La sicurezza dei dati e la loro tutela (data protection e GDPR applicato a casi di data breach) sono fra i temi più rilevanti per la trasformazione digitale. Il motivo è semplice: per rispondere alla sfide crescenti e alle esigenze delle aziende occorre conoscere, comprendere e affrontare le nuove minacce alla sicurezza informatica. Soprattutto in un’era in cui le aziende generano i dati in real-time e li disseminano su oltre cinque piattaforme diverse. Anche l’esplosione dei device IoT (auto connesse, smart home, smart health, smart metering, ma anche Iiot), generatori di big data, ha ampliato i perimetri e dunque le aree di rischio.
Dunque è necessario supportare le stesse imprese nella scelta delle protezioni più adeguate e opportune, aumentando la consapevolezza anche dei dipendenti nei confronti dell’importanza del monitoraggio e del controllo delle attività. Le aziende devono conoscere le tecniche e le tecnologie più opportune e aggiornate da adottare, proprio per rafforzare la cybersecurity.
Cos’è la sicurezza dei dati
La sicurezza dei dati riguarda le misure di protezione che le aziende adottano per tutelare i dati da accessi non leciti (privi di approvazione) e per mantenere:
- la privacy e la protezione dei dati;
- l’integrità dei dati;
- la loro disponibilità.
Vediamo i tre punti, più in dettaglio. La riservatezza dei dati è un diritto e riguarda la loro protezione tramite strumenti per salvaguardare e tutelare la sfera privata di individui e sistemi di trattamento dei dati che identificano direttamente o meno individui.
Il GDPR disciplina il trattamento dei dati personali che si riferiscono a una persona fisica, escludendo le persone giuridiche, tranne alcune, poche eccezioni.
Inoltre, l’integrità dei dati vuol dire, per esempio, che la sua compromissione riduce il grado di accuratezza e coerenza dei dati, due aspetti decisivi, per esempio, in caso di un controllo qualità in uno stabilimento. L’assenza di integrità dei dati, infatti, potrebbe provocare problemi di varia natura e dimensioni: si spazia dall’inconveniente a cui porre rimedio tempestivamente all’incidente aziendale grave che può anche causare l’interruzione della produzione.
L’integrità dei dati significa, dunque, sapere in quanto tempo è possibile ottenere comunicazioni e/o dati, ma soprattutto accuratezza, coerenza e completezza dei dati stessi, in generale, oltre alla:
- salvaguardia dei dati (cybersecurity);
- sicurezza dei dati, anche in termini di conformità alle normative, come il regolamento GDPR.
Infine, per raggiungere la sicurezza dei dati, le aziende stanno abbandonando il concetto statico di difesa per abbracciare tecniche dinamiche, versatili, proattive. Anche attraverso la Cyber Threat Intelligence e il risk management.
Perché è importante la sicurezza dei dati informatici
La cybersecurity dei dati informatici aiuta a mitigare i rischi attraverso la cyber threat intelligence e a migliorare la cyber-difesa attraverso i sistemi di security e privacy by default.
Il cyber crimine compie attacchi sempre più complessi e sofisticati, mettendo a repentaglio la sicurezza dei dati, per ottenere guadagni finanziari o informazioni sensibili. In ogni caso, la sicurezza dei dati informatici è importante per difendere un’azienda sia sotto il profilo economico-finanziario che della brand reputation.
Non tutelare la sicurezza dei dati significa che in un’azienda sono a rischio la protezione, l’integrità e la disponibilità dei dati, dunque l’operatività complessiva. Per esempio, un ransomware devastante in un ospedale può mettere perfino a rischio la vita e l’incolumità fisica delle persone. Un attacco può interrompere una produzione o un’intera supply chain.
Inoltre, la violazione della privacy produce danni economici a chi la subisce (furti e frodi, interrompe la business continuity e arreca ingenti perdite). La violazione del regolamento GDPR, poi, significa incorrere in costose sanzioni che incidono sui profitti. Accanto alle sanzioni amministrative previste dal GDPR, sono state introdotte, a livello nazionale, anche alcune tipologie di illeciti penali.
Dunque, mantenere la sicurezza dei dati informatici significa:
- prevenire attività illecite (phishing, ransomware, malware, social engineering, attacchi distributed denial of service o Ddos, tentativi di forza bruta eccetera);
- imparare a riconoscere le falle non solo nei sistemi operativi (che i cyber criminali possono sfruttare per prendere ottenere informazioni sensibili o il controllo delle macchine) e segnali di attacchi informatici di varia natura;
- evitare danni economico-finanziari a chi subisce l’attività illecita;
- prevenire danni reputazionali ovvero d’immagine a chi non ha garantito la data protection.
Sicurezza dei dati e GDPR
Il GDPR (General Data Protection Regulation) è il regolamento europeo sulla protezione dei dati personali, introdotto nel maggio 2018. Si tratta, per la precisione, del Regolamento Ue 2016/679. Purtroppo, ancora oggi molte aziende e pubbliche amministrazioni sono impreparate.
Abbiamo visto che le aziende possono incontrare problemi di sicurezza informatica, ma anche di accesso, cancellazioni e uso improprio non intenzionale e deliberato dei dati, ma anche rischi legati all’incoerenza dei dati e alla disorganizzazione.
In questo contesto, il GDPR, con il suo approccio completo e continuo alla gestione della privacy, e la Big data management costringono le aziende a ridisegnare l’intera value chain dell’informazione.
Il GDPR, all’articolo 32, impone una nuova governance: il responsabile del trattamento dei dati si assume l’onere della valutazione continua dei rischi.
In sintesi il GDPR introduce per le aziende europee e quelle situate fuori dall’Unione europea che offrono servizi o prodotti all’interno del mercato Ue:
- la responsabilizzazione o accountability del titolare;
- alza le sanzioni amministrative pecuniarie che variano nel massimo a seconda delle disposizioni violate;
- il concetto di privacy by design ovvero un approccio basato sul rischio e adeguatezza delle misure di sicurezza, di valutazione d’impatto e data breach;
- un regolamento per una seria e stringente selezione e nomina di un responsabile del trattamento (ed eventuali sub-nomine);
- la nomina obbligatoria di un Responsabile della protezione dei dati (in casi tassativi);
- regole più trasparenti su informativa e consenso;
- l’interessato accede ad una più vasta categoria di diritti;
- parametri rigorosi per trasferire i dati al di fuori dell’Unione europea.
Cosa prevede il GDPR in caso di data breach
Il titolare del trattamento deve comunicare al Garante i casi di violazione dei dati personali che comportano effetto sui diritti e le libertà degli interessati. Inoltre, per rispondere efficacemente a un data breach per il GDPR, servono:
- un approccio integrato e multidisciplinare;
- una maggiore collaborazione a livello europeo.
Per offrire supporto alle organizzazioni nella gestione di eventuali violazioni di dati personali, il 14 gennaio 2021 l’EDPB (European Data Protection Board) ha adottato la prima versione delle Linee guida 01/2021 on Examples regarding Data Breach Notification. La versione finale risale al 14 dicembre 2021.
Le Linee guida offrono esempi pratici di data breach e integrano le Linee guida sulla notifica della violazione dei dati personali adottate a febbraio 2018 dall’ex WP29 (ora EDPB).
A livello nazionale il Garante Privacy ha infine messo a punto un servizio telematico destinato al data breach, offrendo anche uno strumento di autovalutazione per la notifica all’Autorità di una violazione dei dati personali.
Video: GDPR – Cybersecurity sotto i riflettori – Gabriele Faggioli
Tipi di sicurezza dei dati
La sicurezza dei dati è messa a rischio da:
- data breach e data leak;
- fattore umano (social engineering, carenza di competenze e consapevolezza);
- cyber attacchi;
- ecosistemi digitali e supply chain da vigilare.
Le maggiori cause che minacciano la sicurezza dei dati sono:
- più appetibilità;
- carenza di consapevolezza;
- incremento del perimetro di attacco;
- rapidità nella trasformazione digitale;
- focalizzazione sulla fornitura del servizio.
Le misure di sicurezza nel GDPR rientrano nelle seguenti tipologie:
- la pseudonimizzazione e la cifratura dei dati personali;
- la capacità di garantire su base continuativa e permanente la data protection, l’integrità e la disponibilità dei dati;
- assicurare la resilienza dei sistemi e dei servizi di trattamento.
Strumenti e tecnologie per la sicurezza dei dati
Ecco i tool e le strategie da adottare per la sicurezza dei dati:
- Cyber Threat Intelligence;
- risk management;
- data mesh;
- security by design;
- l’approccio zero-trust;
- la micro-segmentazione;
- security e privacy by default e by reaction e by detection.
L’approccio proattivo fa leva su sistemi automatizzati in grado di sfruttare capacità di calcolo dell’intelligenza artificiale (AI), contribuendo a un tracciamento continuo e all’acquisizione di dati per valutare il livello di indagine e monitoraggio su un’eventuale minaccia. Invece di identificare le azioni da intraprendere rapidamente per bloccare un cyber attacco o limitarsi a potenziare i controlli di cybersecurity, bisogna monitorare, prevedere e tracciare, mappando le attività sospette.
Business continuity e cyber resilienza rappresentano gli obiettivi da tenere sempre presente in azienda per delineare processi di cyber security, scegliendo strumenti e tecnologie da adottare.
Cyber Threat Intelligence
La Cyber Threat Intelligence ricopre un ruolo di primo piano, perché parte dal monitoraggio di Internet e del dark web per contrastare con efficacia l’attività dei cyber criminali, al fine di prevenire cyber attacchi sferrati da gang e criminali informatici.
Si tratta di una partita che si gioca sul terreno delle vulnerabilità (da scoprire e risolvere), anche mediante infiltrati nel dark web.
Il risk management
Le imprese abilitano strategie e strumenti di difesa più efficaci. Una di queste, per esempio, è il risk management che permette di sapere:
- la provenienza dei dati sulla sicurezza da più fonti;
- trasmettere i dati ogni giorno a una cyber threat intelligence;
- fornire ai clienti una visualizzazione dall’esterno e dall’interno per consentire ai decisori di prende decisioni consapevoli e data-driven;
- sanare le proprie carenze in termini di sicurezza con efficacia e flessibilità, oggi con sistemi di security e privacy by default.
Il data mesh
Per gestire meglio il rischio, trarre gli insights business in tempo reale (real-time data e analytics) e migliorare la disponibilità dei dati, le aziende stanno dando l’addio al processo pipeline per abbracciare il modello decentralizzato ovvero il data mesh.
Il data mesh, infatti, rende i dati disponibili a ognuno, ovunque e rapidamente: è capace di rendere i data accessibili alla fonte, invece di trasferirli e centralizzarli.
La security by design
La pandemia ha contribuito ad accelerare i processi di digital transformation e migrazione al cloud, ma anche fatto esplodere il numero di cyber attacchi e incidenti dovuti all’incremento di dispositivi connessi in rete che ha ampliato i perimetri e dunque le aree di rischio.
Gli attaccanti sfruttano la principale vulnerabilità, il fattore umano: l’essere umano, infatti, non si è ancora adattato alle minacce legate alla digitalizzazione. Social engineering e scarsa consapevolezza dei pericoli mettono a rischio le aziende.
Altro fattore umano è collegato alla motivazione degli attaccanti: quanto più usiamo i servizi digitali, più essi risultano esposti alle falle, perché diventano appetibili per i criminal hacker che li mettono nel mirino.
In questo scenario, la security by design offre un approccio in cui le aziende adottano la cybersecurity fin dalle prime fasi di un progetto, consentendo di affrontare le strategie giuste e adottare le soluzioni più opportune. In poche parole, la security by design declina lo sviluppo del servizio alle strategie di sicurezza identificate e non viceversa.
L’approccio zero-trust
Secondo l’approccio zero-trust, la migrazione verso cloud e multi-cloud ibrido deve andare di pari passo con l’adozione delle policy di sicurezza.
La micro-segmentazione
Lo spostamento di workload nel cloud comporta la migrazione delle policy di sicurezza spesso basate su elementi fisici come indirizzi IP, MAC Address eccetera.
In caso di cloud o multi cloud ibrido, spostare i flussi di lavoro è fondamentale come affrontare i problemi che ne derivano. La soluzione da adottare è quella della micro-segmentazione.
Infatti bisogna disaccoppiare le policy dagli elementi fisici, consentendo di implementare principi zero-trust e allo stesso modo facilitare la migrazione.
Security e privacy by default diventano by reaction e by detection
Oggi giorno, in cui i perimetri diventano sempre più complessi da gestire e la supply chain digitale diventa sia bersaglio che vettore di attacco per il cyber crimine, non è più solo una questione di security by design e by default.
Sicurezza by design e by default devono attualmente evolversi in security by reaction e by detection, mentre occorre orientarsi verso servizi e provider digitali autoctoni, per tendere verso l’obiettivo della sovranità digitale europea e aziendale.
La sicurezza dei dati è dunque necessaria e va affrontata con rigore e in un quadro a 360 gradi.
