Per celebrare l’anniversario della firma della Convenzione 108 del Consiglio d’Europa, avvenuta il 28 gennaio 1981, è stata associata una festa importante: il Data Protection Day. Dal 2007 in poi, ogni anno l’Unione Europea, gli Stati Uniti e il Canada celebrano questa giornata, nota come Giornata della Privacy dei Dati.
La ricorrenza è stata l’occasione per molte aziende di fare il punto sulla sicurezza. Dati alla mano, le statistiche indicano come sia la perdita dei dati al primo posto delle paure dei CISO. Il tema non riguarda solo i criteri di gestione a garanzia della business continuity e della brand reputation di un’impresa illibata. Riguarda pregiudizi e falsi miti che portano le aziende a sottostimare i pericoli degli attacchi informatici. Ad esempio l’idea che solo le aziende di grandi dimensioni siano sotto il mirino degli hacker e del cybercrime.
Per la National Cyber Security Alliance, ad esempio, il 50% degli attacchi informatici mirati sono diretti alle aziende con meno di 2.500 dipendenti. In Italia, Paese delle nano imprese, la realtà include una poverizzazione di organizzazioni con un numero inferiore di dipendenti altrettanto a rischio.
Secondo una ricerca condotta in Italia da Cisco, la sicurezza IT è minacciata dal comportamento dei dipendenti che, più o meno inconsapevolmente, offrono alla cybercriminalità i maggiori punti di ingresso per il furto dei dati sensibili. Il comportamento dei collaboratori interni (37%) è al terzo posto della classifica dopo la criminalità informatica organizzata (61%) e gli hacktivisti (45%).
Le 5 buone regole della sicurezza
Proteggere i dati e garantire la privacy fa parte di una governance che deve includere strumenti e tecniche a supporto di attività di controllo e di presidio più o meno avanzate, a seconda della qualità e della quantità di informazioni da mettere in sicurezza. Gli esperti hanno stilato una miniguida in 5 capitoli delle best practice.
Fase 1: Mappare e localizzare i dati. Non si può completare un piano di sicurezza finché non si sa esattamente cosa si sta proteggendo e dove sono archiviati i dati. La maggior parte dei sistemi di archiviazione aziendali includono una molteplicità di soluzioni: dischi locali, sistemi di back up basati su disco o su nastro, soluzioni di storage in cloud. Ognuna di queste tecnologie ha formati propri ma anche diverse caratteristiche di protezione dei dati.
Fase 2: Implementare una policy consapevole. Per ridurre i rischi legati agli errori umani o anche solo alla curiosità, è necessario creare policy che limitano l’accesso a particolari archivi di dati. È necessario progettare una gestione degli accessi basata su una profilazione del tipo di lavoro degli utenti. Inoltre è necessario automatizzare il log in di questi accessi in modo da poter effettuare una registrazione capace di tenere traccia e offrire alla direzione una reportistica dettagliata su chi abbia avuto accesso a determinati dati in maniera non autorizzata.
Fase 3: Mantenere costantemente aggiornati i sistemi di protezione. Probabilmente non esiste rete che non sia protetta da un qualche tipo di firewall o di antivirus. Una cosa che va tenuta in gran conto è che questo tipo di soluzioni funziona se vengono costantemente aggiornate: solo così garantiscono l’efficacia del loro presidio. Ogni giorno vengono creati nuovi malware e i software antivirus devono rimanere allineati a queste continue evoluzioni. Una ricerca di Arxan ha rivelato che il 95% delle prime 100 applicazioni finanziarie per Android e il 70% di applicazioni iOS è stato violato nel corso del 2014. Il team IT deve estendere lo scudo della sicurezza anche ai nuovi dispositivi mobile che fanno parte della vita aziendale: smartphone e tablet in testa.
Fase 4: Monitorare e restare sempre aggiornati sul ciclo di vita dei dati. È necessario creare un sistema di data lifecycle management che consenta di eliminare i dati obsoleti, mantenendo leggera ed efficace la struttura informativa a supporto del business. La governance del dato deve essere totale. A questo proposito le aziende dovrebbero:
- identificare i dati che devono essere pià protetti e pianificare per quanto tempo debba essere programmata la loro protezione
- costruire una strategia di backup multilivello, che includa backup su nastro non in linea e fuori sede
- saper prevedere le conseguenze di un attacco e quindi mettere in sicurezza le vulnerabilità emerse dalle esercitazioni di test
- impostare un sistema di account anche per gli archivi cartcaei, nella consapevolezza che anche questo tipo di dati possono essere sottratti
- fare l’inventario di tutto l’hardware su cui possono essere ospitate le informazioni più datate e mettere in sicurezza fotocopiatrici, sistemi di posta vocale e fax
Fase 5: Educare dipendenti e collaboratori. La sicurezza è soprattutto il risultato di un comportamento attento ed efficiente dei dipendenti. Bisogna costruire una cultura della sicurezza in cui tutti possono capire il valore critico dei dati per il businss e quanta protezione sia necessaria per supportare l’efficienza aziendale. Bisogna spiegare ai dipendenti quali sono le vulnerabilità e come si possono evitare o contrastare, bisogna insegnar loro a distinguere dove possibili i malware legati alla posta indesiderata e ai messaggi sospetti che arrivano dal Web. La digitalizzazione crescente fa della Privacy una pratica quotidiana.