Il Regolamento UE 2016/679 (GDPR) richiede alle imprese uno sforzo significativo per identificare e mettere in atto le misure, tecniche ed organizzative, più idonee per prevenire le violazioni dei dati trattati e mitigare al massimo il rischio di data breach a carico dei sistemi ICT aziendali.
E’ importante comprendere che, in relazione al profilo della sicurezza, il GDPR non prevede più, come avveniva in passato, misure minime di sicurezza ma si basa sul principio di accountability del Titolare del trattamento (e del Responsabile) che deve, pertanto, individuare le misure realmente adeguate in funzione delle specifiche caratteristiche della propria organizzazione.
L’impegno di prevenzione richiesto al Titolare del trattamento dal GDPR per fronteggiare possibili casi di data breach è, oggi, ancora più stringente in considerazione della crescita esponenziale dei fenomeni di cyber crime, che mettono a rischio sia il business delle aziende sia i diritti e le libertà fondamentali degli individui.
L’esperienza di questi ultimi anni insegna che ci vogliono pochi minuti per compromettere un sistema e pochi giorni per copiare (indisturbati) i contenuti di interi database aziendali, con costi molto bassi per chi sferra l’attacco cyber (di solito tramite tecniche di phishing o malware di ultima generazione) e, invece, una spesa molto elevata per chi deve difendersi.
Secondo le statistiche di Verizon, i settori attualmente più soggetti a data breach sono quelli:
- bancari;
- assicurativi;
- GDO/retail;
- health.
Benché, allo stato, la “lotta” tra chi cerca di violare i sistemi informatici di un’azienda e chi cerca di difenderli sia impari, è, comunque, possibile individuare ed adottare alcune misure preventive ritenute generalmente efficaci nel limitare i rischi di data breach
1. Curare il “fattore umano”
Gli esperti del settore sono unanimi nell’affermare che le vulnerabilità maggiori dei sistemi informatici aziendali sono legate al fattore umano, che rappresenta il principale elemento di propagazione dei malware in ambito aziendale (attraverso usi impropri e/o cattive abitudini e/o scarsa conoscenza delle regole di prudenza, etc.).
Riveste, quindi, un ruolo assolutamente primario la formazione del personale su queste tematiche, così come, d’altra parte, impone anche l’art. 32, comma 4, GDPR.
Sarà, dunque, importante:
- redigere policy accurate sull’uso degli strumenti ICT (vedi anche il mio articolo “contenuti indispensabili della policy aziendale per l’utilizzo degli strumenti ICT”);
- curare la formazione periodica (quindi, non solo in fase di assunzione, come spesso accade) per tutto il personale che svolge, a qualsiasi titolo, attività di trattamento dei dati, coinvolgendoli in corsi specificamente dedicati alla sicurezza (sessioni formative ad hoc; attività di e-learning; predisposizione di pop up su specifiche procedure; esercitazioni di phishing, etc.);
- monitorare l’effettiva adozione da parte del personale delle regole stabilite a tutela degli strumenti ICT;
- curare il costante aggiornamento di regole e procedure, diffondendone la conoscenza all’interno dell’azienda nel modo più ampio possibile.
2. Monitorare i log-in
Le vulnerabilità possono derivare anche dall’utilizzo di molte piattaforme tra loro diverse, con soluzioni di monitoraggio insufficienti per l’analisi dei log rispetto al tempo a disposizione.
Questo fattore di vulnerabilità risulta evidente dal dato statistico: non è infrequente, infatti, che trascorrano anche 250/260 giorni prima che un’azienda scopra una violazione dei propri sistemi.
La gestione dei log è l’elemento chiave per tutte le aziende – costituite da tanti server, applicazioni e un’infinità di strumenti e programmi – per comprendere tempestivamente cosa è successo o cosa sta succedendo in tempo reale.
Un attacco informatico colpisce, infatti, tanti punti della rete aziendale e chi cerca di violare i sistemi lascia traccia dei propri movimenti.
L’attività di monitoraggio dei log produce, quindi, informazioni utili per l’azienda sotto molteplici profili perché può servire a:
- determinare se un problema è da considerare effettivamente una vulnerabilità;
- migliorare l’analisi, la riproduzione e la risoluzione di problemi;
- aiutare a testare nuove caratteristiche dei sistemi in una fase di sviluppo.
Un serio sistema di log management deve essere in grado di tracciare gli accessi degli operatori ai dispositivi ed alle applicazioni che gestiscono e di conservare i dati in maniera sicura per un periodo non inferiore ai sei mesi, affinché possa essere consultato efficacemente dall’azienda e anche dalle autorità in caso di indagini.
3. Monitorare gli endpoint
Un aspetto altrettanto fondamentale, ma spesso poco tenuto in considerazione dalle imprese, è il monitoraggio degli endpoint tramite uno specifico programma, in aggiunta, come detto, ad un efficace sistema di conservazione dei dati di log-in.
Quasi tutti i dipendenti utilizzano un numero sempre maggiore di dispositivi di proprietà sia per attività personali che professionali e i team di sicurezza hanno spesso visibilità limitata su questi dispositivi che, di norma, non hanno le protezioni di sicurezza fondamentali: occorre considerare che, crescendo la “superficie di attacco”, maggiore è il rischio di compromissione dei dati aziendali.
I prodotti di sicurezza endpoint spesso facilitano anche le operazioni di gestione e di reporting: quest’ultima è importante soprattutto in ottica GDPR, perché permette al Titolare del trattamento di assolvere l’onere di dimostrazione delle misure adottate.
4. Imparare dagli errori
Un altro errore comune è investire quasi tutto il budget aziendale per la sicurezza sulla sola fase di prevenzione, dedicando poche o nulle risorse al monitoraggio ed alle azioni di risposta in seguito ad un data breach.
E’, invece, importante sviluppare un sistema di sicurezza gestita in cui prevenzione, monitoraggio e azioni di risposta siano tutte adeguatamente prese in considerazione e valorizzate con opportuni investimenti.
Gli artt. 33 e 34 GDPR impongono, infatti, all’azienda di essere in grado di avere un report dettagliato delle eventuali violazioni subite allo scopo di adottare le migliori contromisure in funzione delle vulnerabilità emerse.
Se, dunque, la fase di prevenzione è imprescindibile, altrettanto importante sarà:
- conservare le prove, per valutare le conseguenze di ogni azione intrapresa;
- conoscere i propri limiti;
- documentare azioni e risultati per essere preparati a spiegarli in caso di necessità.