Sicurezza dei dati nelle imprese: i principali rischi
8 Maggio 2020 in Governance Risk & Compliance As a Service - GRC360
Crescenti minacce minano la sicurezza dei dati nelle imprese come evidenziato da stampa e social media che riferiscono quotidianamente di incidenti informatici. Come conseguenza, nelle organizzazioni, ormai convinte del valore dei dati per il proprio business, sta crescendo l’attenzione alla sicurezza. Un ulteriore impulso viene dal regolamento GDPR, focalizzato sulla protezione dei dati personali.
Gli investimenti in sicurezza? Inadeguati alle minacce alla sicurezza dei dati aziendali
Purtroppo il cybercrime non è una montatura giornalistica ma sta assumendo proporzioni tali da preoccupare anche i governi. Secondo il Rapporto CLUSIT 2019, associazione indipendente che annualmente fotografa lo stato della sicurezza ICT in Italia, lo scorso anno è stato il peggiore di sempre per l’evoluzione delle cyber-minacce e del loro impatto, non solo in termini quantitativi ma anche qualitativi, con una crescita dei danni causati. Nell’ultimo biennio il numero di attacchi gravi è aumentato di 10 volte rispetto al precedente. A livello mondiale il cybercrime ha comportato, secondo World Economic Forum, un costo globale di 600 miliardi dollari nel 2018 e potrebbe raggiungere i 3mila miliardi di dollari nel 2020, mentre la spesa per la sicurezza, secondo Gartner, sarà di 124 miliardi nell’anno in corso per aumentare fino a 188 miliardi nel 2023. Una sproporzione fra danni e investimenti per prevenirne le conseguenze che si ripropone anche in Italia.
È importante che questa consapevolezza permei ogni decisione del top e middle management aziendale e scenda in maniera congruente su tutta l’organizzazione.
Il regolamento europeo GDPR impatta sulla valutazione dei rischi
La consapevolezza della necessità di garantire la sicurezza dei dati nelle imprese è aumentata con l’entrata in vigore del regolamento europeo GDPR, che ha creato le premesse per un importante salto culturale nel caso del trattamento di dati personali. Per avere successo le imprese odierne hanno bisogno di conoscere le preferenze, le aspettative e i comportamenti degli individui con i quali operano (clienti in primis e dipendenti) e quindi la sicurezza dei dati, la raccolta e il trattamento lecito dei dati personali sono diventate importanti anche per aspetti reputazionali.Gestire in maniera inadeguata i sistemi informativi, dalla rete alle applicazioni (attraversando sistemi operativi, database management system, diversi middleware, firewall, router ecc.) non proteggendo i dati personali espone le aziende a rischi operativi (incidenti di sicurezza relativi alla confidenzialità, integrità e disponibilità) e di compliance (multe, divieti e altre serie conseguenze). Il legislatore Europeo si è sentito in dovere di introdurre una serie di articoli per obbligare le aziende (titolari e responsabili) a introdurre e, se possibile, censire misure di sicurezza, proteggere i dati fin dalla progettazione, limitare gli accessi, effettuare delle valutazioni di impatto, notificare le violazioni all’autorità, comunicarle agli interessati e pretendere la stessa serietà dai propri fornitori (responsabili del trattamento). Queste stesse misure potrebbero essere usate anche al di fuori della protezione dei dati personali per proteggere altri importanti dati aziendali, come ad esempio i segreti industriali e commerciali.
Valutare i rischi della sicurezza dei dati aziendali, per poterli gestire
La valutazione dei rischi per le informazioni, essenziale per garantirne in modo adeguato la protezione, dà visibilità all’azienda dell’effettiva rilevanza del sistema informativo nei processi aziendali, e permette di valutare la dipendenza dell’operatività e della competitività dell’azienda dai suoi dati e dai servizi IT. La gestione della sicurezza delle informazioni e dei sistemi si deve quindi focalizzare sulle conseguenze che le minacce potrebbero determinare sui processi di business supportati dai diversi ambiti applicativi o derivanti dall’inadempienza al GDPR. Rendere efficaci gli investimenti in cybersecurity richiede infatti di saperli indirizzare nelle aree di maggiore rischio, selezionando gli interventi di maggiore efficacia.
La valutazione dei principali rischi che i dati corrono dipende da numerosi fattori: dall’evoluzione delle minacce e delle tecniche di attacco, dall’aggressività dei concorrenti e degli altri potenziali attaccanti, dal valore dei dati per il business o in relazione alle nuove normative come GDPR, dalle vulnerabilità dei sistemi aziendali e dalla loro capacità di garantire la sicurezza dei dati di valore per l’azienda o protetti dalle normative. L’effettivo impatto va dunque valutato sulla base delle conseguenze che possono essere di tipo legale, reputazionale, di perdita di competitività e di operatività dell’azienda, di impatto negativo sul business e delle conseguenti perdite economiche.
Claudio Telmon – Information & Cyber Security Advisor at P4I – Partners4Innovation