GDPR e Cybersecurity: tutto quello che dovreste sapere

Una domanda frequente e che sempre più spesso ci viene posta è:

cos’hanno in comune GDPR e cyber security?

In questo articolo ci siamo posti come obiettivo quello di dare una risposta a questa domanda ed analizzare in quali ambiti, in che contesto ed eventualmente, in che modo il Regolamento Europeo per il trattamento dei dati personali sia legato alla cyber security.

Prima di riflettere insieme su quanto sia stretto il legame tra GDPR e cybersecurity, dobbiamo appurare se è limitato ad alcuni singoli contesti oppure se generalizzato tutto tondo.

Voi cosa ne pensate? Che cosa hanno in comune GDPR e Sicurezza informatica?

Leggendo questo contributo vi accorgerete che la risposta è molto più semplice di quanto si possa immaginare.
La sicurezza delle informazioni, i dati personali o l’ultimo Regolamento europeo sulla protezione dei dati (meglio conosciuto come GDPR) sono associati a sfide speciali per molte aziende. Ma per garantire il buon funzionamento, la raccolta di tutti i tipi di dati – compresi i dati personali dei dipendenti e dei clienti – per lo più inevitabile doversi confrontare con quella che definisco la difesa del patrimonio digitale di un’azienda. Proteggere queste informazioni, tuttavia, non è solo un requisito di legge, bensì gestire e tutelare la reputazione e il successo della vostra azienda.
A questo punto viene spontaneo chiedersi se esiste un GDPR per la cybersecurity, un Regolamento che individui delle linee guida a cui le aziende devono attenersi per la tutela del patrimonio digitale.
Abbiamo voluto immaginare uno slalom parallelo, un confronto diretto tra GDPR – pista blu – e cybersecurity – pista rossa.
Le domande sono le stesse, vediamo come sono le risposte per arrivare al traguardo e svelare insieme il grado di parentela tra i “due sciatori”:

Sicurezza informatica, protezione dei dati e sicurezza dei dati sono tre concetti che sono spesso usati impropriamente come sinonimi nella vita quotidiana, ma hanno significati ben diversi.

Le misure corrispondenti messe in atto dalle aziende, vanno spesso di pari passo, ma la protezione dei dati, la sicurezza dei dati e la sicurezza informatica hanno obiettivi molto diversi malgrado un comune denominatore.

La sicurezza informatica fa parte del più ampio tema della sicurezza delle informazioni.
Lo scopo della sicurezza informatica è quello di proteggere i sistemi informatici delle organizzazioni, per esempio le aziende e i loro beni dalle minacce informatiche di hacker e virus. Tuttavia, questo non riguarda esclusivamente i dati personali. Piuttosto, tutti i dati aziendali rilevanti degni di protezione sono oggetto di attenzione da parte del settore sicurezza informatica.

Anche se la sicurezza dei dati e la protezione dei dati sono spesso usati come sinonimi, essi coprono aree diverse.

L’obiettivo della sicurezza dei dati è tecnico: i dati di qualsiasi tipo – non solo quelli personali – devono essere protetti da perdite, manipolazioni e altre minacce.
La sicurezza dei dati è quindi un prerequisito per una protezione efficace dei dati.

Anche se sicurezza informatica e protezione dei dati sono aspetti diversi di un grande complesso di argomenti, si basano sulla base delle stesse misure tecniche e organizzative e perseguono obiettivi di protezione comuni come:

• La riservatezza. Per garantire la riservatezza dei dati, le informazioni immagazzinate e trasmesse devono essere protette. Solo le persone autorizzate dovrebbero avervi accesso. Mentre, la protezione dei dati si concentra sui dati personali, la sicurezza informatica si concentra sulle misure tecniche che possono permettere questa protezione di tutte le informazioni.
• L’integrità. I dati e i sistemi devono essere corretti e immutati. Solo allora, i dati corrispondenti sono anche affidabili. La manipolazione, per esempio falsificando i dati, deve essere impedita con ogni mezzo. Anche qui entrano in gioco servizi di sicurezza informatica, per esempio a protezione dei dati.
• L’autenticità. Sia i sistemi informatici che i messaggi devono essere autentici, cioè devono essere garantiti autenticità, verificabilità e affidabilità. Una classica violazione di questo principio sarebbe la possibilità di effettuare un ordine online sotto una falsa identità.
• La disponibilità. Naturalmente, i dati devono essere protetti, ma devono anche essere disponibili alle persone autorizzate. Ad esempio, i guasti al sistema informatico sono da considerarsi un ostacolo a questo principio.

Usare la sicurezza informatica per ottenere una maggiore protezione dei dati risulta pertanto un elemento fondamentale a cui nessuna azienda può rinunciare.

In sintesi, si può dire che la sicurezza informatica è uno dei mezzi che portano a una maggiore protezione dei dati in azienda.

Solo con sistemi informatici sicuri è possibile proteggere i dati dall’accesso non autorizzato di terzi.

Il problema della sicurezza dei dati e reti informatiche è esploso negli ultimi anni anche in seguito alle mutate condizioni di lavoro dovute alla pandemia. Infatti, non deve sorprenderci più di tanto il fatto che l’UE sia intervenuta attraverso Enisa delineando nuove linee guida. Inoltre, rilevante è stata la nascita di nuove sinergie.

L’art. 5 del GDPR al comma 2 prevede l’introduzione di un concetto che rappresenta un faro a cui fare riferimento: il concetto di responsabilizzazione (accountability). Da questo le aziende devono impegnarsi per trarre quel vantaggio competitivo dovuto al fatto di essere compliance.

Il GDPR non vuole essere un testo puramente normativo, ma vuole rappresentare una opportunità per le aziende di innalzare il livello di protezione e tutela dei dati trattati.

Come?

Attraverso la responsabilizzazione delle scelte fatte e delle misure tecnico-organizzative adottate.

Un ulteriore concetto rivoluzionario introdotto dal GDPR è stato quello di elevare la sicurezza principio del trattamento: non è solo importante cosa faccio ma almeno altrettanto come.

La sicurezza informatica diventa pertanto una necessità e non si limita ad essere una opzione.

Il fatto di volere coniugare i dettami dell’art. 5 del GDPR con una strategia europea per la sicurezza informatica hanno portato alla pubblicazione del cosiddetto Cybersecurity Act. Questo framework di certificazione di sicurezza per prodotti e processi ICT promuove gli elementi classici della sicurezza informatica (integrità, confidenzialità, disponibilità, resilienza). Le linee guida permettono agli utenti di verificare singolarmente il livello di affidabilità della sicurezza delle proprie reti informatiche aziendali.

Il concetto voluto dal legislatore europeo, introdotto con il GDPR e ripreso poi da tutta una serie di atti complementari come il Cybersecurity Act, pongono l’attenzione su quello che è il ruolo del titolare/responsabile del trattamento.
Questa figura deve essere in grado in qualsiasi momento di potere documentare le scelte fatte e di essere grado di governare il singolo processo aziendali rivolto al data protection.

Questo processo di accountability dei processi lo si riesce a raggiungere solo grazie ad un monitoraggio continuo delle attività, possibilmente abbinato ad opportune attività di remediation.
Per meglio capire quanto il principio di responsabilizzazione coinvolga equamente i nostri due atleti, dobbiamo leggere l’art. 24 del GDPR.

In particolare, ci interessa il passaggio dove il legislatore prevede che chi tratti dati personali deve mettere in atto e portare a regime una serie di misure tecnico-organizzative adeguate a rischio con il loro monitoraggio nel tempo.

Questo è un passaggio fondamentale in quanto non solo ci dice cosa dobbiamo dare ma soprattutto, ciò che dobbiamo assicurarci di fare costantemente nel tempo. Quale strumento risulta più idoneo di un test di vulnerabilità (o Vulnerability Assessment) per potere documentare nel tempo di avere adempiuto ad una conforme gestione della rete informatica e del rischio derivante?

Colui che tratta i dati digitali non deve rispondere solo per le conseguenze di una eventuale sottrazione degli stessi in seguito ad attacco informatico bensì, come vedremo in dettaglio nel prossimo capitolo, deve risponderne fin dalla loro progettazione e impostazione predefinita. Emergono così ulteriori aspetti, come l’etica professionale ed il buon senso dell’imprenditore!

Come posso infatti procedere con il trattamento di dati se non sono in grado di dimostrare che il rischio residuale sia basso?

Il Vulnerability Assessment è lo strumento ideale, flessibile e che mi offre maggiori garanzie nel dimostrare che l’azienda è in grado di governare i processi.

Grazie all’intervento di Enisa e all’introduzione del framework previsto dal Cybersecurity Act, chi opera trattamento di dati è incentivato ed invogliato a rispettare i dettami dell’art. 25 del GDPR purtroppo, ancora sconosciuti alla maggior parte delle aziende.

I principi della “Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita” sono un elemento che, se studiato ed applicato con i giusti criteri, libera da molte responsabilità colui che tratta dati digitali.

Investire by default in sicurezza, acquistando prodotti/servizi già certificati e pronti ad essere utilizzati per il raggiungimento della compliance aziendale attraverso un elevato grado di responsabilizzazione, possono rappresentare la soluzione per molte aziende.

Sempre il GDPR all’art. 32 prevede l’obbligo dell’adempimento – per chi tratta dati digitali – di avere un assessment sullo stato dell’arte prima di scegliere le misure tecnico-organizzative più adeguate al rischio a cui i dati trattati sono esposti e di conseguenze le libertà degli interessati.
La particolarità di queste nuove prospettive è che si passa da una posizione “passiva” ad una “attiva”.

E’ l’azienda stessa che dimostrare di avere fatto tutto quanto nelle sue possibilità tecnico organizzative per limitare il rischio del trattamento, documentando le sue scelte, spiegando le ragioni sottostanti le decisioni, dimostrando di sapere governare gli strumenti ed i processi della attività di trattamento.

In quanto di voi potrebbero affermare di esserlo?

La penultima porta del nostro slalom parallelo vuole confrontare brevemente per capisaldi se GDPR e cyber security trovano applicazioni differenti tra il mondo delle aziende private e quello del sistema pubblico.

Penso che se fossimo in un’aula, nessuno alzerebbe la mano per sostenere che ci siano differenze tra i due ambiti di applicazione.
Il GDPR si applica ogni volta che il trattamento di dati preveda quello di dati riconducibili alla persona fisica: l’amministrazione pubblica non può certo esimersi dal rispettare il Regolamento.

La cybersecurity scopre invece grazie alla figura – recentemente introdotta nell’amministrazione pubblica – del Responsabile della Transizione Digitale un nuovo ruolo. Da quanto fin qui esposto, emerge un altro particolare: occuparsi oggi di GDPR non è più un ruolo riservato all’avvocato o all’esperto IT. Una figura professionale equamente bilanciata è quella che meglio può conoscere le esigenze di una azienda e/o amministrazione pubblica ed individuare così le necessarie misure tecnico-organizzative (per l’appunto) per mettere in sicurezza il trattamento del dato digitale.
Nello specifico poi, le linee guida dell’AGiD offrono interessanti spunti di riflessione sia per le amministrazioni pubbliche che per le aziende private.

Come ampliamente discusso in questo contributo emerge come, indipendentemente dal fatto che l’azienda coinvolta sia pubblica o privata, la necessità di essere compliance sia ormai un dato di fatto da cui non si può più prescindere.

Gli attacchi informatici sono all’odine del giorno e la perdita di fiducia che ne consegue da parte di clienti, fornitori, investitori è di gran lunga maggiore al danno materiale subito.

Se sul mercato ci sono due aziende che esprimono professionalità ed esperienze omogenee, prodotti similari per qualità e prezzo, voi affidereste l’ordine ad una che si possa vantare di avere messo in atto adeguate misure di tutela dei dati che voi gli consegnate (brevetti, disegni, copyright, …) oppure ad una che regolarmente finisce sui media come vittima di un attacco informatico?

La compliance e l’accountability oppure per dirla in maniera più facile la conformità e la responsabilizzazione di una azienda rappresentano un valore aggiunto anche a livello commerciale. Avere la possibilità e la sicurezza interiore di avere i processi monitorati e tracciati da un test ricorrente sulle vulnerabilità sono il giusto compromesso per innalzare il livello di consapevolezza del rischio ma soprattutto del danno che un attacco informatico può rappresentare.

Conclusioni

La nostra gara di sci si è conclusa; un parallelo ricco di insidie e ostacoli ma che i nostri due atleti hanno saputo superare con bravura. Il risultato è quello di avere avuto conferma che GDPR e cyber security siano parenti molto più stretti di quanto si possa immaginare. I dettami più “legalesi” del GDPR possono trovare applicazione solo e a condizione che la cyber security sia concepita allo stesso modo.

Il legislatore ha provveduto a mettere a disposizione una serie di strumenti applicativi finalizzati al raggiungimento di una corretta compliance aziendale. Il giusto mix tra norma e applicazione tecnica garantisce all’azienda la giusta serenità per affrontare le side quotidiane del lavoro. Non bisogna altresì dimenticare, che stiamo parlando di aspetti in continuo divenire e mai statici.

L’azienda non deve ritenere di avere adempiuto ai propri obblighi solo per avere fatto assessment.

Il livello di cultura generale deve crescere e deve essere curato periodicamente onde evitare di cadere in trappole di cui oggi neanche immaginavamo l’esistenza.

In questo contesto, il test ricorrente sulle vulnerabilità rappresenta la chiave vero quel valore aggiunto commerciale di cui si parlava poc’anzi.
Il test ricorrente delle vulnerabilità ci permette di adempiere al primo obbligo in assoluto, quello della tutela del patrimonio digitale aziendale.

Articolo di:

• DPO certificato UNI:11697 e professionista certificato CSF NIST
• Lead auditor ISO 27001, 27701, 22301

Visita il profilo Linkedin