e i rischi dei trattamenti
Nello specifico, all’interno GDPR è richiesto che, al fine di garantire la salvaguardia delle reti e delle informazioni, il titolare ed il responsabile di queste si dotino di misure tecniche ed organizzative adatte a tutelarsi da trattamenti non autorizzati o illeciti, dalla perdita, dalla distruzione o ancora dal danno accidentale di esse.
Tutti i soggetti che lavorano con i dati devono perciò valutare il rischio informatico, ovvero il pericolo di danni diretti e indiretti che possono derivare dall’uso delle tecnologie all’interno dell’organizzazione (i cui confini, proprio grazie alle nuove tecnologie, si allargano anche a interlocutori esterni).
Ne consegue che, la perdita di dati può essere evitata solo se vengono valutati i rischi derivanti da essa e dalla distruzione accidentale o dal furto delle informazioni affidate dagli interessati.
È bene, di conseguenza, considerare sempre i costi di attuazione, la natura, l’oggetto, il contesto e le finalità del trattamento dei dati, nonché la probabilità e la gravità di eventuali violazioni ai danni dei diritti e delle libertà degli utenti.
Inoltre, bisogna sottolineare come ad ogni situazione critica corrispondano strumenti di sicurezza specifici richiesti dallo stesso GDPR, tra cui evidenziamo i seguenti.
- La pseudonimizzazione e la cifratura dei dati personali.
- La capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità, la resilienza dei sistemi e dei servizi di trattamento.
- La possibilità di ripristinare tempestivamente la disponibilità e l’accesso delle informazioni personali in caso di incidente fisico o tecnico.
- L’esecuzione di una procedura per testare, verificare e valutare regolarmente l’efficacia delle disposizioni tecniche ed organizzative al fine di assicurare il corretto trattamento.
Appare evidente, dunque, quanto sia necessario attuare un’analisi effettiva e mirata della propria organizzazione per conoscere i rischi ai quali si è esposti.
Prevenire le minacce
In base a quanto esaminato, la consapevolezza e la preparazione ai pericoli informatici è qualcosa che va ben oltre l’evitare le pesanti sanzioni previste dal GDPR. Bensì questo processo riguarda concretamente la protezione del proprio business, dei propri clienti e della propria reputazione sul mercato.
Pertanto, i manager e i professionisti non devono solamente conoscere quanto previsto dal Regolamento europeo ma, rispetto al passato, necessitano dell’adozione di una metodologia pragmatica che attui delle contromisure efficaci per limitare specifiche minacce come la perdita accidentale dei dati o le azioni di cybercrime.
La valutazione delle criticità e l’individuazione dei relativi rimedi, è diventato quindi un processo dinamico e in costante aggiornamento. Al contempo, la più grande sfida per ogni azienda riguarda l’anticipare il verificarsi di situazioni negative e, di conseguenza, la ricerca di soluzioni concrete che possano garantire la sicurezza delle informazioni e la piena conformità normativa.
Per saperne di più sul GDPR e per imparare a tutelare il tuo business ti invitiamo a visitare il nostro sito https://www.musaformazione.it/ e a frequentare i corsi offerti in tema di cyber security da Musa Formazione.
Continua a seguirci sul blog di Ethical Hacking e a leggere i prossimi articoli!
Vuoi approfondire le tematiche di sicurezza informatica e di Ethical Hacking?
Scopri il corso di Ethical Hacker & Security Manager targato Musa Formazione.