Da tempo, ogni fine anno, i vari report sulla sicurezza IT ci rappresentano uno scenario preoccupante; l’anno appena trascorso è stato il peggiore di sempre.
Le infrastrutture IT italiane sono bersaglio di quasi il 10% degli attacchi su scala mondiale, e purtroppo una parte di essi si trasforma in un data breach; solo a novembre e dicembre 2023, due ASL violate ed un grande Cloud service provider, con esfiltrazione di dati.
Anche i non addetti ai lavori si rendono conto che gli attacchi alle infrastrutture informative e i data breach sono in considerevole aumento; da oltre un anno, ulteriori rischi alla sicurezza provengono dalle campagna di cyber-war, messe in atto come strumenti bellici di una guerra parallela.
Inoltre, i vari report delle organizzazioni internazionali specializzate in security IT confermano quanto da noi sempre affermato: oltre l’80% degli incidenti alla sicurezza IT hanno alla loro base il fattore umano.
Inoltre, nelle organizzazioni spesso non si riesce a far comprendere la potenziale portata di un “incidente security”, ne i danni – anche di immagine – che ne scaturirebbero.
Da maggio 2018 sono ormai trascorsi 5 anni; alcune aziende hanno messo a frutto l’entrata in vigore del Regolamento Generale sulla Protezione dei dati Personali, beneficiando del maggior livello generale della sicurezza che le attività di adeguamento conferiscono a tutta la infrastruttura informativa aziendale.
Altre invece non hanno ancora raggiunto un adeguato livello di compliance alla normativa di protezione dei dati personali; talvolta anche presso realtà che trattano anche dati di altri titolari del trattamento (i responsabili esterni che svolgono trattamenti “in outsourcing”). esponendoli quindi ad un rischio di incidente a cascata (data-breach che coinvolge dati conferiti da terzi titolari).
Nel Regolamento, all’art. 32 sono richieste misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio; quindi valutazione e gestione del rischio e, a seguire, misure di sicurezza adeguate a garantire un livello di sicurezza adeguato.
Le misure tecniche ed organizzative – ovviamente – non sono solo quelle indicate all’art. 32; facciamo notare che nell’articolo dedicato alla sicurezza, al punto 4 viene evidenziato come la formazione di tutti coloro che abbiano accesso ai dati sia fondamentale.
Parlando di misure tecniche, non possiamo non ricordare che ogni misura dovrà essere sottoposta ad “una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento”.
Per invertire la tendenza ed incrementare la sicurezza dei sistemi informativi delle nostre organizzazioni, occorre uno sforzo coordinato di tutti gli attori in campo: le aziende, i loro dipendenti, ma anche i consulenti.
Abbiamo sperimentato che la sicurezza non si realizza solo applicando strumenti; lo diciamo a chiare note, pur riconoscendo il contributo essenziale di un firewall ben configurato o di un sistema di disaster recovery.
In primis occorre promuovere la consapevolezza in tutti gli ambiti aziendali; per questo, una delle prima attività che prospettiamo nei nostri interventi di adeguamento, è la formazione dei ruoli in organigramma privacy.
Solo dopo potremo iniziare a parlare di strumenti e misure tecniche; dapprima dobbiamo far comprendere le motivazioni per le quali saranno adottate, ed i rischi che vanno a rimuovere.
Altrimenti per ogni misura tecnica adottata e non interiorizzata, si troveranno sempre i soggetti che faranno di tutto per bypassarla.
Rivolgetevi con fiducia ad un team di professionisti che – da quasi trent’anni anni – opera al meglio per rendere più sicure le infrastrutture informative ed i trattamenti di dati – non solo personali – di ogni tipologia di organizzazione.