In data 6 novembre 2019 Sicuritalia ha partecipato al Convegno Privacy organizzato da CONFINDUSTRIA COMO, per affrontare le novità legislative e la prevenzione dei rischi sul tema GDPR e Codice Privacy.
La dott.ssa Sandra Marsico ha affrontato il tema approfondendo quali sono le opportune misure di cyber security a tutela della protezione dei dati.
Di seguito un estratto dell’intervento:
Siamo partiti da un concetto fondamentale: la vera ricchezza di oggi risiede nei dati: i nostri dati, quelli relativi al nostro business, alle tecnologie che utilizziamo, a come le utilizziamo, al modo intelligente con cui affrontiamo una gara, ai dati dei nostri dipendenti. Dati che un domani potrebbero esserci sottratti.
Per proteggerli, approntare una strategia di cybersecurity in azienda, al giorno d’oggi, è essenziale.
La normativa inoltre, con l’entrata in vigore del GDPR, con il recepimento della Direttiva NIS e con l’adozione del Cybersecurity Act, ci impone di adottare standard adeguati di sicurezza e di rispetto della privacy.
Dopo aver condiviso una panoramica, relativamente agli attacchi informatici e ai data breach, di quella che è l’estensione e la gravità del fenomeno a livello globale e con un particolare focus per l’Italia, abbiamo dato una risposta alle domande più frequenti:
“Chi ci attacca e perché? Qual è la superficie di attacco? Quali sono i danni a cui andiamo incontro?”
Abbiamo analizzato quello che è l’attuale approccio, purtroppo errato e pericoloso, alla cybersecurity nelle aziende oggi (soprattutto PMI):
– Affrontare le problematiche di sicurezza informatica soprattutto come reazione ad un incidente: in occasione di eventi di alto livello, come ad esempio: infezioni ransomware estese o ingenti perdite economiche scaturite da truffe veicolate con attacchi BEC (Business Email Compromise).
– Affidare la gestione delle tematiche cyber ai responsabili IT i quali, con competenze, obiettivi, sensibilità e formazione completamente differente, faticano a perseguire e seguire la tematica in modo corretto.
– Considerare in generale la cybersecurity come un argomento da tecnici e per tecnici, lontano dal business, dalla strategia aziendale e dal management in generale.
Ci siamo quindi posti un obiettivo: spingere le organizzazioni a valutare un approccio integrato fra data protection by design e security by design che permetta di andare ad ottimizzare le, spesso poche, risorse economiche a disposizione, ottenendo il raggiungimento non solo della compliance al contesto normativo in tema di protezione dei dati personali, ma una miglior postura di sicurezza informatica per l’intero contesto aziendale.
Insieme abbiamo quindi condiviso la base per poter attuare una strategia di cybersecurity in azienda: un cambio di cultura, che porti a valutare la sicurezza informatica come asset strategico dell’azienda, identificando una specifica figura di security (interna o esterna) che tendenzialmente non abbia un ruolo strettamente operativo e che collabori con le altre figure presenti in azienda (ad es. legal, finance, DPO o risorse di compliance) per affrontare il tema della sicurezza e della privacy in modo congiunto.
Infine abbiamo affrontato i percorsi principali che devono essere intrapresi per raggiungere i nostri risultati:
– Valutare l’environment: È la versione «cybersecurity» del «tenere conto dello stato dell’arte» citato dall’articolo 25 del GDPR. La cybersecurity è infatti un settore in cui non esistono soluzioni onnicomprensive, prodotti hardware o software in grado di azzerare il rischio cyber; il nostro Cybersecurity Manager (interno o esterno), in collaborazione con le altre figure elencate prima (tra cui il DPO se presente in azienda), dovrà effettuare una valutazione dei rischi (cyber) calata sul proprio contesto aziendale.
– In base alla valutazione effettuata, creare un piano di difesa, risposta e prevenzione, mettendo in capo i giusti mezzi per proteggere il proprio ambiente. È in questa fase che verrà valutato come assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi. Naturalmente non solo di quelli che effettuano il trattamento di dati personali, ma relativi a tutti i dati critici per il business;
– Strutturare un piano di backup e recovery per garantire la capacità di ripristinare tempestivamente la disponibilità e l’accesso ai dati in caso di incidente fisico o tecnico, traslando quanto richiesto dalla normativa al nostro approccio integrato.
– Adottare un programma di penetration test: richiedere a partner esterni di effettuare PT della nostra realtà è fondamentale per capire se quanto stiamo mettendo in campo è efficace. E non solo relativamente ai sistemi: non bisogna dimenticare il personale! È importante verificare anche la loro preparazione, perché potrebbero essere sfruttati per veicolare attacchi informatici a loro insaputa. Campagne di social engineering, campagne di phishing per valutare la reazione e il grado di abboccamento, sono fondamentali.
– Formare il personale: è fondamentale promuovere una cultura positiva della sicurezza informatica, in cui tutti sono incoraggiati e supportati ad apprendere e segnalare comportamenti sospetti. Tutti i dipendenti devono essere consapevoli delle minacce informatiche ed essere adeguatamente formati, per avere familiarità con le migliori pratiche di sicurezza informatica. In sostanza, l’educazione alla sicurezza informatica può considerarsi la chiave: teniamo presente che un’altissima percentuale di incidenti è dovuta ad un cattivo utilizzo delle risorse da parte del personale, unito alla mancanza di procedure di sicurezza. I dipendenti non qualificati possono rappresentare la più grande minaccia per un’organizzazione, mentre le persone istruite possono in definitiva risultare la loro migliore difesa contro gli intrusi.
– Valutare regolarmente l’efficacia delle misure di sicurezza: così come la norma richiede di verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento, così più in generale le aziende devono disporre di programmi di sicurezza e sviluppare un processo per rivedere a intervalli regolari questi programmi. E non solo al loro interno ma anche nella realtà delle terze parti: le organizzazioni devono garantire che anche i fornitori di terze parti dispongano di programmi di sicurezza accettabili e rivisti a intervalli regolari. Molti attacchi recenti sono andati a buon fine perché terze parti avevano standard di sicurezza scadenti.
Per maggiori informazioni sui temi di cyber security potete contattare i nostri Consulenti Dedicati qui.