Le policy di sicurezza informatica nel nuovo Regolamento Europeo sulla privacy

La sicurezza informatica è un elemento sempre più rilevante nell’ambito di aziende pubbliche e private, soprattutto in seguito alla maggior interconnessione dei sistemi ed il considerevole aumento dei servizi offerti attraverso la rete Internet.

Infatti, il proliferare e l’aumento del numero e della varietà dei dispositivi connessi alla rete, fa si che sia sempre più difficile avere una puntuale gestione della sicurezza  informatica anche a causa di un elevato flusso di dati continuamente crescente e spesso ingestibile sotto il profilo della protezione delle risorse e delle informazioni aziendali.

L’attuale generazione di cyber spionaggio – il cosiddetto hacker – rintraccia dati, informazioni e file cercando direttamente falle nei sistemi di sicurezza delle infrastrutture IT – ivi comprese le piattaforme Web (siti istituzionali, cloud, social network, ecc,) – mentre altri cyber-criminali si specializzano nella rivendita dei contatti e nei furti di identità.

Vi è poi il noto fenomeno del “ramsonware” dove intere reti di computer e periferiche di memorizzazione vengono prese letteralmente in ostaggio con perdita di dati in caso del mancato pagamento di un riscatto.

Quindi, i titolari e i responsabili del trattamento nonché gli amministratori di sistema, sotto la cui responsabilità ricadono abitualmente le problematiche di sicurezza, si trovano anche in virtù dei dettati della normativa privacy alla protezione delle informazioni custodite all’interno dei sistemi e a verificare di conseguenza il corretto utilizzo degli apparati in uso agli utenti finali.

Si tratta di quelle misure adeguate definite nell’art. 32 del Regolamento U.E. 27 aprile 2016 n.679 anche se non meglio precisate sul piano tecnico.

In questo panorama, pur se non espressamente previste, già da tempo le organizzazioni hanno adottato delle normative interne –  comunemente denominate policy di sicurezza informatica  o security policy – che indicano le misure organizzative e quali comportamenti debbano essere tenuti da dipendenti e collaboratori per contrastare i rischi informatici.

E’ ovvio, infatti, che l’atteggiamento imprudente nell’uso di internet, di workstation e di smartphone aziendali può mettere a serio rischio tutta la struttura, con blocchi di produttività e, ora più che mai, di data breach ovverosia violazione di dati con tutti gli adempimenti che ne conseguono (art. 33 del medesimo sopraindicato Regolamento U.E.)

Non basta infatti studiare solo un piano di difesa informatica se poi un operatore disattende le procedure di sicurezza accettando volontariamente di eseguire un allegato di posta elettronica o aprire un improbabile file in quanto nessuno lo ha appositamente istruito!!!

Ma la sicurezza informatica scaturisce prima di tutto da una corretta percezione dei dipendenti e, in generale, da tutti coloro che utilizzano i servizi tecnologici messi a disposizione dall’azienda; si parla quindi di una corretta formazione che deve essere preliminare all’uso dei dispositivi informatici stessi.

Ogni policy va infatti esposta, facendo comprendere agli interessati che sono parte attiva del processo di messa in sicurezza dei dati aziendali. Occorre spiegare il perché di ogni divieto e il perché sul PC o sullo smartphone aziendale non è possibile installare software e applicazioni non certificate (e men che meno di dubbia o illecita provenienza) ed anche perché è rischioso utilizzare piattaforme social e altre applicazioni online poco sicure con i laptop destinati all’uso aziendale.

Chi definisce le policy interne deve anche farsi carico di formare e chiarire cosa sono ad esempio le attività di phishing (frode informatica finalizzata all’ottenimento di dati personali sensibili  quali password, numero di carta di credito ecc. e perpetrata attraverso l’invio di un messaggio di posta elettronica a nome di istituti di credito, finanziarie, agenzie assicurative, in cui si invita l’utente, generalmente al fine di derubarlo, a comunicare tali informazioni riservate), cosa possono provocare e come evitarle. D’altra parte, l’azienda dovrebbe limitare le possibilità di “errore” magari filtrando anche le attività Web e i siti visitabili con azioni di content filtering (operazione di analisi e filtraggio di ogni parola chiave caricata nel browser indicata come “sconveniente” e quindi interdetta dai risultati dal motore di ricerca).

La sensibilizzazione deve ottenere un effetto formativo: ad esempio dovrebbe essere compreso da tutti che un qualsiasi dispositivo informatico che appartenga o che transiti in azienda dovrebbe essere validamente protetto e che, su tutti i PC e, comunque qualunque dispositivo che si colleghi alla rete aziendale, dovrebbe aver installato un antivirus e un software anti-malware professionale aggiornati quotidianamente.

Molta attenzione, ad esempio, dovrebbe essere riposta nelle cautele volte a:

  • mantenere segrete le proprie credenziali di accesso (password e/o pin);
  • non lasciare libero accesso ai propri dispositivi in caso di assenza momentanea dalla propria postazione lavorativa;
  • controllare l’accesso ad internet ed ai servizi di posta elettronica;
  • verificare la presenza di eventuali tracce malevoli prima di utilizzare supporti rimovibili, quali pendrive e memory card:;
  • curare l’osservanza di backup periodici;
  • evitare per l’uso di dispositivi aziendali al di fuori dell’ambito lavorativo.
  • ecc.

Tuttavia, le policy devono anche riflettere le realtà aziendali e vanno quindi create e modulate sulla reale contingenze dell’azienda evitando anche il segno opposto cioè quello di ingessare la stessa azienda con pratiche o procedure inutili ed ininfluenti sul piano della sicurezza informatica.

Considerazioni finali.

Nel panorama italiano non esistono indicazioni formali da seguire nella compilazione delle policy di sicurezza informatica per cui il tutto viene lasciato all’inventiva ed alla capacità di titolari e responsabili che debbono prima esaminare il contesto organizzativo interno e poi produrre adeguate norme di comportamento, tenendo anche conto dell’evoluzione tecnologica  dei sistemi e quindi della necessità di dover adeguare nel tempo le stesse policy.

E’ importante nella creazione delle stesse regole effettuare una preliminare analisi del rischio in modo da bilanciare la formulazione delle stesse direttive.

Un modello corretto di formulazione delle policy connesso ad una piena comprensione delle stesse regole potrebbe consentire un ulteriore innalzamento delle difese da attacchi cibernetici e permettere all’aziende di operare con maggiore serenità.

Sarebbe comunque auspicabile, a parere di chi scrive, almeno sollecitare le aziende affinchè vi siano criteri minimi nell’adozione di policy giusto per mantenere un livello accettabile di sicurezza informatica quantomeno a livello interno.

BIBLIOGRAFIA

REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016  relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)

http://194.242.234.211/documents/10160/0/Regolamento+UE+2016+679.+Con+riferimenti+ai+considerando

A cura di: Emilio Souberan

Profilo Autore

D.P.O. - Docente e Formatore di Informatica, Cybersecurity e Data Protection - Innovation Manager (MISE) - IT Security & Privacy Auditor presso numerose aziende ed organizzazioni.

Condividi sui Social Network:

Articoli simili