Fidarsi dei sistemi informatici e fidarsi delle persone sono due cose molto diverse. Se poi si aggiungono Big Data, Cloud e il nuovo regolamento sulla protezione dei dati, la questione si fa ancora più complessa.
Secondo gli esperti, non è più possibile occuparsi di sicurezza informatica dal mero punto di vista tecnologico senza considerare anche l’aspetto umano.
Il concetto di fiducia rivolto alle persone, nell’ambito IT, deve riferirsi al rapporto che si instaura sia con i dipendenti, che con i fornitori e i clienti. E considerando che sempre più organizzazioni stanno spostando tutti i loro dati nel Cloud, questo aspetto acquisisce un’importanza ancora più centrale.
Con il GDPR arrivano maggiori responsabilità
Come hanno evidenziato i partecipanti al recente evento CW500, assicurarsi che le persone compiano le azioni giuste è ben diverso dal garantire che le macchine facciano quello che ci si aspetta da loro. E occorre ottimizzare gli sforzi in entrambe le direzioni. Il nuovo regolamento generale sulla protezione dei dati (GDPR), che entrerà in vigore il 25 maggio 2018, e la direttiva Network and Information Security (NIS) avranno certamente un impatto sia sul concetto di fiducia che di etica nell’ambito del mondo digitale di oggi, popolato da persone, sistemi e dati.
In particolare, il nuovo regolamento – soprattutto se si considera il Privacy Impact Assessment (PIA), documento di valutazione d’impatto nel trattamento dei dati – impone alle aziende una maggiore tutela della privacy e richiede loro di mettere in atto strategie efficaci rivolte alla protezione dei dati personali. Per chi non dovesse rispettare le nuove norme, il GDPR prevede multe fino a 20 milioni di euro o pari al 4% del fatturato mondiale annuo: è chiaro che, anche per le aziende più grandi del mondo, queste sanzioni rappresenterebbero un danno non indifferente.
La sfida della Internet of Things
La sfida più grande sembra essere rappresentata dalla moltitudine di dispositivi connessi con la Internet of Things: secondo i professionisti del settore, infatti, se da un lato il numero di oggetti connessi sta crescendo in maniera esponenziale, dall’altro, il livello di attenzione sulla sicurezza di questo processo sta pericolosamente diminuendo.
Gli analisti di HPE, ad esempio, sottolineano nella loro ricerca come gli standard relativi alla sicurezza della IOT siano ancora molto bassi. I motivi sono diversi: i requisiti di basso consumo di energia e la limitata capacità computazionale di ogni sensore preso singolarmente riduce al minimo la soglia di protezione.
La sicurezza, inoltre, deve proteggere non solo l’azienda, ma anche i partner coinvolti nel progetto perché in un mondo integrato e comunicante, l’effetto domino o la vulnerabilità coinvolge tutti, nessuno escluso. Inoltre, è molto più difficile impostare una sicurezza retroattiva piuttosto che impostarla sin da subito, risolvendo ogni criticità possibile in fase di preanalisi. Con un attenzione in più: la compliance. Il problma è che oggi vengono connessi alla più ampia rete globale anche quegli oggetti che non sono stati realizzati per questo scopo, il che sta portando evidenti problemi di sicurezza. Il fatto che la tecnologia ci permetta di fare una determinata cosa, hanno concordato gli esperti, non significa sempre che la si possa/debba fare davvero. Su questo punto è chiaro come la responsabilità – etica e legale – ricada totalmente sull’intervento umano e non possa in alcun modo essere imputabile alle macchine.
