Un buon risk assessment è il primo passo. Dati personali e informazioni sono un valore patrimoniale per le aziende a prescindere dagli aspetti cogenti che ne regolamentano il trattamento (Dlgs 196/03, Regolamento UE 679/2016)

Dati personali e informazioni vanno protetti con tutte le misure tecnico/organizzative commisurate al danno derivante da una loro impropria divulgazione. Assistiamo quotidianamente ad “assalti” alla nostra privacy di natura commerciale, provenienti da fonti sconosciute che ci raggiungono sui canali di comunicazione di cui fruiamo quotidianamente (mail, cellulare, internet). Questo atteggiamento che infastidisce il nostro stato di soggetti liberi nel dominio dell’era digitale connessa è in parte conseguenza dei molti consensi da noi forniti a terzi per l’uso dei nostri dati al momento dell’adesione a servizi o stipula di contratti, ma è anche dovuto alla sottrazione degli stessi in modo doloso dai sistemi aziendali di coloro che ne operano il trattamento e rivenduti per scopi commerciali o per danneggiare l’immagine e la reputazione degli interessati.

I potenziali “hacker”, che nell’immaginario collettivo erano figure isolate dedite a violare i sistemi degli enti governativi solo per dimostrare le proprie capacità, oggi, con la disponibilità in rete di know-how specifico e risorse nel “Deep Web” (parte del Web non indicizzata dai comuni motori di ricerca e non convenzionalmente visibile), stanno crescendo in maniera preoccupante e con essi il rischio di attacchi ai dati per scopi non etici. La risposta convenzionale al fenomeno è la “cyber security”, ovvero la strategia evoluta per la tutela delle informazioni e dei dati aziendali esclusivamente dipendenti dalla tecnologia. L’esperienza insegna che sicurezza informatica e sicurezza delle informazioni non sono la stessa cosa: infatti la prima “cyber security” utilizza prettamente la tecnologia quale strumento per la protezione degli asset informativi, la seconda tiene invece conto anche degli aspetti organizzativi che impattano su quelli tecnologici (per esempio: installiamo un modem con Wi-Fi abilitato e lasciamo inalterate le password amministrative di default del dispositivo ricavabili tramite app disponibili sugli store). Questo esempio ricorrente indica come la sicurezza debba essere ricercata attraverso un approccio metodologico di risk assessment che valuti, in modo strutturato, tutte le minacce che incombono sui nostri dati/informazioni e che consenta di identificare le adeguate contromisure per la riduzione del rischio.

Quando le contromisure non sono adeguate alla mitigazione del rischio si può incorrere nel temuto “data breach”, ovvero un incidente di sicurezza in cui i dati rilevanti per aspetti strategici o di privacy vengono utilizzati da un soggetto non autorizzato sia per dolo che in modo involontario. Ciò può avvenire in seguito alla perdita accidentale di un dispositivo mobile, al furto di un notebook, all’infedeltà aziendale di personale scontento o corrotto, all’accesso non autorizzato a sistemi informatici. I dati a maggior rischio sono quelli finanziari (carte di credito, posizioni economiche, investimenti), sanitari (informazioni sulla salute per restrizioni assicurative o altre azioni discriminatorie), proprietà industriale o dell’intelletto (soluzioni tecnologiche o innovative), personali (furto d’identità per compimento di illeciti e reati vari). Con l’IoT (Internet of Things) che preme, e una tecnologia in rapida evoluzione senza i tempi necessari per maturare una resilienza alle vulnerabilità intrinseche di sistemi e processi, alcune vulnerabilità, ancora inesplorate, attendono di essere sfruttate ai danni delle organizzazioni e dei titolari dei dati e delle informazioni. La chiave per porre riparo a tutto ciò è la consapevolezza, da parte dei titolari dei trattamenti, dei rischi incombenti sui dati nel dominio che interessa l’organizzazione. In conclusione: buon risk assessment a tutti.

Giuseppe Tacconi è consultant, trainer e professional auditor

Per ulteriori approfondimenti: “Gli audit privacy secondo il nuovo regolamento europeo GDPR 2016/679 – Guida pratica per la verifica della protezione dei dati” a cura di Stefano Gorla, Michele Iaselli, Giuseppe Tacconi. Prefazione di Gianluca De Vincentiis. www.iter.it/libri

Per saperne di più, l’appuntamento è a Omat Forum, il workshop dedicato alle nuove frontiere della gestione delle informazioni digitali. Info sulle prossime tappe su www.omatforum.it.