Tratto dallo speciale:

Privacy e Cyber security per le aziende

di Alessandra Gualtieri

26 Luglio 2019 11:00

La sicurezza IT dopo il GDPR: analisi del rischio informatico e misure preventive.

Il GDPR 679/2016 entrato in vigore il 25 maggio 2018 ha imposto alle aziende un cambiamento nell’approccio alla gestione dei dati, alla sicurezza del software ed alla formazione del personale.

La sicurezza, intesa nella sua interezza dal punto di vista informatico, equivale ad attuare tutte le misure tecniche e procedurali necessarie alla protezione delle componenti dei sistemi informatici e dei dati per garantirne la riservatezza, evitare gli usi illeciti, dalla divulgazione, modifica e distruzione.

La sicurezza IT dopo il GDPR

Nell’ambito della sicurezza informatica ricade l’insieme dei mezzi e delle tecnologie utilizzati per la protezione dei sistemi informatici in termini di disponibilità, confidenzialità, integrità dei beni ed autenticità delle informazioni.

Gli strumenti soggetti a una sempre crescente varietà di programmi software dannosi e altre minacce alla sicurezza sono PC, computer Mac, laptop, smartphone e tablet. Come primo passo verso la protezione dei dispositivi e della protezione online, si deve essere sempre aggiornati sulle principali categorie di malware e altre minacce possibili.

I pericoli legati alla sicurezza informatica sono legati principalmente a tre motivi:

  • il primo è la quantità e la qualità delle risorse che gli attaccanti hanno a disposizione;
  • il secondo è rappresentato dal fatto che il primo obiettivo perseguito è il mascheramento dell’attività, in modo tale che questa possa procedere senza destare sospetti;
  • il terzo motivo è legato alla scarsa attenzione ed alla scarsa preparazione dal punto di vista della sicurezza informatica del personale che accede alle informazioni.

La combinazione di questi fattori fa sì che alle misure minime di sicurezza previste dal codice in materia di protezione dei dati personali, si debba fare particolare attenzione alle attività degli utenti che con comportamenti impropri possono involontariamente agevolare gli attacchi.

Tutte le misure preventive devono essere affiancate da efficaci strumenti di rilevazione in grado di abbreviare i tempi che intercorrono dal momento in cui l’attacco è avvenuto e quello in cui le conseguenze vengono scoperte.

Per valutare l’efficacia di un sistema di sicurezza informatica, è necessario individuare le minacce, le vulnerabilità e i rischi associati agli asset informatici, affinché sia possibile evitare possibili attacchi (interni o esterni), capaci di provocare danni diretti o indiretti ad una determinata organizzazione.

Analisi del rischio informatico

In tale quadro di protezione diventa fondamentale l’analisi delle vulnerabilità del sistema informatico.

Per mantenere la sicurezza e prevenire trattamenti in violazione al GDPR, il titolare del trattamento o il responsabile del trattamento deve valutare anche il rischio informatico che può essere definito come il rischio di danni economici (rischi diretti) e di reputazione (rischi indiretti) derivanti dall’uso della tecnologia, intendendo sia i rischi impliciti nella tecnologia (i cosiddetti rischi di natura endogena) che i rischi derivanti dall’automazione, attraverso l’uso della tecnologia, di processi operativi aziendali.

In particolare bisogna prestare attenzione a:

  • danneggiamento di hardware e software;
  • errori nell’esecuzione delle operazioni nei sistemi;
  • malfunzionamento dei sistemi;
  • programmi indesiderati.

Misure preventive

Debbono essere predisposte specifiche misure per limitare tali rischi, a livello hardware, software e rete. Le misure devono assicurare un adeguato livello di sicurezza, inclusa la riservatezza, tenuto conto dello stato dell’arte e dei costi di attuazione rispetto ai rischi che presentano i trattamenti e alla natura dei dati personali da proteggere. Nella valutazione del rischio per la sicurezza dei dati è opportuno tenere in considerazione i rischi presentati dal trattamento dei dati personali, come la distruzione accidentale o illegale, la perdita, la modifica, la rivelazione o l’accesso non autorizzati a dati personali trasmessi, conservati o comunque elaborati, che potrebbero cagionare in particolare un danno fisico, materiale o immateriale.

Nel GDPR un chiaro riferimento alle misure di sicurezza già si trova nell’ art. quando si chiarisce che il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento dei dati personali è effettuato conformemente al Regolamento (principio di accountability).

Mentre, più nello specifico, l’art. 32 del regolamento ne parla a proposito della sicurezza del trattamento.

Tenuto conto, quindi, dello stato dell’arte e dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento devono mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono tra l’altro, se del caso:

  • la pseudonimizzazione e la cifratura dei dati personali;
  • la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali;
  • a capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico;
  • una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

In particolare, quindi, si pone l’accento sulla pseudonimizzazione intesa come un particolare trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile.

Inoltre per la prima volta si parla di resilienza dei sistemi informatici intesa come la capacità di un sistema di adattarsi alle condizioni d’uso e di resistere all’usura in modo da garantire la disponibilità dei servizi erogati.

Assumono particolare importanza le procedure legate al disaster recovery, per cui diventa fondamentale predisporre uno specifico piano con il quale si intende fornire servizi volti all’analisi dei rischi legati ad eventuali problemi del sistema informatico nella sua totalità e delle misure da adottare per ridurli, nonché la messa a punto del vero e proprio piano di emergenza informatica che ricomprende anche procedure legate alla business continuity.

——-

di Cristiano Montesi, CEO di IDEA Services (servizi per imprese ed enti pubblici su Privacy, ICT, Qualità, Finanza agevolata, Editoria, Marketing e comunicazione, Internazionalizzazione).