Strategie di protezione dati

Strategie di protezione dati. Il punto di vista di Ikran Services 

ASSINTEL REPORT 2020 - APPROFONDIMENTO DI PAG. 109

Occuparsi di protezione dei dati significa attendersi anche quello che non potrebbe accadere, "Expect the unexpected" ed in un contesto di continuo cambiamento è fondamentale mantenere alta la concentrazione per essere sempre pronti a sfide inedite ed imprevedibili.

Quando 9 anni fa decisi di orientare la mia azienda verso la sicurezza dei sistemi informativi e la tutela del patrimonio dati, molti degli argomenti e delle norme approvate negli ultimi 24 mesi non erano ancora nemmeno in cantiere; non sapevamo dove saremmo arrivati, ma certamente volevamo organizzare un’azienda pronta a cogliere una sfida che soltanto nel tempo ha dimostrato di avere un impatto dirompente nella vita privata e professionale di qualsiasi cittadino, organizzazione ed istituzione europea: la protezione dei dati è un diritto, ma prima di tutto un nostro dovere!

Durante questi ultimi 2 anni abbiamo scoperto che gli approcci tradizionali alla sicurezza non bastano più e che il vero nodo della questione sta nel divario che esiste tra chi attacca e chi subisce. Non è solo una questione di competenze, ma una vera differenza di tempi di reazione. È una lotta decisamente impari che va affrontata ogni giorno creando prima di tutto coscienza e poi cultura. La consapevolezza è il primo elemento utile da condividere con i nostri clienti per aiutarli prendere decisioni ponderate e disegnare una necessaria strategia aziendale di tutela del proprio patrimonio economico e reputazionale.

I dati sono il vero tesoro aziendale e l'ansia di proteggerli a volte spinge le aziende a commettere errori che in alcuni casi posso essere fatali, il più grave di questi errori è non sapere cosa fare, il più pericoloso è avere idee sbagliate sull'implementazione di nuove soluzioni di security.

Per ovvi motivi non possiamo parlare di casi specifici, ma negli anni abbiamo raccolto una lunga serie di situazioni che possono essere ricondotti a queste conclusioni errate:

- Aggiornare i sistemi costa!

Aldilà della dimensione aziendale, il budget è il primo problema ed è vero, gli aggiornamenti costano, ma nel 100% dei casi che abbiamo seguito, il ripristino dopo un databreach è stato di gran lunga più costoso rispetto all'aggiornamento dell'infrastruttura.

- Non abbiamo tempo per nuove soluzioni!

Le aziende ancora troppo spesso pensano che l'IT sia un peso e non un investimento, per cui riducono al minimo la struttura, ma abbiamo sempre dimostrato ai nostri clienti che le nuove soluzioni ottimizzano il lavoro della struttura IT senza aumentare i costi di personale, come?  Analizzando le esigenze, il livello di maturità tecnologica e soprattutto la mission aziendale perché la protezione dei dati è soprattutto un processo continuo di verifiche, correzioni e miglioramenti

- Sono piccolo, chi vuoi che mi attacchi?

Gli hacker non guardano le dimensioni dell'azienda, trovano vulnerabilità e s'infilano indisturbati, quando ce ne accorgiamo è troppo tardi, ma attraverso una corretta e preventiva analisi dei rischi è possibile contenere questo pericolo e per nostra fortuna ci sono almeno 3 elementi che possono aiutarci a realizzare una strategia adeguata:

Il primo è definire il significato di rischio, se lo comprendiamo possiamo dargli un valore, assegnare una priorità.

Il secondo è definire le risorse, ogni asset aziendale, dai clienti alla proprietà intellettuale, rappresenta un potenziale rischio, se lo comprendo bene, posso disegnare il perimetro da difendere ed il tipo di barriere da costruire.

Il terzo è definire le minacce, ogni analisi del rischio non deve solo guardare all'interno dell'infrastruttura, ma deve provare a comprendere l'ambiente circostante per studiarne l'impatto e stabilire le contromisure.

Il risk assessment ovviamente è molto più di tutto ciò, ma un'analisi attenta può evitare errori che possono costare moltissimo.

È impossibile parlare di rischio IT senza cadere nella tentazione di accostarlo alla privacy e di conseguenza alla data protection anzi, si tratta di termini talmente legati fra loro che spesso vengono considerati dei sinonimi anche se in realtà sono due cose profondamente distinte.

La privacy riguarda essenzialmente l'accesso autorizzato ai propri dati per cui, in linea di principio chi tratta privacy si occupa di come vengano raccolte, archiviate od utilizzate le informazioni personali, proteggere i dati significa, mettere in atto tutte le misure tecniche necessarie a difendere anche la nostra privacy da accessi non autorizzati certamente con l’uso della tecnologia ma anche attraverso un’adeguata formazione del personale che spesso rappresenta l’anello debole della catena. Sono spesso involontarie le cause di manomissioni dei sistemi, alcune di queste riconducibili alla semplice curiosità ( ad esempio: a chi non è mai venuto in mente di premere un tasto o cliccare un'icona solo per il gusto di vedere cosa succede?), alla semplice disponibilità del personale ( sono molti i casi di clienti in cui il collaboratore di buona volontà ma senza adeguata preparazione ha creato un danno), ma moltissimi problemi sono dovuti alla semplice convenienza ( perché mi devo impegnare a fare qualcosa? Mi fido di te, ti lascio la mia password!) Si tratta di storie di vita vissuta, che hanno tutte alla base un unico elemento: la mancanza di consapevolezza.

La protezione dei dati è un processo articolato di regole, strumenti ed abitudini. Queste ultime si imparano se c'è un approccio corretto, una sana cultura aziendale ed un continuo processo di verifica e miglioramento delle policy aziendali e non esiste un progetto all’interno di Ikran Services in cui questo approccio non anticipi ogni possibile soluzione tecnologica, perché la nostra filosofia parte dal principio che la vera resilienza alla violazione dei sistemi, non può che iniziare da un’adeguata consapevolezza, un costante monitoraggio ed una necessaria disciplina nella conduzione dei sistemi dei clienti, la tecnologia, anche la più sofisticata è uno strumento necessario ma non sufficiente ad affrontare le sfide del mercato!