Il GDPR 679/2016 entrato in vigore il 25 maggio 2018 ha imposto alle aziende un cambiamento nell’approccio alla gestione dei dati, alla sicurezza del software ed alla formazione del personale.
Nell’ambito della sicurezza informatica ricade l’insieme dei mezzi e delle tecnologie utilizzati per la protezione dei sistemi informatici.
I pericoli legati alla sicurezza informatica sono legati principalmente a tre motivi:
- il primo è la quantità e la qualità delle risorse che gli attaccanti hanno a disposizione;
- il secondo è rappresentato dal fatto che il primo obiettivo perseguito è il mascheramento dell’attività, in modo tale che questa possa procedere senza destare sospetti;
- il terzo motivo è legato alla scarsa attenzione ed alla scarsa preparazione dal punto di vista della sicurezza informatica del personale che accede alle informazioni.
Queste misure fanno si che si debba fare particolare attenzione alle attività degli utenti che con comportamenti impropri possono involontariamente agevolare gli attacchi.
Tutte le misure preventive devono essere affiancate da efficaci strumenti di rilevazione.
Analisi del rischio informatico
In tale quadro di protezione diventa fondamentale l’analisi delle vulnerabilità del sistema informatico.
Per mantenere la sicurezza e prevenire la violazione del GDPR deve essere valutato il rischio informatico e sia i rischi impliciti nella tecnologia che i rischi derivanti dall’automazione.
Bisogna prestare attenzione a:
- danneggiamento di hardware e software;
- errori nell’esecuzione delle operazioni nei sistemi;
- malfunzionamento dei sistemi;
- programmi indesiderati.
Prevenzione
Le misure devono assicurare un adeguato livello di sicurezza, inclusa la riservatezza, tenuto conto dello stato dell’arte e dei costi di attuazione rispetto ai rischi che presentano i trattamenti e alla natura dei dati personali da proteggere.
Il titolare del trattamento e il responsabile del trattamento devono mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono tra l’altro, se del caso:
- la pseudonimizzazione e la cifratura dei dati personali;
- la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali;
- a capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico;
- una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Con pseudonimizzazione si intende un particolare trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive.
Con resilienza invece si intende la capacità di un sistema di adattarsi alle condizioni d’uso e di resistere all’usura in modo da garantire la disponibilità dei servizi erogati.
Assumono inoltre particolare importanza le procedure legate al disaster recovery. Dunque è fondametale predisporre uno specifico piano con il quale si intende fornire servizi volti all’analisi dei rischi.
E’ altrettanto importante la messa a punto del vero e proprio piano di emergenza informatica che ricomprende anche procedure legate alla business continuity.
Fonte: PMI