Nel tracciare un bilancio dell’anno appena trascorso emergono due temi particolari che hanno rimbalzato di bocca in bocca e da orecchio a orecchio: stiamo parlando del cyber crime con particolare riferimento al fenomeno dei ransomware e del GDPR, il regolamento europeo sulla protezione dei dati. Fin da subito si è intuito che questi due temi non erano destinati ad esaurirsi nell’anno stesso…decisamente ovvio sul fronte GDPR considerato che comincerà a produrre i propri effetti da maggio 2018! Finora la tendenza è stata quella di informare riconoscendo la necessità di correre ai ripari in funzione dell’imminente scadenza (ad oggi quattro mesi esatti). In realtà, invece di cercare soluzioni veloci per mettere a posto ciò che serve per essere conformi, le imprese dovrebbero guardare oltre la scadenza di maggio 2018 e focalizzarsi su effettivi miglioramenti sostenibili. Adeguarsi al GDPR significa dunque rispondere a un obbligo -pena il pagamento di sanzioni salate- ma anche cogliere un’opportunità: un progetto di conformità non produrrà risultati ottimali se non basato su una chiara strategia di business, la quale permetterà al soggetto che la implementa di rispondere ad esigenze quali la sicurezza informatica… Ritorna a farsi sentire a gran voce questo tema. Sfruttando l’adeguamento al GDPR, le organizzazioni andrebbero a valutare se le loro attività di elaborazione dei dati e i potenziali rischi per i soggetti interessati che conseguono tali attività sono coperti dalle misure di sicurezza attualmente in essere. Il regolamento lascia che sia compito delle aziende valutare e decidere quali tipi di misure dovranno essere attuate per adeguarsi e assicurare che siano messe in atto tutte le precauzioni possibili per minimizzare il rischio di violazione dei dati. Implementare i controlli su persone, processi e tecnologie permette di proteggere la propria organizzazione da violazioni accidentali o malevole di dati. Operazioni robuste di cyber security diventano quindi parte essenziale della conformità al GDPR.
Tra i vari soggetti che operano all’interno dell’azienda, nella procedura di adeguamento al GDPR il responsabile della sicurezza IT ha uno dei ruoli più importanti. In ottica GDPR viene ribattezzato CISO -Chief Information Security Officer- e si tratta del decision maker di massimo libello per la cyber security con funzione cardine nella protezione dell’azienda dagli attacchi che comportano perdite di dati. Il CISO e l’intero team di Information Security dovrebbero essere coinvolti profondamente nella definizione dei piani GDPR, in particolare, durante la fase preparatoria chiunque lavori nella sicurezza IT di un’azienda deve:
- comprendere i rischi ossia conoscere esattamente quali dati personali sui cittadini UE vengono raccolti dall’azienda e se l’esposizione di quei dati può ricadere nella definizione di violazione dei dati personali fornita dal GDPR;
- prevenire le violazioni con adeguate misure di protezione;
- rilevare le violazioni e rispondervi rapidamente;
- guardare oltre il GDPR.
Ci sono molti aspetti connessi ai rischi per la cyber security di cui un team di sicurezza deve tenere conto anche se non indicati espressamente nel GDPR: la cyber security è un processo continuo e il miglioramento costante è l’unico modo per restare al passo. Le violazioni dei dati si susseguono senza sosta perché gli hacker sono diventati esperti negli attacchi mirati e nell’elusione delle difese. L’azienda deve operare basandosi sul presupposto che l’infrastruttura IT sia costantemente sotto attacco e che potenzialmente sia già stata compromessa in diversi modi. In sostanza va operato un cambio di prospettiva, da prevenzione delle minacce a rilevazione e risposta. Le soluzioni con analisi comportamentale, intelligenza artificiale e machine learning permetteranno all’azienda di scovare le minacce che sono già penetrate all’interno dei suoi confini. Se non rilevati, questi exploit possono compromettere l’infrastruttura e la proprietà intellettuale e generare i tipi di violazione dei dati previsti dal GDPR.
Secondo questo approccio la cyber security non viene vista come il rimedio, ma come la prevenzione. Essa consiste nel prevedere e prevenire le violazioni, rilevare quelle che si verificano e reagire in modo intelligente per minimizzare l’impatto. Per questo processo la competenza umana si fonde con la scalabilità dei software. Pensare come farebbe un hacker è la chiave per implementare un approccio profittevole per reagire alle soluzioni come la tecnologia non sa fare e istruire la tecnologia automatizzata per farla diventare sempre più intelligente giorno dopo giorno.
Sara Avanzi