Asset aziendali: come proteggerli grazie a GDPR e CISO
6 Ottobre 2021 in CISO as a Service
Il 2020 è stato un anno particolarmente delicato per quanto riguarda la tutela degli asset aziendali. Tra le principali ragioni, c’è il remote working. Secondo le statistiche contenute nel Rapporto Clusit 2021, nel 2020 si è registrato un aumento del 12% degli attacchi cyber a livello globale rispetto all’anno precedente: un dato che è destinato a crescere anche nei prossimi anni. È evidente come i cybercriminali abbiano fatto leva sulla situazione di temporanea difficoltà che molti settori stavano attraversando, al fine di estorcere denaro, sottrarre informazioni, o carpire segreti industriali.
Un dato particolarmente preoccupante, all’interno del rapporto, è l’impatto medio causato alle aziende dagli attacchi rilevati e andati a buon fine: nel 56% dei casi, infatti, si è registrato un impatto “alto” o “critico”, mentre in un ulteriore 44% la gravità dell’impatto è stata “media”.
In questo scenario, diventa di fondamentale importanza tutelare gli asset aziendali tramite alcune figure professionali specifiche: oltre al DPO (acronimo di “Data Protection Officer”), chiamato a vigilare sulla corretta applicazione ai processi aziendali dei principi del GDPR, troviamo il CISO (Chief Information Security Officer), il cui compito è quello di tutelare tutte le informazioni aziendali, siano o meno riferibili a persone fisiche.
CISO: il suo ruolo a difesa degli asset aziendali
Il CISO è una figura professionale di alto livello cui l’azienda demanda il ruolo di “difensore” dei dati aziendali, i veri asset strategici dell’era digitale. L’importanza di tale figura è cresciuta di pari passo con la valorizzazione dell’informazione, da considerarsi, questa, come l’insieme dei dati riferiti alle persone (dipendenti, clienti, eccetera) e ai processi (know-how e segreti industriali).
Il CISO pone in essere numerose attività di analisi, elaborazione e pianificazione strategica, con l’obiettivo di salvaguardare gli asset aziendali da rischi che non appartengono esclusivamente al reparto IT, ma all’interezza dei processi operativi aziendali, oltre che agli aspetti sociali, ambientali, geopolitici e, da ultimo, pandemici.
Tra i compiti fondamentali del CISO, pertanto, non troviamo soltanto l’analisi, sotto il profilo più strettamente tecnico, delle vulnerabilità dei sistemi e delle misure di sicurezza da implementare, ma anche:
- la definizione e la pianificazione delle strategie di risposta al rischio;
- l’analisi delle criticità connesse ai profili legali applicabili all’azienda;
- l’analisi dei processi aziendali, al fine di renderli sicuri e pienamente conformi alle normative vigenti (fra cui anche il GDPR);
- la formazione dei dipendenti e del management in merito al tema della cybersecurity;
- la gestione degli incidenti, non solo informatici;
- la gestione delle identità e dei diritti di accesso alle informazioni;
- lo studio dei contratti con i fornitori di servizi.
Tramite il CISO sarà, dunque, possibile proteggere le informazioni in modo completo, secondo un approccio prospettico e proattivo.
Sicurezza e GDPR: i punti di contatto
I dati personali, secondo i report elaborati da Clusit e dal Ponemon Institute, rientrano fra gli asset aziendali più bersagliati, in quanto hanno un valore aggiunto maggiore rispetto alle altre tipologie. Subire un attacco che coinvolge dati personali significa, inevitabilmente, subire una perdita particolarmente ingente, che cresce all’aumentare della sensibilità dell’informazione, con conseguenze importanti anche per gli interessati.
Per tale ragione, ancora prima del CISO anche il GDPR ci viene in aiuto elevando a principio il concetto fondamentale di privacy by design e privacy by default, ossia l’adozione di misure di sicurezza sia tecniche che organizzative, parametrate sul livello di rischio del trattamento di dati, sia al momento della progettazione del prodotto/servizio sia per “impostazione predefinita”, all’interno dell’interezza dei processi aziendali. Ciò significa che un’azienda che tutela adeguatamente le informazioni, è anche un’azienda compliant ai principi fondamentali del GDPR.
Ecco perché nominare un CISO, insieme a un DPO, che vigili anche sulla corretta implementazione di strategie di privacy by design e privacy by default, rappresenta oggi un atto fondamentale nella strategia di implementazione e conservazione strategica del valore degli asset aziendali nel tempo.