L'APPROFONDIMENTO

Realizzare un sistema di gestione protezione dati: le regole per scongiurare un data breach

Realizzare un sistema di gestione protezione dati conforme ai dettami del GDPR consente di mappare tutti i processi, gli strumenti e le persone dell’organizzazione in modo da gestire il rischio incombente sui dati personali trattati, formare le risorse umane e intervenire per il continuo miglioramento dell’intero sistema. Ecco le regole da seguire

09 Dic 2019
F
Ernesto Falcone

Consulente Privacy e Privacy Officer


Dalla data in cui è entrato pienamente in vigore il nuovo Regolamento Europeo sulla Protezione dei Dati Personali (GDPR), nel maggio 2018, ogni giorno sentiamo parlare o leggiamo di data breach più o meno gravi: è importante, pertanto, realizzare un sistema di gestione protezione dati che ci consenta di gestire al meglio il rischio incombente sui dati personali trattati.

Vediamo quindi un po’ più da vicino di cosa si tratta e come possiamo contrastare il fenomeno data breach che, chiariamolo subito, può essere contenuto ma non evitato.

Data breach: tutte le possibili cause

Durante la mia venticinquennale esperienza di Privacy Officer, ho assistito aziende che avevano subito attacchi hacker (ad esempio mediante ransomware), capaci di bloccare l’intero sistema informatico per qualche giorno e costringere l’organizzazione alla completa inattività; ma sono stato informato, sempre da aziende clienti, del verificarsi di episodi che poco avevano a che fare con la tecnologia in senso stretto ma che egualmente avevano messo in crisi la sicurezza.

Come rilevato dall’ultima Ricerca svolta dall’Osservatorio Information Security & Privacy del Politecnico di Milano su 166 grandi aziende e 501 PMI, le compromissioni di dati personali sono compiute, nella stragrande parte dei casi (82%), dal personale interno alle organizzazioni attraverso comportamenti errati (dolosi e colposi), tra i più disparati.

Tutto ciò è stato testimoniato anche dagli intervenuti al convegno che ho avuto il piacere di organizzare in Confindustria Caserta, lo scorso 30 settembre.

Tra gli accadimenti rilevati e riscontrati troviamo:

  • perdere una chiavetta USB contenente l’elenco degli iscritti alla palestra di cui si è soci;
  • raccogliere una chiavetta USB trovata per caso (o forse no) ed inserirla nel nostro PC aziendale per verificarne il contenuto;
  • subire il furto del notebook o smartphone ricevuto dall’azienda in cui sono presenti le rubriche di clienti e fornitori;
  • dimenticare in treno il plico con i cedolini paga dei nostri dipendenti;
  • lasciare l’elenco degli indirizzi e-mail a cui destiniamo la nostra newsletter al provider, di cui non conosciamo nulla se non il sito web ed il codice IBAN, anche dopo aver concluso il rapporto commerciale;
  • aprire un messaggio digitale (anche di tipo PEC, SMS) ricevuto da sconosciuti, perché incuriositi da una frase ad effetto come: “Hai vinto”, “Rimborso”, “Mancato pagamento”, e trovarsi immediatamente dopo una richiesta di riscatto per ritornare in possesso dei propri file;
  • utilizzare in auto, in ufficio a casa, Assistenti virtuali a comando vocale, pronti ad esaudire tutte le nostre richieste attraverso il solo pronunciare di una semplice e specifica locuzione (ad esempio: “Alexa”, “Siri”, “Hey Google”, “Hey Mercedes” ecc.) e per questo posti sempre in modalità “ascolto silente”;
  • postare su un social (ad esempio: Facebook, Instagram) la foto di persone partecipanti all’evento organizzato dalla nostra azienda senza aver raccolto le opportune autorizzazioni;
  • lasciare senza protezione sul sito aziendale, le foto dei nostri collaboratori, eventualmente anche dopo che hanno lasciato l’organizzazione;
  • rivelare la nostra password di accesso a chi, al telefono, si finge essere una persona che conosciamo.

Tutti questi accadimenti possono essere generatori di data breach e, nella consapevolezza che la sicurezza al 100% non esiste, dimostrano una verità ineluttabile (valida da tempo immemorabile anche nel mondo fisico): il fattore umano rappresenta l’anello debole di qualsiasi sistema di protezione, diventando quindi obiettivo e veicolo (a volte inconsapevole) di eventi che intaccano la sicurezza.

Realizzare un sistema di gestione protezione dati

In considerazione del fatto che viviamo in un modo completamente intriso di attività svolte con o attraverso dispositivi digitali, non ci dobbiamo meravigliare di questo ma del fatto che qualsiasi nostra azione lascia una traccia e che qualcuno, spesso a nostra colpevole insaputa, trattiene ed elabora.

WEBINAR - 3 NOVEMBRE
CISO as a Service: perché la tua azienda ha bisogno di un esperto di Cyber Security?
Sicurezza
Cybersecurity

Il Professor Francesco Pizzetti, già presidente dell’Autorità per la protezione dei dati personali, durante uno degli ultimi e preziosi interventi a cui ho avuto il piacere di partecipare, descrivendo il GDPR in una geniale sintesi, evidenziava quanto fosse importante, per qualsiasi organizzazione pubblica o privata, sforzarsi di creare un “ambiente di fiducia” in cui le persone, cui propone i propri prodotti o servizi, potessero affidare i propri dati personali.

Sottolineava, inoltre, che proprio per arginare comportamenti irrispettosi di tale obiettivo il GDPR prevede l’obbligo di notifica entro e non oltre 72 ore dal momento in cui se ne venga a conoscenza, da parte di tutte le organizzazioni (titolari del trattamento) alla propria Autorità Garante di riferimento, di qualsiasi violazione di dati personali.

Spaventati? Voglio tranquillizzarvi dicendovi che nulla è perduto perché io e i miei colleghi disponiamo della competenza, dell’esperienza e degli strumenti per costruire, insieme a Voi, l’unico presidio in grado di gestire un “ambiente di fiducia” conforme ai dettami del GDPR, ovvero un sistema di gestione della protezione dati.

Un sistema di gestione protezione dati con il quale:

  • mappare tutti i processi, gli strumenti e le persone dell’organizzazione;
  • gestire il rischio incombente sui dati personali trattati con misure di sicurezza, organizzative e tecnologiche, in grado di diminuirne impatto e gravità;
  • formare le risorse umane coinvolte, in modo da portare a termine le proprie attività in maniera consapevole;
  • scegliere ed istruire opportunamente i fornitori di servizi in modo che trattino i dati personali affidati come se fossero i titolari;
  • verificare periodicamente la conformità dei dipendenti e dei fornitori a quanto predisposto per l’adeguata gestione dei trattamenti;
  • imparare dalle proprie esperienze ed intervenire per il continuo miglioramento dell’intero sistema.

Conclusioni

Per finire, una riflessione “storica”.

Un mio “giovane” collega che vanta 47 anni di esperienza nel campo dell’informatica, come tutti nonni ama ricordare i suoi esordi: mainframe con 32K di memoria, connessioni punto a punto alla “folle” velocità di 120 caratteri al secondo, schede perforate, nastri e chi più ne ha più ne metta nel mondo della Paleoinformatica.

Oggi usiamo tutti, anche i nostri figli piccoli, smartphone con giga e giga di memoria e di dati, internet, cloud, centinaia di app, i social media.

Non è il caso di prestare la dovuta attenzione e attuare tutte le precauzioni necessarie (e prescritte dalla legge europea)?

@RIPRODUZIONE RISERVATA

Articolo 1 di 3