Sicurezza dei dati tra normativa e compliance aziendali

6 Febbraio 2019

Il regolamento europeo sulla privacy (GDPR) introduce non solo obblighi di legge, ma anche la responsabilità dei soggetti, per definire e migliorare il trattamento dei dati personali.

Il 25 maggio 2018 è entrato in vigore il GDPR (General Data Protection Regulation), il regolamento europeo che introduce nuove regole ed istruzioni in merito al trattamento dei dati personali per tutte le aziende. Il GDPR coinvolge, a vari livelli, tutti i ruoli all’interno dell’azienda e un’ampia gamma di tecnologie e metodologie che vengono adottate all’interno dell’azienda per gestire i dati, le identità e i processi aziendali.

La trasformazione digitale che inesorabilmente coinvolge tutte le persone e con esse le aziende stesse, ha portato ad un aumento esponenziale delle possibilità di perdere o gestire in modo poco consono le informazioni personali. Per tutelare gli utenti, è stato necessario introdurre una serie di vincoli per le aziende, costrette a mettere in atto azioni concrete, non solo in campo tecnologico, per aumentare la consapevolezza organizzativa rispetto alla necessità di un approccio di lungo periodo alla gestione della sicurezza delle informazioni e dei dati.

L’approccio corretto alla protezione dei dati deve coinvolgere tutti i ruoli aziendali, ognuno per l’ambito di competenza e deve essere concordato con il Top Management; lo scopo è quello di strutturare un’organizzazione con ruoli di governance che siano in grado di sviluppare una strategia precisa per la gestione dell’information security & privacy, sempre secondo le esigenze di business aziendale.

È quindi necessario identificare i ruoli chiave all’interno dell’azienda (Business Owner, Security Team e Users) e i relativi processi chiave, così da articolare una precisa roadmap. La strada da percorrere per raggiungere una buona organizzazione parte dall’identificazione degli obiettivi di business; successivamente sarà necessario definire le regole da rispettare, per ogni settore aziendale, durante l’intero ciclo di vita dell’informazione. Dopo di che si dovrà comunicare all’interno dell’organizzazione aziendale, in modo chiaro e preciso, come distinguere le informazioni e come trattarle secondo il rispetto delle regole. L’azienda dovrà poi adottare le misure necessarie per monitorare i rischi, mantenendoli all’interno di limiti accettabili, nonché fornire agli utenti le linee guida a cui fare riferimento. Per ultimo sarà necessario mantenere il sistema a regime, monitorandolo continuamente con l’obiettivo di revisionarlo e migliorarlo dove possibile.

La Direzione aziendale e la sicurezza dei dati

L’organizzazione aziendale in merito alla sicurezza dei dati e nel rispetto del GDPR non può avvenire senza il coinvolgimento della Direzione, questo perché ci deve essere un allineamento del piano alle strategie, ma anche perché l’organizzazione comporterà un’allocazione di risorse per la realizzazione degli interventi e conseguenti scelte strategiche.

All’interno dell’azienda sarà necessario definire, in modo univoco, le responsabilità e le competenze utili a svolgere uno specifico compito di responsabile della sicurezza. Per questo motivo la Direzione aziendale dovrà identificare uno Chief Information Security Officer (CISO).

Il ruolo del CISO non è più legato alla mera conoscenza informatica; è ormai chiara la necessità che il CISO debba aumentare la conoscenza del dominio di business e debba avere le capacità di governare un team complesso. Questo significa che diventa sempre più necessario per il CISO conoscere il business, interfacciarsi con i responsabili di prodotto e comunicare al top management i rischi derivanti da nuove minacce informatiche.  È evidente che c’è stata un’evoluzione della cybersecurity, che non è più strettamente legata all’informatica, ma ormai si è evoluta a tutti i settori aziendali.

 

Analisi e protezione dei dati

Per un’azienda è fondamentale conoscere le caratteristiche delle informazioni e il ciclo di vita delle stesse*. In alcuni casi le aziende, vittime di attacchi informatici, non hanno applicato neppure le misure di sicurezza di base, poiché non hanno individuato le risorse e i dati critici; di conseguenza, questa mancanza, ha fatto si che l’azienda non abbia messo in atto controlli stringenti in merito alla gestione del rischio di perdita di dati. Risulta quindi importante partire dalle basi e conoscere le tipologie di dati in cui sono presenti le informazioni sensibili; è necessario quindi sapere se queste sono presenti in file, documenti, mail e progetti, ma anche conoscere la tipologia di formato dei dati sensibili, come ad esempio formato cartaceo, elettronico o verbale.  Risulta anche importante conoscere il ciclo di vita delle informazioni e valutare, per ogni dato sensibile presente in azienda, il suo ciclo di vita, quindi la creazione dell’informazione, la sua evoluzione, la comunicazione o trasferimento, la conservazione e per finire la sua distruzione.

Conoscere le caratteristiche dell’informazione e il suo ciclo di vita significa conoscere i dati; la conoscenza dei dati è l’elemento fondamentale e necessario per proteggerli. La consapevolezza è la prima e la migliore linea di difesa contro la perdita di dati sensibili e contro i cyber attacchi. Non solo i reparti IT e Sicurezza devono conoscere e difendersi dagli attacchi informatici, ma risulta fondamentale che ci sia una continua condivisione di informazioni sulle modalità di possibili attacchi e su come evitarli. Per difendersi dagli hacker nei diversi settori dell’azienda e permettere così di aumentare la cybersecurity è necessario che vengano diffuse le informazioni a tutti i settori aziendali.

 

GDPR: un’opportunità per affrontare i cambiamenti

L’introduzione del GDPR deve essere interpretata come un’occasione per le aziende di gestire al meglio le proprie informazioni e i propri dati; un’opportunità unica per adottare una gestione consapevole dell’information security. Grazie all’attuazione del regolamento europeo, le aziende potranno comprendere meglio il rischio dei cyber attacchi, così da proteggere i propri dati, sviluppando misure di sicurezza adeguate. Saranno quindi in grado di individuare l’accadimento di un evento di cyber security, reagire ad esso, pianificando e mettendo in atto azioni specifiche ad un evento identificato; inoltre potranno gestire piani che possano garantire la resistenza dei propri sistemi ad eventuali attacchi, riattivando così prontamente i servizi.

 

Fonte: (*)  www-01.ibm.com

Share This