SICUREZZA AZIENDALE

Sensibilizzare alla cyber security: l’approccio richiesto dal GDPR

Quale che sia la struttura dell’organizzazione, la sua intelaiatura tecnologica e la complessità dei sistemi informativi, è necessaria una partecipazione di tutto il personale alla sicurezza delle informazioni. Ecco le azioni di informazione, formazione e addestramento per sensibilizzare alla cyber security

07 Ott 2021
G
Stefano Gazzella

Consulente Privacy & ICT Law, Data Protection Officer

Le organizzazioni, nel programmare gli interventi mirati a sensibilizzare gli operatori ai temi di cyber security, corrono il rischio di attuare delle misure che spesso possono rivelarsi ben poco efficaci per conseguire gli obiettivi di miglioramento del livello generale di sicurezza delle informazioni.

Ma il GDPR fornisce i criteri generali che è possibile impiegare per progettare, attuare e verificare tali misure.

Azioni di informazione, formazione e addestramento

Le misure di sensibilizzazione e formazione sono un obbligo specificamente contemplato all’interno dell’art. 39.1 lett. b) GDPR che è in capo al titolare e al responsabile del trattamento.

WHITEPAPER
DATI: fonte imprescindibile per le aziende! PROTEGGILI e mantienili CONFORMI alle regole
Big Data
Sicurezza

In forza di tale prescrizione normativa viene espressamente previsto infatti che il responsabile della protezione dei dati vada a svolgere un’attività di sorveglianza anche nei confronti dell’osservanza delle politiche “in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”.

Avvalendosi di una lettura della disposizione in coordinamento con il generale approccio operativo derivante dalla responsabilizzazione del titolare del trattamento[1], affinché tali misure siano adeguate sarà necessario che vengano correttamente progettate e, successivamente, verificate.

Occorre innanzitutto che siano riferite in concreto alle attività svolte sui dati personali e ai rischi intrinseci del trattamento, nonché coordinate con il contesto organizzativo e tecnologico presso cui vanno ad operare.

Ciò premesso, ogni organizzazione deve innanzitutto svolgere un’analisi per rilevare i fabbisogni degli operatori, distinguendoli – se del caso – secondo categorie di destinatari al fine di differenziare i contenuti. Inoltre, le misure possono attuarsi con interventi di informazione, formazione e addestramento. Nel primo caso si segue il parametro della comunicazione efficace e della sua diffusione, mentre nel secondo e terzo caso devono trovare specifico approfondimento nozioni e spunti operativi.

Una volta implementate, tutte le misure dovranno essere soggette a monitoraggio periodico per essere riesaminate, verificate ed aggiornate se del caso al fine di valutarne l’efficace attuazione. Il rischio, altrimenti, è una loro sostanziale inefficacia e dunque la non risoluzione delle vulnerabilità che riguardano quel fattore umano già ampiamente oggetto di attenzione da parte dei cyber criminali e protagonista di un’ampia gamma di incidenti informatici.

Un approccio corretto per ciascuna organizzazione è dunque attuabile solo se viene preso come criterio di riferimento quello che viene definito comunemente “lo stato dell’arte” e le esperienze direttamente o indirettamente apprese a riguardo, evitando alcuni errori comuni e assecondando le buone pratiche che si sono consolidate nel tempo.

Sensibilizzare alla cyber security: errori comuni e buone pratiche

Gli errori più comuni commessi nell’ambito della predisposizione ed attuazione delle misure di sensibilizzazione dell’end-user riguardano:

  • l’individuazione della platea dei destinatari;
  • la definizione dei contenuti;
  • la modalità di somministrazione degli interventi.

In molti casi, infatti, un processo decisionale a monte che contempli analisi e valutazione di tali fattori è del tutto assente in favore dell’affidamento a soluzioni di tipo one size fits all. Il motivo comune è principalmente il contenimento dei costi. Il problema però è che il risultato che sarà possibile ottenere mancherà sempre di un approccio concreto e pratico che fa riferimento al contesto operativo, generando un’azione di miglioramento con un’efficacia incompleta e non agilmente rendicontabile.

Avendo riguardo dell’individuazione dei destinatari, questi possono essere differenziati secondo mansioni e ruoli così da distinguerli per competenze e privilegi d’accesso a dati e sistemi, potendo così conseguire una responsabilizzazione omogenea e quanto più possibile adeguata al livello (inteso come una summa del potere d’intervento e delle competenze tecniche) degli operatori.

Dovendo badare invece alla definizione dei contenuti, l’errore da evitare è un approccio eccessivamente teorico e scollegato dal contesto organizzativo. Un eccesso di contenuti tecnici o legali, senza un riferimento concreto ai sistemi informativi adottati dall’organizzazione né alle sue politiche o procedure, può rilevarsi o inefficace o – nella peggiore delle ipotesi – generare confusione fra gli operatori.

E la reazione del personale, in questo caso, può portare a due eccessi di segno opposto entrambi derivanti da un’inesatta percezione dei rischi e delle responsabilità: timori e ansie ingiustificate, o altrimenti disinteresse e sconsideratezza. Entrambi i casi impattano pesantemente sull’organizzazione, nel primo caso aumentando insostenibilmente i costi operativi e alimentando il rischio di burnout, nel secondo caso incentivando condotte incuranti della sicurezza delle informazioni.

Sotto l’aspetto della modalità di somministrazione degli interventi, dal momento che consiste in una declinazione operativa di un obbligo generale che grava sull’organizzazione, è necessaria un’adeguata rendicontazione quanto meno per svolgere nel tempo una valutazione di efficacia sotto il profilo tanto della conformità alle prescrizioni normative in materia di protezione dei dati personali quanto della sicurezza.

Ciò comporta dunque non solo un’attività di progettazione e attuazione, ma anche una successiva e continua verifica che in alcuni casi si attua con un test di apprendimento, mentre in altri con uno stress test della sicurezza lato operatori, ad esempio, con una campagna di phishing simulato.

Sensibilizzare alla cyber security: il ruolo del DPO

Fino a che punto il DPO può – o deve – intervenire nelle politiche di sensibilizzazione? Nessun dubbio[2] sussiste circa la conduzione di un’attività di sorveglianza sulla loro efficace attuazione, e dunque la rispondenza delle misure ai criteri di conformità indicati dagli artt. 24 (Responsabilità del titolare), 29 (Trattamento sotto l’autorità del titolare) e 32 (Sicurezza dei trattamenti) GDPR.

È possibile però una partecipazione diretta di tale funzione, ad esempio nella redazione di circolari informative, predisposizione di infografiche o organizzazione dei contenuti di un intervento di formazione o addestramento?

La risposta è fornita dall’art. 39.1 lett. a) GDPR, per cui fra i compiti rientra anche l’attività di informazione e consulenza ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati”, nonché dall’art. 38.6 GDPR per cui “Il responsabile della protezione dei dati può svolgere altri compiti e funzioni. Il titolare del trattamento o il responsabile del trattamento si assicura che tali compiti e funzioni non diano adito a un conflitto di interessi”.

L’importante, come sottolineato dal Garante Privacy all’interno delle FAQ dedicate al RPD in ambito pubblico o privato, è che sia garantita (anche tramite clausole dedicate inserite nell’atto di designazione o nel contratto di servizi) l’indipendenza della funzione e che il cumulo di impegni non vada ad inficiare l’effettività dello svolgimento dei compiti previsti dal GDPR e l’adempimento delle relative responsabilità.

Conclusioni

Quale che sia la struttura dell’organizzazione, la sua intelaiatura tecnologica e la complessità dei sistemi informativi, è necessaria una partecipazione di tutto il personale alla sicurezza delle informazioni.

Condizione necessaria ma non sufficiente per conseguire tale obiettivo sono gli interventi di sensibilizzazione, così da contribuire ad un aumento della consapevolezza e conseguire un più elevato livello generale di sicurezza legato al fattore umano.

Ciò che non è più possibile permettersi, considerata l’elevata occorrenza di cyberattacchi human-based, è sottovalutare questo tipo di interventi o, ancor peggio, predisporli in modo tale da ingenerare un’insostenibile overconfidence priva di effettivi riscontri.

 

NOTE

  1. Art. 24.1 GDPR.

  2. In quanto esplicitamente richiamato dall’art. 39.1 lett. b) GDPR fra i compiti del responsabile della protezione dati.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr