DA DOVE COMINCIARE PER ASSICURARE PRIVACY E SICUREZZA DEI DATI PERSONALI TRATTATI IN AZIENDA
Fino a pochi anni fa per le aziende la cyber security non rappresentava un tema a cui dedicare troppe energie. Lo scopo principale di una impresa è quello di generare profitti e sono le attività utili a far crescere la redditività quelle su cui si sono da sempre concentrati i maggiori sforzi e investimenti. Così, raramente in passato la sicurezza informatica si è spinta oltre l’adozione di semplici sistemi antivirus e firewall, pensando che fossero sufficienti ad arginare la maggior parte delle minacce del Web.
La digital transformation ha creato grandi opportunità di crescita per le aziende, permettendo loro di raggiungere nuovi clienti in ogni parte del mondo con servizi migliori, più rapidi, efficienti e performanti. L’altro lato della medaglia è che attraverso interconnessioni sempre più fitte le stesse aziende sono oggi maggiormente esposte a nuove minacce e tipologie di cyber attacchi di fronte alle quali gli approcci tradizionali risultano inadeguati. Nel 2016 sono stati oltre 4 miliardi i record sottratti da database aziendali, riguardanti prevalentemente dati personali e credenziali di accesso. Stando al rapporto Clusit sulla sicurezza ICT in Italia, le azioni di hackeraggio per estorcere denaro o informazioni e dati sensibili da cui ricavare proventi hanno costituito circa il 72% di tutti gli attacchi del 2016.
Questo nuovo scenario ha però il merito di aver riacceso l’attenzione sull’importanza della cyber security a difesa dei dati e della privacy. Il General Data Protection Regulation (GDRP) ne è probabilmente l’esempio più rappresentativo.
DA DOVE COMINCIARE: PRIVACY BY DESIGN
Il concetto che più coinvolge la cyber security all’interno del GDPR è probabilmente quello della privacy by design. Tale concetto impone che il problema di assicurare una adeguata protezione ai dati raccolti e trattati sia affrontato sin dal momento in cui il trattamento dei dati viene progettato e definito. Le aziende dovranno perciò adottare misure tecniche e organizzative adeguate, operando sulla base di una corretta valutazione dei rischi. Il regolamento lascia ad ogni azienda un certo margine di libertà per quanto riguarda la scelta delle misure da adottare per ridurre il più possibile i rischi. La cifratura figura tra le opzioni principali.
A partire da maggio 2018 sarà scaduto il tempo utile per adeguarsi alle nuove disposizioni, ma Sergio Dornelles − Chief Strategy Officer di InTheCyber − sostiene che una azienda su due non ha ancora elaborato alcun piano per adeguarsi alle novità del GDPR e meno della metà ha messo in atto un processo strutturato verso l’adeguamento.
Una ricerca condotta da OnePool per Citrix ha testato la preparazione di un campione di 500 addetti IT con responsabilità decisionali in altrettante aziende italiane di ogni dimensione. Lo studio ha riscontrato l’uso di numerosi sistemi diversi all’interno di ogni azienda per gestire e archiviare i dati personali: si va da una media di 25 sistemi diversi nelle aziende medio grandi, fino ad oltre 40 nel 17% del campione studiato. Meno della metà delle aziende (circa il 44%) esegue valutazioni di impatto sulla privacy dei dati per l’implementazione di policy ad essa collegate. Manca un accordo sull’attribuzione del possesso dei dati trattati, con metà del campione convinto che vada attribuito all’organizzazione e il 36% che pensa invece che i dati appartengano ai clienti.
I PRIMI PASSI VERSO DATA SECURITY E GDPR COMPLIANCE
Intervenire per eliminare i dubbi ancora numerosi sulle responsabilità aziendali relative alla privacy dei dati è il primo passo da compiere verso la conformità al GDPR. La sicurezza dovrà diventare un processo basato su precise policy aziendali in grado di guidare le azioni dei dipendenti e ridurre al minimo i rischi di falle nella sicurezza. Crittografia e sistemi per il controllo dei privilegi degli utenti dovrebbero diventare i due pilastri della data security.
22 novembre 2017
SECUREDRIVE
Il Cloud progettato seguendo le raccomandazioni europee: controlli di integrità, crittografia, server situati in Italia per garantire sicurezza e privacy dei tuoi utenti