Sensibilizzare alla cyber security: l’approccio richiesto dal GDPR - Cyber Security 360

SICUREZZA AZIENDALE

Sensibilizzare alla cyber security: l’approccio richiesto dal GDPR

Quale che sia la struttura dell’organizzazione, la sua intelaiatura tecnologica e la complessità dei sistemi informativi, è necessaria una partecipazione di tutto il personale alla sicurezza delle informazioni. Ecco le azioni di informazione, formazione e addestramento per sensibilizzare alla cyber security

07 Ott 2021
G
Stefano Gazzella

Consulente Privacy & ICT Law, Data Protection Officer

Le organizzazioni, nel programmare gli interventi mirati a sensibilizzare gli operatori ai temi di cyber security, corrono il rischio di attuare delle misure che spesso possono rivelarsi ben poco efficaci per conseguire gli obiettivi di miglioramento del livello generale di sicurezza delle informazioni.

Ma il GDPR fornisce i criteri generali che è possibile impiegare per progettare, attuare e verificare tali misure.

Azioni di informazione, formazione e addestramento

Le misure di sensibilizzazione e formazione sono un obbligo specificamente contemplato all’interno dell’art. 39.1 lett. b) GDPR che è in capo al titolare e al responsabile del trattamento.

In forza di tale prescrizione normativa viene espressamente previsto infatti che il responsabile della protezione dei dati vada a svolgere un’attività di sorveglianza anche nei confronti dell’osservanza delle politiche “in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”.

Avvalendosi di una lettura della disposizione in coordinamento con il generale approccio operativo derivante dalla responsabilizzazione del titolare del trattamento[1], affinché tali misure siano adeguate sarà necessario che vengano correttamente progettate e, successivamente, verificate.

Occorre innanzitutto che siano riferite in concreto alle attività svolte sui dati personali e ai rischi intrinseci del trattamento, nonché coordinate con il contesto organizzativo e tecnologico presso cui vanno ad operare.

Ciò premesso, ogni organizzazione deve innanzitutto svolgere un’analisi per rilevare i fabbisogni degli operatori, distinguendoli – se del caso – secondo categorie di destinatari al fine di differenziare i contenuti. Inoltre, le misure possono attuarsi con interventi di informazione, formazione e addestramento. Nel primo caso si segue il parametro della comunicazione efficace e della sua diffusione, mentre nel secondo e terzo caso devono trovare specifico approfondimento nozioni e spunti operativi.

Una volta implementate, tutte le misure dovranno essere soggette a monitoraggio periodico per essere riesaminate, verificate ed aggiornate se del caso al fine di valutarne l’efficace attuazione. Il rischio, altrimenti, è una loro sostanziale inefficacia e dunque la non risoluzione delle vulnerabilità che riguardano quel fattore umano già ampiamente oggetto di attenzione da parte dei cyber criminali e protagonista di un’ampia gamma di incidenti informatici.

Un approccio corretto per ciascuna organizzazione è dunque attuabile solo se viene preso come criterio di riferimento quello che viene definito comunemente “lo stato dell’arte” e le esperienze direttamente o indirettamente apprese a riguardo, evitando alcuni errori comuni e assecondando le buone pratiche che si sono consolidate nel tempo.

Sensibilizzare alla cyber security: errori comuni e buone pratiche

Gli errori più comuni commessi nell’ambito della predisposizione ed attuazione delle misure di sensibilizzazione dell’end-user riguardano:

  • l’individuazione della platea dei destinatari;
  • la definizione dei contenuti;
  • la modalità di somministrazione degli interventi.

In molti casi, infatti, un processo decisionale a monte che contempli analisi e valutazione di tali fattori è del tutto assente in favore dell’affidamento a soluzioni di tipo one size fits all. Il motivo comune è principalmente il contenimento dei costi. Il problema però è che il risultato che sarà possibile ottenere mancherà sempre di un approccio concreto e pratico che fa riferimento al contesto operativo, generando un’azione di miglioramento con un’efficacia incompleta e non agilmente rendicontabile.

Avendo riguardo dell’individuazione dei destinatari, questi possono essere differenziati secondo mansioni e ruoli così da distinguerli per competenze e privilegi d’accesso a dati e sistemi, potendo così conseguire una responsabilizzazione omogenea e quanto più possibile adeguata al livello (inteso come una summa del potere d’intervento e delle competenze tecniche) degli operatori.

Dovendo badare invece alla definizione dei contenuti, l’errore da evitare è un approccio eccessivamente teorico e scollegato dal contesto organizzativo. Un eccesso di contenuti tecnici o legali, senza un riferimento concreto ai sistemi informativi adottati dall’organizzazione né alle sue politiche o procedure, può rilevarsi o inefficace o – nella peggiore delle ipotesi – generare confusione fra gli operatori.

E la reazione del personale, in questo caso, può portare a due eccessi di segno opposto entrambi derivanti da un’inesatta percezione dei rischi e delle responsabilità: timori e ansie ingiustificate, o altrimenti disinteresse e sconsideratezza. Entrambi i casi impattano pesantemente sull’organizzazione, nel primo caso aumentando insostenibilmente i costi operativi e alimentando il rischio di burnout, nel secondo caso incentivando condotte incuranti della sicurezza delle informazioni.

Sotto l’aspetto della modalità di somministrazione degli interventi, dal momento che consiste in una declinazione operativa di un obbligo generale che grava sull’organizzazione, è necessaria un’adeguata rendicontazione quanto meno per svolgere nel tempo una valutazione di efficacia sotto il profilo tanto della conformità alle prescrizioni normative in materia di protezione dei dati personali quanto della sicurezza.

Ciò comporta dunque non solo un’attività di progettazione e attuazione, ma anche una successiva e continua verifica che in alcuni casi si attua con un test di apprendimento, mentre in altri con uno stress test della sicurezza lato operatori, ad esempio, con una campagna di phishing simulato.

Sensibilizzare alla cyber security: il ruolo del DPO

Fino a che punto il DPO può – o deve – intervenire nelle politiche di sensibilizzazione? Nessun dubbio[2] sussiste circa la conduzione di un’attività di sorveglianza sulla loro efficace attuazione, e dunque la rispondenza delle misure ai criteri di conformità indicati dagli artt. 24 (Responsabilità del titolare), 29 (Trattamento sotto l’autorità del titolare) e 32 (Sicurezza dei trattamenti) GDPR.

È possibile però una partecipazione diretta di tale funzione, ad esempio nella redazione di circolari informative, predisposizione di infografiche o organizzazione dei contenuti di un intervento di formazione o addestramento?

La risposta è fornita dall’art. 39.1 lett. a) GDPR, per cui fra i compiti rientra anche l’attività di informazione e consulenza ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati”, nonché dall’art. 38.6 GDPR per cui “Il responsabile della protezione dei dati può svolgere altri compiti e funzioni. Il titolare del trattamento o il responsabile del trattamento si assicura che tali compiti e funzioni non diano adito a un conflitto di interessi”.

L’importante, come sottolineato dal Garante Privacy all’interno delle FAQ dedicate al RPD in ambito pubblico o privato, è che sia garantita (anche tramite clausole dedicate inserite nell’atto di designazione o nel contratto di servizi) l’indipendenza della funzione e che il cumulo di impegni non vada ad inficiare l’effettività dello svolgimento dei compiti previsti dal GDPR e l’adempimento delle relative responsabilità.

Conclusioni

Quale che sia la struttura dell’organizzazione, la sua intelaiatura tecnologica e la complessità dei sistemi informativi, è necessaria una partecipazione di tutto il personale alla sicurezza delle informazioni.

Condizione necessaria ma non sufficiente per conseguire tale obiettivo sono gli interventi di sensibilizzazione, così da contribuire ad un aumento della consapevolezza e conseguire un più elevato livello generale di sicurezza legato al fattore umano.

Ciò che non è più possibile permettersi, considerata l’elevata occorrenza di cyberattacchi human-based, è sottovalutare questo tipo di interventi o, ancor peggio, predisporli in modo tale da ingenerare un’insostenibile overconfidence priva di effettivi riscontri.

 

NOTE

  1. Art. 24.1 GDPR.

  2. In quanto esplicitamente richiamato dall’art. 39.1 lett. b) GDPR fra i compiti del responsabile della protezione dati.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5