La protezione rispetto al crescente numero di minacce di cybersecurity rappresenta una sfida non più rimandabile per qualsiasi ambito organizzativo, pubblico o privato. Solo un approccio multidisciplinare e proattivo è in grado di arginare i rischi e consentire di mettere in campo le contromisure necessarie a tutelare informazioni, infrastrutture e individui.
La protezione delle informazioni, così come anche delle infrastrutture informatiche e architetture di rete con cui vengono gestite, diventa una sfida essenziale al fine non solo di garantire il rispetto di specifici adempimenti, come gli obblighi normativi della Direttiva NIS 2 oppure il regolamento europeo sulla privacy Gdpr, ma anche per proteggere sostanzialmente i diritti e le libertà degli individui. Accorgimenti organizzativi e l’adozione di software di cybersecurity efficaci sono utili soluzioni.
Indice degli argomenti
Integrità e riservatezza dei dati personali in ambito GDPR
Con riferimento ai “dati personali”, ossia a “qualsiasi informazione riguardante una persona fisica identificata o identificabile” (cfr. art. 4, par. 1, punto 1, GDPR), il Regolamento europeo in materia di protezione dei dati ((Regolamento (UE) 2016/679, anche noto come GDPR) prevede in capo al titolare del trattamento specifici obblighi in ordine alla protezione dei dati degli interessati. In base alla lettera f) dell’art. 5, par. 1, il legislatore europeo stabilisce che i dati personali vengano “trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”.
Il titolare, pertanto, viene fortemente responsabilizzato – nell’ambito del principio di accountability (art. 24 GDPR) – nel compiere le scelte che ritiene più opportune in base al contesto, al fine di attuare misure “adeguate”. Un criterio, quello dell’adeguatezza, che risulta flessibile e che potrà essere individuato, come indicato dall’articolo 32, “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche”.
Cosa sono le adeguate misure di sicurezza del Gdpr
La previsione di adeguate misure di sicurezza, peraltro, è un elemento che (assieme alle scelte in merito alle politiche sul trattamento da adottare) dovrà essere valutato fin dalla progettazione delle attività di trattamento e non quando queste ultime avranno già preso avvio. Ciò, nel sostanziale rispetto del principio di privacy by design di cui all’art. 25 GDPR.
Sotto il profilo della tipologia delle misure, la normativa parla di “misure tecniche e organizzative”, dove le prime possono poi dividersi in fisiche e informatiche. Così, ad esempio, nel caso di informazioni conservate all’interno di un pc, certamente rileveranno le misure di sicurezza informatiche (es. password, antivirus, firewall, etc.), ma anche quelle tecniche fisiche (es. ufficio chiuso a chiave, sistema di allarme o antincendio, etc.), in quanto volte alla protezione del computer inteso come hardware, nel quale i dati sono salvati. Parimenti, anche le misure organizzative giocheranno un ruolo di fondamentale importanza, con l’accesso alle informazioni che dovrà essere consentito solo a personale formalmente autorizzato, nonché formato e sensibilizzato sui rischi.
Prevenzione dei rischi informatici
Le minacce informatiche hanno a loro disposizione un ambiente fertile nel quale proliferare, in considerazione non solo dei dispositivi sempre più connessi (pensiamo, ad esempio, all’espansione dell’IoT – Internet of Things), ma anche delle tecniche di ingegneria sociale sui quali si basano.
La digitalizzazione, dunque, non porta con sé soltanto benefici, ma anche rischi. Pensiamo agli attacchi ransomware, attraverso i quali viene bloccato l’accesso ai dati fino al pagamento di un riscatto, con ingenti perdite finanziarie e danni reputazionali.
Sfruttando l’ingegneria sociale è poi possibile ingannare i dipendenti di un’organizzazione, al fine di ottenere le credenziali per accedere in maniera non autorizzata ai sistemi o numero di carte di credito, attraverso l’invio di e-mail fasulle (c.d. phishing).
Rispetto a queste e altre minacce qualsiasi organizzazione deve investire al fine non solo di implementare misure volte a prevenire gli attacchi, ma anche per individuare dei meccanismi di risposta che consentano di mitigare gli effetti pregiudizievoli dell’incidente di sicurezza eventualmente occorso. La cosiddetta “cyber resilience” presuppone l’adozione di specifiche strategie in tal senso, quali il monitoraggio continuo, la gestione degli incidenti e la pianificazione della continuità operativa.
Come gestire i rischi informatici
Quanto premesso serve a comprendere come il tema della sicurezza informatica deve necessariamente assumere un ruolo prioritario all’interno di qualsiasi organizzazione e, per di più, essere caratterizzato da una forte dinamicità. La risposta deve essere adattata ad attacchi sempre più evoluti e complessi, anche sfruttando le innovazioni tecnologiche: attraverso l’intelligenza artificiale, ad esempio, è possibile rilevare e prevenire gli attacchi attraverso l’analisi di un grande quantitativo di informazioni in tempo reale, identificando comportamenti anomali e potenziali minacce in maniera rapida e precisa.
Per prevenire gli attacchi basati su ingegneria sociale, tuttavia, resta fondamentale la previsione di una costante e capillare attività formativa rivolta al personale, dato che la componente umana costituisce la base dell’attacco medesimo. Introdurre consapevolezza sui rischi e best practies può ridurre significativamente la probabilità di subire un attacco informatico, oltre che rappresentare uno specifico obbligo normativo (cfr. art. 32, par. 4, GDPR).
