Il tipo più comune di violazione di informazioni? Quando qualcuno invia i dati alla persona sbagliata. Secondo l’analisi dell’Information Commissioner del Regno Unito i dati pubblicati o spediti via fax al destinatario sbagliato rappresentano infatti il 17% delle violazioni, un ulteriore 17% delle violazioni si verifica a causa della perdita o del furto di documenti, mentre nel 9% dei casi i dati vengono inviati via e-mail al destinatario sbagliato. Altre cause possono essere lo smaltimento non sicuro di hardware o documenti di ufficio e la perdita o il furto di dispositivi non crittografati.
Alzare i livelli di controllo per i dati in uscita
Gli esperti consigliano alle imprese di esaminare la natura dei dati prodotti e gestiti dal proprio personale, utilizzando strumenti di classificazione per determinare come trattare tali dati. Inoltre, raccomanda l’esperto, è necessario che i dati vengano rilasciati, quando necessario, in modo corretto e sicuro.
“Il fatto che così tante violazioni siano causate errori umani che si verificano quando vengono trattati i dati – ha spiegato Tony Pepper, Ceo di Egress -, come ad esempio l’invio di fax o la pubblicazione di informazioni sensibili tramite e-mail in chiaro, dovrebbe far riflettere seriamente ogni azienda. Oggi le organizzazioni necessitano di avere una comprensione olistica delle misure di sicurezza rivolte a tutelare le informazioni che si trovano a trattare. In un contesto di business l’integrazione tra strumenti di policy e di classificazione – come la crittografia delle e-mail e la collaborazione online sicura – possono offrire la corretta protezione delle informazioni e garantire che il giusto livello di controllo venga applicato nel momento in cui le informazioni vengono rilasciate”.
Cosa cambia con il GDPR
La consapevolezza pubblica in materia di perdita di dati è destinata a crescere grazie alle modifiche delle leggi europee sulla protezione dei dati che entreranno in vigore nel 2018 attraverso il nuovo regolamento sulla protezione dei dati generali (GDPR). Durante il suo intervento in occasione dell’European Identity & Cloud Conference 2016, Karsten Kinast, avvocato e analista di KuppingerCole, ha ricordato che il nuovo regolamento prevede l’obbligo di informare le competenti autorità locali di un’avvenuta violazione dei dati entro 72 ore dalla sua scoperta: “Questo significa – ha sottolineato l’esperto – che le organizzazioni devono assicurarsi di possedere tecnologie e processi che permettano loro di rilevare e rispondere prontamente a una violazione dei dati”.
