Il tema della sicurezza informatica e degli strumenti di data loss prevention diviene, giorno dopo giorno, sempre più dibattuto in seguito ai ripetuti casi di data breach di rilevante impatto (si considerano tali quelli che coinvolgono i dati di oltre 10 milioni di individui) che si verificano, in ogni parte del mondo, con un trend in forte e costante crescita.
La consapevolezza di questa realtà e della sua pericolosità è uno dei motivi che ha portato il legislatore europeo ad introdurre, in seno al GDPR, specifici obblighi per l’adozione, da parte dei titolari del trattamento, di adeguati strumenti di data loss prevention.
L’art. 32 del GPDR dispone, infatti, che il titolare del trattamento (e, con lui, anche il responsabile del trattamento), adotti tutte le misure tecniche ed organizzative utili a garantire un livello di sicurezza “adeguato al rischio”.
Ma qual è questo livello di rischio adeguato?
Se dovessimo interpretare l’espressione nel suo “miglior significato”, potremmo giungere alla conclusione (ideale) che ogni azienda debba dotarsi dei più moderni sistemi di data loss prevention offerti sul mercato, che – generalizzando e semplificando di molto l’aspetto tecnico – possono individuarsi negli strumenti:
- di tagging del dato;
- di encryption dei files (compresi i dati trasferiti nei cloud);
- di autenticazione avanzata (cioè non basata sulla semplice combinazione di ID e PW) degli accessi.
Questi strumenti di data loss prevention – magari tra loro sapientemente mixati e dosati, con l’aggiunta di un sistema di monitoraggio continuo dei dati per ottenere un sistema di rilevamento in tempo reale di qualsiasi violazione – sono soluzioni tecnicamente possibili ma dai costi elevati e certamente non alla portata di tutti gli operatori.
Proprio per questo motivo, l’art. 32 del GDPR fa una preziosa ed importante premessa metodologica, precisando che le misure tecniche ed organizzative adeguate vanno adottate “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche”.
Lo scopo è, evidentemente, quello di permettere un contenimento dei costi per tutte quelle aziende di dimensioni medio-piccole (PMI) che non sarebbero in grado di sostenere i rilevanti investimenti necessari per dotarsi dei più efficaci, moderni ed integrati strumenti di data loss prevention.
Considerato, però, che anche la migliore soluzione tecnica di data loss prevention non è – allo stato – in grado di garantire l’inviolabilità al 100% dei sistemi, ha davvero senso imporre a realtà aziendali di modeste dimensioni e con budget limitati l’implementazione parziale delle proprie misure tecniche, senza alcuna certezza di ottenere un effettivo e concreto miglioramento della protezione?
Credo che, in questi casi, il rispetto delle prescrizioni dettate dall’art. 32 del GDPR, debba passare, in primo luogo, non tanto da forti investimenti sugli aspetti tecnici quanto da un attento controllo degli aspetti organizzativi aziendali (non a caso, infatti, l’art. 32 del GDPR fa riferimento sia alle misure tecniche sia alle misure organizzative), attraverso:
- una seria, efficace e costante attività di formazione di tutto il personale in merito alle best practices da adottare;
- una efficace revisione dei processi aziendali;
- il loro successivo costante monitoraggio.
In tal modo, si può lasciare l’implementazione tecnologica ai soli profili realmente indispensabili, evitando, così, che la spesa per le dotazioni tecnologiche finisca per divenire un mero elemento di aumento dei costi produttivi, fine a se stesso e addirittura controproducente per la stessa concorrenzialità delle aziende sul mercato.
Cosa ne pensate?
Potete lasciare le vostre opinioni nel form qui di seguito o un commento pubblico nell’apposita sezione “lascia un commento!” che trovate in fondo alla pagina di questo post, selezionandolo dalla sezione “articoli recenti” nella colonna di destra della home page.