La sicurezza informatica tra GDPR e ISO/IEC 27001
Cybersecurity: consigli operativi su una corretta gestione delle informazioni e dei dati personali trattati in azienda.
Viviamo un’era di trasformazione digitale e di innovazione perenne. Tra IoT, Big Data, e cloud computing attualmente la tecnologia permette cose inimmaginabili anche solo cinque anni fa. Si parla ormai di cultura digitale e di intelligenza artificiale; non di semplice elettronica, o programmazione web. Pensiamo agli smartphone e tablet che utilizziamo quotidianamente, o ai programmi di cui ci serviamo per svolgere le nostre incombenze lavorative: attività che richiedevano ore e ore di lavoro, oggi, possono essere svolte semplicemente con un click. Tutti questi dispositivi acquisiscono e trasmettono informazioni, per non parlare dei dati sensibili dei vari utenti. Garantire la sicurezza delle reti aziendali è diventato, pertanto, un problema comune di ogni dipartimento di informatica.
Come possiamo garantire la sicurezza dei sistemi informatici delle nostre aziende dagli attacchi informatici? Come possiamo garantire la business continuity dalle minacce informatiche? Nelle prossime righe forniremo alcuni spunti per una corretta gestione del rischio informatico durante la quotidianità lavorativa, e vedremo cosa ci impone la vigente normativa in tema di data protection. Ecco di cosa parliamo:
Sicurezza informatica: definizione
Partiamo dal principio. Sicurezza informatica (information security) significa sicurezza delle informazioni acquisite mediante reti informatiche (network security). Le informazioni possono poi essere classificate secondo varie categorie, e in una di queste, rientrano i dati personali (art. 4 GDPR, n. 1). Questo è il campo della sicurezza informatica: il connubio tra informatica e sicurezza finalizzato a garantire la protezione del bagaglio informativo di un determinato soggetto, che sia una persona fisica, o le imprese pubbliche.
Nello specifico, si tratta del complesso di misure atte a proteggere i sistemi informatici (insieme di dispositivi elettronici comunicanti fra di loro). I rimedi adottati potranno poi essere i più disparati, dai software di protezione (antivirus), alla crittografia: tutto dipende dalle specifiche esigenze del caso concreto.
All’interno di ogni impresa vengono acquisite centinaia di informazioni ogni giorno e questo insieme di conoscenze assume un valore economico. Si tratta non solo del know-how aziendale, ma anche di una semplice lista clienti che nelle mani sbagliate potrebbe causare un ingente danno economico. Questo è il primo problema che ciascun operatore economico si pone: tutelare i propri asset, tra i quali tutte le informazioni acquisite, e possedute.
Un utile supporto è dato dallo standard ISO/IEC 27001 finalizzato alla realizzazione di un sistema di gestione in materia di sicurezza delle informazioni. Si tratta di un insieme di best practice riconosciute a livello internazionale per tutelare qualsiasi informazioni trattata in azienda, non solo attraverso le reti informatiche, ma anche a livello documentale. L’obbiettivo è garantire il monitoraggio di tutto il flusso di informazioni, in entrata ed uscita, con specifiche verifiche ed ispezioni.
Le certificazioni ISO non sono imposte dalla vigente normativa italiana, o internazionale, ma molto spesso sono richieste da propri partner internazionali che necessitano di regole, e prassi, comunemente accettate da tutti gli operatori economici globali.
Tuttavia, la realizzazione di un tale sistema di gestione richiede significativi investimenti, non solo in campo informatico, ed è concretamente attuabile solo in realtà già ben strutturate, ed organizzate, con infrastrutture idonee a rispettare i requisiti imposti.
Analizziamo, ora, gli obblighi imposti a qualsiasi Titolare del trattamento dei dati personali (art. 4, n. 7 GDPR). L’art. 32 GDPR, rubricato sicurezza del trattamento, impone l’adozione di “[…] misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio […]”. Anche in questo caso la sicurezza informatica riveste un ruolo determinante per garantire un’efficace gestione di tutti i rischi che potrebbero compromettere la sicurezza dei dati trattati. Precisiamo, però, che non tutte le informazioni sono dati personali, ma esclusivamente quelle riguardanti “[…] una persona fisica identificata o identificabile («interessato») […]” (art. 4, n. 1, GDPR).
Pertanto, se vengono trattati dati personali sarà necessario garantire adeguati sistemi di sicurezza, ed i sistemi potranno essere adeguati esclusivamente se viene posta in essere un’attenta analisi di qualsiasi rischio presente nel contesto di riferimento.
Sicurezza informatica: quali sono le maggiori minacce
Abbiamo visto cosa si debba intendere per sicurezza informatica e quali siano le sue applicazioni in materia di privacy e protezione dei dati personali. Ma quali sono le minacce che incombono sui nostri computer?
Gli attacchi hacker, i malware, ed il cybercrime incombono costantemente sui nostri sistemi operativi. Non si tratta più di semplici virus come dieci anni fa. Le tecniche sono diventate sempre più sofisticate, ma anche più subdole. Non sono più di comuni pirati informatici. È di poche settimane fa la notizia del ransomware che ha causato una ingente perdita di dati dal server di posta elettronica GEOX.
Tuttavia, i rischi e le vulnerabilità sono connessi, anche, all’errore umano: i dipendenti non sono esperti in sicurezza informatica e necessitano, quantomeno, di una formazione generale sul tema.
Sicuramente i ransomware costituiscono uno dei principali strumenti utilizzati dai criminali informatici attualmente. L’escamotage è abbastanza semplice: un virus blocca il nostro sistema informatico chiedendoci un riscatto (ransom) per consentire nuovamente l’utilizzo del dispositivo. Il veicolo per l’infezione può essere il più disparato, anche un semplice allegato ad un’e-mail.
Il phishing è un’altra delle problematiche più frequenti. In questo caso i criminali informatici si fingono un soggetto di cui conosciamo l’identità per carpirci informazioni. Solitamente vengono chiesti i nostri riferimenti bancari o il codice d’accesso ad uno specifico programma. Anche in questo caso la comunicazione avviene soprattutto con l’utilizzo di un’e-mail, o anche della posta elettronica certificata.
Altro virus diffusissimo è il trojan, ovvero un software che permette di spiare qualsiasi attività fatta attraverso il PC dell’utente che lo ha installato. L’obiettivo, anche in questo caso, è riuscire a monetizzare le varie informazioni acquisite fraudolentemente, o danneggiare il dispositivo dove è stato installato. Il virus potrebbe essere installato anche su di un supporto di memoria portatile, come le comuni chiavette.
Anche i social network, o i siti internet, possono essere utilizzati come veicolo dei virus di cui abbiamo parlato: in questo caso con l’inserimento di link, come specchietto per le allodole, si viene veicolati nella trappola predisposta dai cyber criminali. Attenzione, dunque, anche alla navigazione Internet e a qualsiasi forma di comunicazione non attendibile.
Come tutelare la sicurezza informatica
Passiamo all’ambito tecnico. Come possiamo proteggere, allora, la nostra rete aziendale e le piattaforme che utilizziamo ogni giorno? Forniamo qualche spunto operativo.
Formazione e prevenzione. Un dipendente consapevole dei rischi informatici è più utile di qualsiasi costoso antivirus. Consigliamo, pertanto, di fornire ai propri dipendenti le nozioni base di sicurezza informatica per garantire un livello comune di conoscenze a tutto il personale. In questo caso, sarò lo stesso dipendente il presidio alla sicurezza delle informazioni aziendali: evitando di aprire allegati sospetti viene scongiurata, a monte, la possibilità di infezioni veicolate attraverso la posta elettronica permettendo di proteggere i dati efficacemente con costi sostenibili da qualsiasi PMI.
Molto utile sarò l’adozione di un regolamento aziendale che disciplini l’utilizzo dei dispositivi informatici. Non è necessario un elaborato di centinaia di pagine che nessun dipendente leggerà mai: poche semplici regole facilmente comprensibili eviteranno alla base i problemi di sicurezza informatica.
Avere un programma di backup periodico. Assicurando un salvataggio costante e giornaliero di qualsiasi informazione aziendale si evitano gli spiacevoli inconvenienti causati dai ransonware. Se il riscatto riguarda dati che abbiamo già salvato eviteremo dal principio queste problematiche. Avere delle procedure di continuità aziendale in caso di eventi avversi (disaster recovery) è uno dei vari adempimenti richiesti dallo standard ISO 27001.
Infine, se si hanno sufficienti risorse da dedicare alla sicurezza informatica potrà essere utile effettuare un penetration test (obbligatorio in caso di ISO 270001), evidenziando in questo modo le criticità aziendali e le aree di miglioramento per il futuro.