La crescente trasformazione digitale accompagnata dall’evoluzione normativa hanno posto al centro dell’attenzione il concetto di data protection e cyber security
Cyber security: un tema di attualità che impegna analisti, imprenditori, esperti e specialisti già da diversi anni. Tuttavia solo da gennaio 2013, in Italia, si è giunti a una sua determinazione. Il DPR 24 gennaio 2013 ne offre una definizione per così dire ufficiale quale “condizione per la quale lo spazio cibernetico risulti protetto grazie all’adozione di idonee misure di sicurezza fisica, logica e procedurale rispetto a eventi, di natura volontaria o accidentale, consistenti nell’acquisizione e nel trasferimento indebiti di dati, nella loro modifica o distruzione illegittima, ovvero nel danneggiamento, distruzione o blocco del regolare funzionamento delle reti e dei sistemi informativi o dei loro elementi costitutivi”.
[spacer color=”8BC234″ icon=”fa-info” style=”1″]
Data Manager mette a disposizione un White Paper a download gratuito sul GDPR.
Un documento completo per affrontare in maniera esaustiva tutto ciò che c’è da sapere per essere in regola
Clicca qui per scaricarlo gratuitamente
[spacer color=”8BC234″ icon=”fa-info” style=”1″]
MA COSA SI INTENDE PER SPAZIO CIBERNETICO?
Nello stesso decreto art. 2 lettera h) si legge che esso comprende “l’insieme delle infrastrutture informatiche interconnesse, comprensivo di hardware, software, dati e utenti, nonché delle relazioni logiche, comunque stabilite, tra di essi”. Trasformazione digitale insieme all’evoluzione normativa, non ultima quella del GDPR, hanno posto al centro dell’attenzione il concetto di rischio informatico connesso alla sicurezza delle informazioni e, di conseguenza, alle dinamiche aziendali nel loro complesso. I fattori che intervengono nella definizione di un perimetro di sicurezza per informazioni e know-how aziendali sono sempre più numerosi e richiedono una strategia che includa risorse tecniche ma anche procedure e comportamenti adeguati. Il cloud facilita l’accesso ai dati “anywhere and everywhere”. I dispositivi mobili consentono di operare in modalità agile anche in ambito B2B. Tutto questo stimola una maggiore consapevolezza da parte delle aziende rispetto al cyber risk. Fondamentale, la prevenzione di eventuali data breach, anche all’interno di organizzazioni meno strutturate che, per cattiva gestione del rischio informatico, subirebbero una perdita di business quantificabile non solo in termini economici immediati, ma anche in termini di danno di immagine. A livello normativo, si occupano di sicurezza informatica a livello europeo la direttiva NIS e il regolamento sulla data protection (GDPR). In Italia, ricordiamo il quadro strategico per la sicurezza dello spazio cibernetico e il piano nazionale per la protezione cibernetica e la sicurezza informatica. Tutte queste misure concordano sulla necessità di agire in modo strategico e in ottica di prevenzione a lungo termine.
GESTIONE DEL RISCHIO INFORMATICO
Il rischio informatico non può mai dirsi completamente azzerato. Per questo, applicate corrette metodologie di risk management, è utile pensare alla gestione del cosiddetto rischio “residuo”. La cyber insurance, attraverso polizze adeguate, consente di proteggere il patrimonio aziendale dalle conseguenze di un attacco informatico, ma anche da possibili danni causati da fattori umani. Le tre categorie di rischio che un simile prodotto deve considerare possono essere così riassunte: 1) danni materiali diretti. Per esempio, la distruzione o il furto di materiale hardware, compresi PC, smartphone, server o fibra ottica; 2) danni materiali indiretti. Per esempio, un corto circuito elettrico che a sua volta provoca un danno alle componenti hardware di un macchinario impedendone il corretto funzionamento. 3) danni immateriali diretti e indiretti, che colpiscono l’insieme logico delle informazioni. L’attacco da parte di un malware o la cancellazione involontaria (o meno) da parte di un dipendente di un database, compromettono l’integrità del patrimonio informativo al pari di un componente hardware danneggiato. Quanto più divengono numerosi e de-localizzabili i punti di accesso alle informazioni aziendali, tanto più sofisticata deve essere la strategia in tema di data protection. Strategia che dovrà necessariamente avere come obiettivo anche quello della compliance normativa come richiesto dal regolamento GDPR che, lo ricordiamo, sarà applicabile da maggio.
Lorenzo Colzi consultant Colin & Partners – www.consulentelegaleinformatico.it
