Cyber Security e GDPR: il match della sicurezza inespugnabile

Creare infrastrutture resilienti e GDPR-compliant passa da un percorso in 8 tappe, in cui la responsabilità del trattamento si fonde con le garanzie per gli utenti

La transizione digitale presenta vantaggi innegabili per la competitività: processi non a valore snelli, migliore connessione tra persone e reparti, analisi dati puntuali, democratiche e in real time. Tuttavia, l’adozione e la diffusione delle nuove tecnologie aumenta il rischio di cyber attacchi. Con quali esiti per la sicurezza di aziende, istituzioni e persone?

Cyber attacchi e Cyber Security: come difendersi dalla guerra digitale

Le aggressioni digitali, se indirizzate verso apparati informatici che gestiscono infrastrutture strategiche come ferrovie, aeroporti, ospedali, circuiti bancari e altri servizi di prima necessità, possono causare perdite inestimabili di dati e informazioni, nonché la paralisi dei servizi. Negli ultimi anni, il ransomware è diventato una potente arma geopolitica di sabotaggio tra nazioni e industrie strategiche. Sono un esempio recente i cyber attacchi degli hacker russi verso l’Ucraina, che hanno anticipato in forma digitale l’invasione e conseguente crisi internazionale.

Se fino a qualche anno fa, la sicurezza digitale poteva essere considerata un aspetto secondario, relegato al solo ufficio IT, oggi la pericolosità del cyber crime è tale che la capacità di prevenire gli attacchi è diventata un aspetto prioritario per l’intera organizzazione. La corretta gestione delle infrastrutture informatiche e la protezione dei dati trattati si fonda sulla sinergia tra:

• La funzione IT, a garanzia di un’infrastruttura resiliente
• La funzione Compliance, a garanzia di un efficace modello di organizzazione e gestione dei dati personali

Data Protection come scudo legale ai Cyber attacchi

In questo contesto, la corretta attuazione delle normative Data Protection è fondamentale non solo per la conformità normativa, ma anche per garantire una protezione concreta ed efficace dei dati trattati. A guidarci c’è sempre il principio di Accountability del GDPR che costituisce un pilastro centrale in tutte le fasi di progettazione, realizzazione, gestione e protezione delle infrastrutture informatiche pubbliche e private. Il percorso si snoda in 8 tappe:

1) Privacy, il fattore cardine della progettazione

Tutti gli aspetti connessi al trattamento di dati personali devono essere considerati in ogni processo di trasformazione tecnologica e digitale sin dalle fasi iniziali. La progettazione di infrastruttura, flussi e finalità segue i principi di Privacy by Design e Privacy by Default, con un approccio proattivo e preventivo.

2) Mappatura dei trattamenti

Analizzare il flusso dei dati sia all’interno che all’esterno dell’organizzazione garantisce il controllo dei processi e consente la corretta redazione del registro delle attività di trattamento, documento fondamentale per la conformità normativa e fulcro delle verifiche ispettive dell’Autorità Garante della Privacy.

3) Valutazione di impatto (DPIA) e rischio del trattamento

La valutazione di impatto del trattamento (DPIA, Data Protection Impact Assessment) descrive il processo di trattamento dei dati, ne valuta la necessità e proporzionalità in relazione alle finalità perseguite. La valutazione del rischio misura altresì la responsabilità del titolare che valuta gli impatti del trattamento dei dati sulle persone interessate, così da gestire in via preventiva gli eventuali rischi per i diritti e le libertà.

4) Sicurezza come sinonimo di Business Continuity

La sicurezza è un aspetto fondamentale dell’infrastruttura IT ed è sottoposta a costanti aggiornamenti dei requisiti normativi, nazionali, comunitari ed internazionali. I sistemi tecnologici, i provider, i flussi di lavoro devono essere valutati con attenzione e continuità per evitare l’esposizione a gravi responsabilità e conseguenze anche dirette sotto il profilo del risarcitorio.

5) Tutela effettiva dei diritti degli interessati

Gli interessati devono essere tutelati con opportuni meccanismi di garanzia, che permettono loro di inviare istanze o segnalazioni. La mancata o non corretta implementazione di tali meccanismi rende pressoché impossibile per le organizzazioni fornire un adeguato e tempestivo riscontro, dando origine a contenziosi con conseguente avvio delle attività ispettive dell’Autorità Garante della Privacy.

6) Certificazioni e garanzie da parte dei fornitori

Verificare fin dal principio correttezza e completezza dei contratti sottoscritti con i fornitori, ottenendo le attestazioni di conformità richieste dalle normative vigenti. Questo significa, in concreto, poter dimostrare le garanzie in riferimento alle tecnologie che attuano i trattamenti ed evitare correttivi successivi, con il rischio di esposizioni a cyber attacchi e ingenti costi per l’organizzazione.

7) Diffusione delle competenze

Il personale deve essere messo nelle condizioni di conoscere, per quanto di competenza, tutte le procedure e le specifiche tecniche sui temi Privacy, Data Protection e Cyber Security. Oltre ad essere un requisito richiesto dalla GDPR, l’assenza di tali competenze espone l’intera azienda a rischi incalcolabili, sia economici che di immagine, oltre a perdere una leva preziosa di sviluppo e competitività.

8) Controlli e procedure a presidio del sistema

Tutte le infrastrutture e i flussi di dati devono essere presidiati da un sistema di controlli e procedure che garantiscano la loro corretta operatività. L’assenza di tale sistema di controllo e presidio espone l’azienda a ingenti danni derivanti dall’inosservanza delle regole tecniche e operative.