In un’epoca digitale, dove la massificazione delle procedure e la relativa condivisione dei dati è ormai prassi anche dei non addetti ai lavori, la protezione dei dispositivi e del loro contenuto è diventata la priorità assoluta sia da parte dei privati che delle aziende e viene intesa genericamente come “Protezione Informatica”. Essa è però un insieme di 3 parametri:
- Confidenzialità
- Disponibilità
- Integrità
Che riguardano sia il sistema informatico inteso come insieme di dispositivi che come raccolta dei dati e di un quarto fattore: l’integrità, specificatamente rivolta ai dati.
La sicurezza informatica: che cosa è e a che cosa serve
Si definisce sicurezza informatica l’insieme delle procedure che un soggetto mette in atto al fine di evitare sia i molteplici attacchi che possono provenire dall’esterno della propria area di influenza, lavorativa o personale, sia la perdita irreparabile delle informazioni a causa di calamità naturali oppure da problemi derivanti da cause accidentali (la cosiddetta Disaster Recovery).
L’IT Security, dunque, non è importante solo per i singoli cittadini, ma lo è anche di più per le imprese.
In entrambi i casi le informazioni (ovvero i dati) che sono contenute all’interno delle memorie di massa di una rete di computer devono essere salvaguardate: nel primo caso dagli attacchi malware, di cracker o da infezioni da virus, nel secondo caso da rotture o perdite delle memorie stesse; per far ciò bisogna che vi siano principalmente degli adeguati prodotti e servizi che consentano la difesa ed il recupero, ma anche che vi siano delle specifiche regole organizzative (sia personali ed aziendali) che unite ai comportamenti individuali possano efficacemente proteggere i sistemi informatici aziendali e personali.
Nell’ambito della sicurezza digitale vi sono in realtà tante attività diverse ed a livelli diversi: esiste infatti la sicurezza in ambito locale a livello di dispositivo ed applicativo, e la sicurezza a livello di rete, (lo scambio dati in rete locale o Internet deve avvenire in massima sicurezza proteggendo la rete stessa affinché gli stessi non possano venire intercettati) ma soprattutto esiste la sicurezza dei dati e la protezione delle informazioni.
Chiaramente, come detto, ogni azienda è a sé. Un piccolo laboratorio artigianale che produce piastrelle avrà oneri ben differenti da banche o realtà cliniche che trattano dati sensibili; e chiaramente in questi secondi casi si parla di vera e propria cybersecurity in sanità o in realtà finanziarie. Per rendere un’idea di quanto questa minaccia sia seria ma spesso ancora ignorata dalle aziende, ecco un grafico di Statista sugli attacchi informatici ogni anno nel mondo:
La tutela dei dati: le strategie aziendali
La prima tutela dei dati è la protezione, ma per far si che essa sia efficace bisogna almeno seguire delle regole basilari; i cybercriminali possono vantare enormi percentuali di successo sugli attacchi effettuati non solo per scarse difese che trovano al loro passaggio, ma anche e soprattutto dagli enormi varchi su cui i cracker possono contare come:
- Difese di sistema disabilitate
- Antivirus obsoleti
- Mancato aggiornamento del Sistema Operativo
Queste sono solo alcune delle cause che consentono l’accesso fraudolento ai sistemi informatici e questo è dovuto principalmente alla mancanza di consapevolezza riguardante la sicurezza di tutto il settore dell’Information Tecnology.
Una delle falle più importanti che causano i danni maggiori coincide con la superficialità dei dipendenti aziendali (pubblici e privati): da indagini effettuate in tutto il mondo è risultato che solo il 12% è pienamente informato delle policy e delle regole di sicurezza IT che l’azienda ha stabilito e che queste violazioni hanno causato quasi il 46% dei danni che sono avvenuti negli ultimi 12 mesi; password divulgate o estremamente deboli, computer lasciati accesi ed accessibili, mancati aggiornamenti sono solo alcune delle spaccature della protezione aziendale che vengono perpetuate da dipendenti mettono a rischio se stessi e l’azienda o l’ente per cui lavorano.
Questo è anche il motivo per cui i sistemi di autenticazione si stanno facendo sempre più sofisticati: dalla semplice password si è ora passati ai sistemi per riconoscere la fisionomia del volto, spesso implementati negli ultimi sistemi operativi; a dispositivi in grado di sbloccare smartphone e pc tramite impronta digitale; o ancora alla doppia autenticazione, usata da molti social network.
Come l’azienda deve tutelare i dati
Il problema della sicurezza è ovviamente diverso se l’azienda è una semplice società che ha pochi dipendenti e usa la rete semplicemente per fare ricerche ed utilizzare la posta elettronica oppure ad esempio se è una multinazionale che opera direttamente su internet oppure una azienda ospedaliera con tutti i dati sanitari dei pazienti. In tutti i casi però vi sono delle basi comuni che sono l’inizio di una valida protezione; qualsiasi sia la dimensione dell’azienda ed in qualunque ramo operi.
In primo luogo bisogna identificare quali sono le parti da proteggere e quali possano essere le minacce; una volta fatto ciò bisogna allestire le adeguate misure di protezione come ad esempio creare una DMZ se si ha un sito con notevoli accessi esterni ed installare un firewall (fisico o software) che controlli gli accessi ed un adeguato antivirus completo di spyware e antimalware che operi su tutta la rete interna.
A questo punto si è pronti per lo studio delle azioni nel caso in cui dovesse succedere qualcosa: in prima battuta la rilevazione dell’evento negativo (ovvero la cosiddetta “detect”); in seconda istanza la response all’evento (ovvero come attivare le difese per una limitazione del danno che l’attacco può provocare) e, per ultima, la capacità di recover, ovvero il ripristino delle condizioni originarie antecedenti l’attacco o l’incidente (“disaster recovery”).
Queste 5 fasi (studio, identificazione, detect, response e recovery) diventano praticamente nulle se non sono accompagnate da una seria e completa informazione del proprio personale che sappia come poter gestire determinate situazioni e che soprattutto sia conscio dei pericoli che possono essere in agguato in ogni momento ma soprattutto, se non esiste un sistema dedicato, di effettuare regolarmente dei backup del sistema che permette una regolarità alla sopravvivenza del sistema in generale e del suo contenuto; con la prevenzione generata dalle 5 fasi sopra citate, dalla corretta attuazione da parte del personale delle policy aziendali e dalla regolarità del salvataggio dei dati, è quindi possibile ridurre ai minimi termini le minaccia di una perdita di dati sia per evento accidentale che a causa dei criminali informatici.
A norma dell’art, 35 del GDPR, l’azienda deve effettuare la valutazione di impatto sulla protezione dei dati (DPIA) a meno che i trattamenti non presentino un rischio elevato per le persone (fisiche e giuridiche) o siano già stati sottoposti a DPIA.
La tutela dei dati aziendali
Una qualsiasi azienda ha sempre una molteplicità di dati da gestire, principalmente quelli dei dipendenti, dei clienti e dei fornitori.
A tal proposito, è ben nota alle aziende l’adozione del GDPR, che recita che il soggetto debba essere informato su:
- Chi è il titolare o responsabile aziendale del trattamento dei dati
- A che cosa servono i dati che sono stati forniti (gestione del rapporto di lavoro, sicurezza aziendale, gestione fiscale ecc.) ovvero la finalità del trattamento dei dati
- In quale modo l’azienda gestisce i suddetti dati (le modalità di trattamento dei dati)
Questi dati sono quelli che devono essere comunicati ad ogni dipendente aziendale.
Per quanto riguarda invece il rapporto B2B sui dati, l’azienda deve fornire a tutti i clienti ed a tutti i fornitori una comunicazione dove vengono esplicate, oltre le informazioni che sono in atto per i dipendenti, anche per quanto tempo i dati vengono conservati, a quali altre strutture eventualmente possono essere comunicati (Banche, studi legali, ecc.), i vari diritti riguardanti gli articoli da 15 a 22 del GDPR (di accesso, di rettifica, diritto all’oblio, portabilità dei dati, di opposizione, limitazione del trattamento, diritto alla non profilazione).
Questa comunicazione deve essere obbligatoriamente accompagnata da un consenso al trattamento dei dati personali regolamento (UE) 2016/679 con relativa firma (e timbro) che deve essere archiviata e custodita.
Se l’azienda non si mette in regola con il GDPR, utilizza in modo fraudolento i dati in suo possesso o non effettua tutte le operazioni atte alla protezione dei dati stessi, va incontro a delle severe sanzioni di natura amministrativa, di minore gravità con importi fino a 10 milioni di euro o fino al 2% del fatturato dell’esercizio precedente nel caso in cui si violino gli artt. 8, 11, da 25 a 39 e da 41 a 43, per il responsabile dei dati, o di maggiore gravità (con sanzioni fino a 20 milioni di euro) o fino al 4% del fatturato mondiale dell’esercizio precedente se si violano le norme del GDPR riguardante i principi di base del trattamento, (articoli da 5 a 9), i diritti degli interessati ( articoli da 12 a 22), l’aver trasferito i dati personali a un destinatario diverso anche se esplicitamente negato (articoli da 44 a 49) e sulla eventuale diffusione di tali dati.
Alle sanzioni amministrative si possono aggiungere anche quelle penali in caso di inosservanza degli articoli 167, 167 bis e 167 ter riguardanti il trattamento illecito dei dati, l’illecita diffusione dei dati oggetto di trattamento e l’acquisizione fraudolenta di dati personali, l’articolo 168 in caso di false dichiarazioni al Garante e 170 riguardante l’inosservanza dei provvedimenti del Garante in caso di precedenti sanzioni o avvisi.
Le multe e il penale non sono certo un vanto per nessuno; ma soprattutto non lo è una macchia sulla reputazione aziendale di questo tipo; ed ecco perché la spesa in cybersecurity delle aziende cresce ogni anno, come testimonia questo grafico di Statista:
Quali sono le certificazioni di sicurezza informatica occorrenti
Una azienda per poter dimostrare di ottemperare a tutti i criteri massimali di sicurezza informatica, dovrebbe obbligatoriamente possedere delle certificazioni che attestino il grado di sicurezza dei sistemi e del personale.
Il proliferare di casi di ransomware e il GDPR da poco entrato in vigore, unita ad una maggiore consapevolezza, hanno fatto capire alle aziende l’importanza delle certificazioni nel lavoro per la sicurezza dei dati informatici sia per quanto riguarda il lato interno che quello delle strutture o dei consulenti che operano in tale campo; un’azienda dovrebbe avere al suo interno una figura che abbia competenze certificate che sia responsabile di tutte le azioni necessarie alla sicurezza dei sistemi o rivolgersi ad aziende che abbiano risorse che possano dimostrare tali capacità.
Le certificazioni specifiche riguardante la sicurezza dei dati riconosciute anche al livello internazionale sono una decina, suddivise per aree di intervento; per avere una ottima visione generale di tutto il processo della sicurezza c’è Lead auditor ISO/IEC 27001, che è la certificazione basilare in materia di capacità sull’organizzazione della sicurezza delle informazioni; oppure la CISSP (Certified Information Systems Security Professional), che dimostra la conoscenza ad ampio campo dei principi fondamentali di progettazione e gestione dei sistemi di sicurezza informatica.
La Cisco, leader nel settore dell’IT, nel campo della sicurezza ha due certificazioni, la CCNA Security (Cisco Certified Network Associate) per le reti e la CCNP (Cisco Certified Network Professional) per quanto riguarda l’infrastruttura e le reti complesse.
La CCSPP (Certified Security Systems Professional Professional) è invece la certificazione più importante in materia di sicurezza informatica, ed è uno standard di riferimento per le aziende del settore; questa certificazione infatti consente di avere tutte le conoscenze e competenze per la crescita delle politiche di sicurezza di tutta la struttura IT, di conoscere le norme e le procedure che consentono l’esecuzione della procedura all’interno dell’azienda o delle singole sedi aziendali. Essa comprende tutte le principali voci come il Security & Risk Management, Security Engineering e Asset Security Identity and Access Management perl’infrastruttura; Security Assessment & Testing, Communications & Network Security e Security Operations per quanto riguarda l’operatività dell’infrastruttura aziendale; Software Development Security per la sicurezza del lato software (sia di sviluppo che di uso).
Per ultima, la CCSP (Certified Cloud Systems Professional) che attesta la padronanza approfondita del funzionamento delle applicazioni cloud, una preparazione elevata sull’uso delle varie piattaforme ma soprattutto la capacità di salvaguardare tutta l’infrastruttura dati. Quest’ultimo punto è fondamentale sia se l’azienda usufruisce dei servizi cloud, sia se l’azienda offre o gestisce servizi cloud in quanto i dati vengono gestiti esternamente (sul cloud) e devono essere protetti sia da crash che da intrusioni con il più alto grado di sicurezza possibile.