Con la diffusione delle truffe informatiche e dei casi di violazione dei dati, sempre più aziende si pongono il quesito della sicurezza informatica interna alla loro azienda.
Troppo spesso però, quando si approccia l’argomento, la prima domanda che ci si fa non è sulla protezione dei dati interni, ma sullo stato generale di sicurezza della rete informatica.
Tale approccio non è più attuale e probabilmente per tutte le organizzazioni, sia private che pubbliche, è giunta l’ora di mettere sullo stesso piano la protezione della rete informatica e la protezione dei dati.
Al momento, infatti, gran parte degli sforzi e del budget dedicato alla “sicurezza informatica” si concentrano sulla protezione della rete informatica aziendale e solo in seconda battuta sulla protezione dei dati che in essa sono contenuti.
Però i dati fanno gola, ed essendo un prodotto facilmente vendibile seguono le leggi di domanda-offerta che dominano tutto il mercato e l’aumento di interesse nel mercato nero per i dati di valore ne ha provocato un notevole aumento dei prezzi.
Per questo motivo, per le aziende, proteggere i propri dati piuttosto che solo la rete informatica dovrebbe diventare di primaria importanza.
La violazione dei dati, comunemente detta “Data Breach” e la violazione della rete informatica sono due cose diverse.
Storicamente è evidente che i criminali informatici, conosciuti con il nome “Hacker”, siano spesso in vantaggio strategico rispetto a chi si occupa di sicurezza informatica e quindi si può desumere tranquillamente che nessuna organizzazione, per quanto strutturata e dotata di risorse economiche e umane adeguate, sia del tutto immune a questo rischio.
E se i “Data Breach” fanno sempre notizia, è perché le organizzazioni coinvolte non sono riuscite a mantenere al sicuro i dati dei propri clienti.
Malgrado questo però, le organizzazioni continuano a concentrare i propri sforzi sul rafforzamento della sicurezza di rete e solo in seconda battuta alla sicurezza del dato in sé e per sé.
I dati suggeriscono che tale approccio non sta portando i risultati sperati. E allora perché si continua a insistere su questa linea?
Da un punto di vista pratico, l’approccio attuale che si focalizza sulla protezione di rete non garantisce uno standard di sicurezza accettabile per i dati e le informazioni. Sarebbe invece opportuno per le organizzazioni valutare una separazione del concetto di sicurezza dei dati da quello della rete informatica in quanto tale, attraverso un mascheramento crittografato (crittografia = scrittura convenzionale segreta, decifrabile solo da chi sia a conoscenza del codice) che ne protegga le informazioni; ve la ricordate la macchina E.N.I.G.M.A dei tedeschi durante la Seconda guerra mondiale? Il senso è lo stesso.
Questo approccio garantisce alle aziende, che nel caso in cui un cyber criminale, un hacker, riesca ad accedere all’interno di una rete informatica accedendo ai dati, non possa comunque sfruttarli perché resi totalmente illeggibili e indecifrabili. Così l’integrità, l’affidabilità e la confidenzialità dei dati rimangono intatte, senza influenzare negativamente le prestazioni dell’infrastruttura informatica.
Con l’entrata in vigore del GDPR nel 2018, questo bel regolamento ci sta insegnando l’importanza di proteggere i dati che ci vengono affidati dai clienti, sia per non incorrere nella violazione dei diritti di libertà dei cittadini, comportando in loro rischi di discriminazione o danni morali, ma allo stesso tempo ci aiuta ad evitare di rovinare la reputazione dell’azienda, rischiare ricatti da parte dei criminali informatici o, banalmente, l’applicazione di sanzioni pecuniarie che, contrariamente a quanto verrebbe da pensare, non vengono mai applicate sulla base di violazioni della rete aziendale bensì esclusivamente in caso di violazione dei dati. Infatti, se un hacker riuscisse a violare il perimetro difensivo aziendale, senza però sottrarre i dati conservati al suo interno, non sarebbe da considerarsi una violazione e quindi sanzionabile.
Il GDPR ha come obbiettivo la sicurezza dei dati, messa in pratica in funzione dei singoli casi e dal tipo specifico di attività svolta dall’azienda. Mettere al centro la protezione dei propri dati, probabilmente, rappresenterà un tipo di protezione che non andrà mai fuori moda, anche nel caso in cui vengano introdotte ulteriori normative.
Le aziende hanno il dovere di proteggere i dati dei propri utenti dalle minacce esterne, non solo per il timore di ricevere sanzioni, ma soprattutto per semplice integrità professionale.
Quindi cosa bisogna fare praticamente per tenere al sicuro i propri dati?
È fondamentale invertire la mentalità di approccio alla sicurezza delle aziende, così da mettere in prima fila la protezione dei dati, orientando tutte le decisioni lato “cyber security” e i relativi investimenti in tale direzione, sapendo che di conseguenza anche la protezione della rete aziendale ne beneficerà ma, soprattutto, gli investimenti necessari saranno correttamente finalizzati alla protezione del bene principale che sono i dati aziendali e non la rete “in sé stessa”.
Per informazioni potete contattarci:
Telefono: +39 0422 22813
email: segreteria@proattiva.eu
Seguiteci sui social network:
Facebook: https://www.facebook.com/proattiva.privacy.gdpr.dpo
Linkedin: https://www.linkedin.com/company/proattiva-privacy-gdpr-dpo-231-81-iso