Proteggere dati aziendali: Consapevolezza

L’attuale situazione mondiale sta portando una nuova consapevolezza nelle aziende. Il distanziamento sociale e il lavoro da casa possono essere temporanei, ma molto probabilmente diventeranno la realtà dell’immediato futuro. Le aziende devono quindi imparare due grandi lezioni da questa situazione: la necessità di una maggiore flessibilità e la consapevolezza dei rischi connessi a queste pratiche.
I dati aziendali sono sempre più una delle componenti fondamentali del business odierno, permettono di espletare i compiti più disparati, risalire ad informazioni utili e permettono di intraprendere scelte strategiche per la vita dell’azienda.
Il lavoro da casa deve permettere di accedere ai dati in mobilità o attraverso mezzi temporanei e quindi occorre sempre più adottare strategie che li proteggano senza inficiare sulla loro disponibilità.

Rischi

La non più recente introduzione della normativa che tutti ormai conosciamo col nome di GDPR, introduce una figura fondamentale per la sicurezza dei dati aziendali chiamata CISO (Chief Information Security Officer – Responsabile della sicurezza delle informazioni).
Questa figura manageriale ha diversi compiti da espletare, tra cui la definizione delle policy di sicurezza, il controllo sulla loro applicazione e non per ultimo ha la responsabilità di eseguire le procedure per limitare o annullare gli effetti di un incidente. Il motivo per cui il CISO deve avere il potere, e non solo la responsabilità, di apportare correzioni e modifiche alle procedure aziendali, è dato dalla consapevolezza che nessuno è perfetto e quindi prima o poi qualcosa succederà.
Il CISO ha un altro compito all’interno del management aziendale: far emergere un indicatore che altri manager non gestiscono, chiamato ROR o ritorno sul rischio. Il ROR è un indicatore che mette sulla bilancia il rischio di perdita di dati rispetto agli investimenti per proteggere tali informazioni.

Alcuni esempi eclatanti del recente passato: “Rubati i dati di 383 milioni di clienti della catena Marriott” catena multinazionale di hotel, che non avendo protetto adeguatamente i dati dei propri clienti, ha ricevuto una multa intorno a £ 100 milioni, pari a € 110 milioni, oppure EasyJet alla quale sono stati sottratti dati identificativi di 9 milioni di passeggeri. A fronte di questi “imprevisti” il GDPR impone di informare i soggetti i quali dati sono stati trafugati.

Da questi casi si evince come l’indice ROR debba essere preso in considerazione per affrontare investimenti sulla sicurezza dei dati poiché il danno economico a fronte di sanzioni e di perdita di credibilità nel confronto dei clienti non è per nulla trascurabile.

Non esiste solo l’incuria, ma minacce sempre più mirate mettono a rischio la vita dei dati aziendali. Ransomware, malware e altre forme di minacce informatiche e non, si possono presentare ogni giorno, minando l’infrastruttura informatica dell’azienda. La notizia apparsa recentemente in rete di un attacco mirato ad un’azienda di primissimo piano che si occupa di dispositivi di geolocalizzazione connessi ad internet, decreta una volta per tutte che nessuno può essere al sicuro da questi attacchi e insegna che non è possibile ignorare queste tematiche.

Proteggere dati aziendali: Flessibilità

Insieme alla consapevolezza del rischio, la flessibilità è una potente fonte di vantaggio competitivo, soprattutto durante una crisi.
Si può continuare a sostenere le proprie idee o le linee di mercato come sempre fatto, ma se non si ha la flessibilità necessaria per rispondere efficacemente in caso di gravi perturbazioni, si può perdere rapidamente la strada. Tali eventi sono a loro volta una vera opportunità per le organizzazioni flessibili e attente al rischio di acquisire quote di mercato. Avere un piano di risposta agli incidenti informatici è essenziale.
L’articolo 32 del GDPR stabilisce le misure tecniche e organizzative minime da implementare:
La capacità di garantire la riservatezza, l’integrità, la disponibilità e la resilienza in corso dei sistemi e servizi di elaborazione
La capacità di ripristinare la disponibilità e l’accesso ai dati personali in tempo utile in caso di incidente fisico o tecnico
Un processo per testare, valutare e valutare regolarmente l’efficacia delle misure tecniche e organizzative per garantire la sicurezza del trattamento

Sistemi efficaci progettati per ripristinare i sistemi e mantenere la continuità aziendale non sono solo “belli da avere”, sono obblighi legali per tutte le organizzazioni che trattano i dati dei cittadini dell’UE.

Mirko Mastri
Engineer and Open Specialist – SMEUP ICS
My LinkedIn Profile

Published On: Agosto 1st, 2020 / Categories: Sicurezza informatica, Vulnerabilità / Tags: /

Naviga per categoria:

Seleziona una categoria d’interesse dal nostro magazine