Dal punto di vista del GDPR i titolari del trattamento sono tenuti a stabilire se le proprie attività di trattamento, e i potenziali rischi per gli interessati che ne conseguono, sono coperti dalle misure di sicurezza attualmente implementate. A questo riguardo il regolamento non specifica le misure di sicurezza (o gli standard tecnici minimi di tali misure di sicurezza) che le aziende devono applicare per essere considerate conformi alla normativa in vigore. Il regolamento si limita a stabilire l’obbligo per le aziende di valutare e decidere quali tipi di misure devono essere implementate per rispettare le prescrizioni del GDPR e di assicurarsi che vengano adottate tutte le precauzioni necessarie per minimizzare il rischio di violazioni e fughe di dati.
La maggior parte delle organizzazioni ha implementato misure tecniche complete in tema di cyber security e protezione dei dati, ma non mancano giorno dopo giorno nuove violazioni ai danni di milioni di utenti. Attacchi sempre più “sofisticati” vengono operati da hacker che hanno imparato a eludere anche i più arditi sistemi di difesa. Non è esagerato pensare che ogni organizzazione debba operare basandosi sul presupposto che l’infrastruttura IT sia costantemente sotto attacco e che potenzialmente sia già stata compromessa in diversi modi. Senza contare che i tempi previsti per la notifica della violazione, secondo il GDPR, sono di appena 72 ore secondo una prassi ben precisa. È pertanto necessario che le organizzazioni si dotino di soluzioni tecnologiche in grado di fornire visibilità sull’intera rete, in modo da rilevare e identificare la portata di una compromissione e consentire una risposta rapida ed efficace. È essenziale che le aziende continuino a investire nella previsione e prevenzione delle minacce, concentrandosi anche sull’acquisizione di capacità avanzate di rilevamento degli incidenti e risposta 24/7.
Dotandosi delle persone, dei processi e dei controlli tecnologici appropriati, è possibile proteggere l’azienda al meglio da violazioni dei dati accidentali o dolose. L’implementazione di una roadmap di correzione e la protezione di tutti i dati personali consentono di ridurre le probabilità e i potenziali effetti negativi di una violazione dei dati. Le sanzioni per il mancato adeguamento al GDPR sono risapute, ma non è ancora molto chiaro che una violazione dei dati ha conseguenze di ampia portata sotto forma di contrazione del fatturato, danno di immagine, riduzione della produttività e così via.
In tutto questo quadro, un aspetto di cui bisogna essere ben consapevoli è che la cyber security si muove a velocità altissima per rimanere al passo con gli hacker che sviluppano costantemente nuove tattiche per violare le difese. Cyber security significa essenzialmente prevedere e prevenire le violazioni, rilevare quelle che si verificano e reagire in modo intelligente per minimizzarne l’impatto. In concreto si tratta di combinare le competenze umane con software dedicati, elementi che vanno a migliorarsi reciprocamente: dietro ogni attacco c’è una persona e per questo motivo anche alla base della difesa ci vogliono delle persone in grado di pensare come farebbe un hacker, reagire alle situazioni come la tecnologia non sa fare e istruire la tecnologia automatizzata per farla diventare sempre più intelligente.
Sara Avanzi