Sicurezza informatica nell’ottica del GDPR

Per sicurezza informatica si intende l’insieme dei mezzi e delle tecnologie utilizzati per la protezione dei sistemi informatici in termini di disponibilità, confidenzialità e integrità dei beni. Parametri ai quali, attualmente, se ne aggiunge un altro, che è quello dell’autenticità delle informazioni.

Spesso si utilizza il termine “cybersecurity”, che rappresenta più una sottoclasse della sicurezza informatica, essendo quell’aspetto che dipende solo dalla tecnologia informatica.

Per valutare l’efficacia di un sistema di sicurezza informatica, è necessario individuare le minacce, le vulnerabilità e i rischi associati agli asset informatici, affinché sia possibile evitare possibili attacchi (interni o esterni), capaci di provocare danni diretti o indiretti ad una determinata organizzazione.

Da quanto premesso ne consegue che, la sicurezza nell’informatica corrisponde ad realizzare tutte le misure e tutte le tecniche necessarie per proteggere l’hardware, il software ed i dati dagli accessi non autorizzati, al fine di garantirne la riservatezza ed anche eventuali usi illeciti (divulgazione, modifica e distruzione).

Tutti questi problemi concernenti la sicurezza, sono nati con l’informatica stessa, ma hanno assunto dimensione e complessità crescenti, con la diffusione e gli sviluppi tecnici più recenti dell’elaborazione dati, soprattutto per ciò che riguarda i data base, la trasmissione dati e l’elaborazione a distanza (basti pensare ai rischi in cui si può incorrere effettuando un trasferimento elettronico dei fondi tra banche oppure un trasferimento da uno Stato all’altro di intere basi di dati, tramite moderni sistemi di trasmissione telematica).

La sicurezza informatica è una disciplina che ogni organizzazione che possiede un insieme di beni (che può essere costituito da un’informazione, un servizio, una risorsa hardware o software), dovrebbe predisporre, al fine di proteggerne il valore adottando misure che contrastino il verificarsi di eventi accidentali o intenzionali che possano produrre un danneggiamento parziale o totale dei beni stessi o una violazione dei diritti ad essi associati.

 USA LEGALDESK, IL GESTIONALE SICURO CHE PROTEGGE I TUOI DATI

Regolamento sicurezza informatica

Con il nuovo Regolamento europeo 2016/679 sulla protezione dei dati personali (GDPR), si è data una importante attenzione al concetto di sicurezza informatica, anche alla luce dei sempre più numerosi attacchi ed incidenti di natura informatica (basti pensare che nel solo mese di maggio gli attacchi informatici hanno toccato la soglia di 140 al giorno).

In particolare, si assiste ad una rapida evoluzione di quella minaccia che può essere definita “cibernetica”, divenuta un bersaglio specifico per alcune tipologie di attaccanti particolarmente pericolosi.

I pericoli legati a questo tipo di minaccia sono particolarmente gravi per due motivi:

  • il primo, riguarda la quantità di risorse che gli attaccanti possono adoperare, che rispecchia la sofisticazione delle strategie e degli strumenti utilizzati.
  • il secondo è dato dal fatto che il primo obiettivo viene perseguito attraverso il mascheramento dell’attività, di modo che questa possa procedere senza destare sospetti.

La combinazione di questi due fattori fa in modo che, nonostante l’utilizzo delle misure minime di sicurezza previste dal nostro codice privacy, (antivirus, firewall, difesa perimetrale, ecc.), l’attenzione deve essere soprattutto posta sulle attività degli stessi utenti che devono rimanere sempre all’interno dei limiti previsti. Questo perché, la maggior parte degli attacchi avviene attraverso l’assunzione del controllo remoto della macchina.

Non basta utilizzare misure preventive, volte ad impedire l’attacco, ma bisogna anche adoperare efficaci strumenti di rilevazione, in grado di abbreviare i tempi che intercorrono dal momento in cui l’attacco primario è avvenuto e quello in cui le conseguenze vengono scoperte.

In quest’ottica, è fondamentale svolgere un’analisi delle vulnerabilità del sistema informatico.

Le vulnerabilità sono, infatti, l’elemento sostanziale per la scalata ai privilegi che è condizione determinante per il successo dell’attacco; e quindi la loro eliminazione è la misura di prevenzione più efficace.

In secondo luogo, un’analisi dei sistemi è lo strumento più efficace per rilevare le alterazioni eventualmente intervenute e rilevare un attacco in corso.

LEGGI ANCHE: GDPR in sintesi

GDPR e sicurezza informatica

Tanto premesso, il legislatore comunitario ritiene che, per sicurezza delle reti e dell’informazione bisogna intendere “la capacità di una rete o di un sistema d’informazione di resistere, a un dato livello di sicurezza, a eventi imprevisti o atti illeciti o dolosi. Che compromettano la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati personali conservati o trasmessi.

Inoltre la sicurezza dei relativi servizi offerti o resi accessibili tramite tali reti e sistemi da autorità pubbliche, organismi di intervento in caso di emergenza informatica (CERT), gruppi di intervento per la sicurezza informatica in caso di incidente (CSIRT), fornitori di reti e servizi di comunicazione elettronica e fornitori di tecnologie e servizi di sicurezza”.

Così, il titolare del trattamento o il responsabile del trattamento, al fine di garantire la sicurezza ed evitar trattamenti in violazione al GDPR, deve valutare anche il rischio informatico, cioè il rischio di danni economici (rischi diretti) e di reputazione (rischi indiretti) derivanti dall’uso della tecnologia, intendendosi con ciò sia i rischi impliciti nella tecnologia (i cosiddetti rischi di natura endogena) che i rischi derivanti dall’automazione, attraverso l’uso della tecnologia, di processi operativi aziendali (i cosiddetti rischi di natura esogena: danneggiamento di hardware e software; errori nell’esecuzione delle operazioni nei sistemi; malfunzionamento dei sistemi; programmi indesiderati).

Per evitare questi rischi, vanno quindi predisposte specifiche misur, tali da assicurare un adeguato livello di sicurezza (compresa la riservatezza), tenuto conto dello stato dell’arte e dei costi di attuazione rispetto ai rischi che presentano i trattamenti e alla natura dei dati personali da proteggere.

Nell’effettuare questa valutazione del rischio, bisogna anche tener conto dei possibili rischi derivanti dal trattamento dei dati personali: la distruzione accidentale o illegale, la perdita, la modifica, la rivelazione o l’accesso non autorizzati a dati personali trasmessi, conservati o comunque elaborati, che potrebbero cagionare in particolare un danno fisico, materiale o immateriale.

Il GDPR fa riferimento alle misure di sicurezza qualora sancisce uno dei capisaldi della nuova normativa comunitaria, il principio di accountability, in virtù del quale titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento dei dati personali è effettuato conformemente al Regolamento.

LEGGI ANCHE: Il GDPR, solamente un costo per le aziende o vera utilità?

Protezione dei dati e sicurezza informatica

L’art. 32 del Regolamento, poi, più specificatamente ne parla con riguardo alla sicurezza del trattamento.

“Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

  • la pseudonimizzazione e la cifratura dei dati personali.
  • la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento.
  • la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico.
  • una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento”.

Una particolare attenzione è pota sulla pseudonimizzazione, ovvero una tecnica che consiste “nel trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile” (art. 4 punto 5 del GDPR).

Si parla anche, per la prima volta, di “resilienza dei sistemi informatici”, con cui si fa riferimento alla capacità di un sistema di adattarsi alle condizioni d’uso e di resistere all’usura in modo da garantire la disponibilità dei servizi erogati.

Viene data importanza anche al disaster recovery” (recupero dal disastro), con cui si fa riferimento all’insieme delle misure tecnologiche e logistico/organizzative atte a ripristinare sistemi, dati e infrastrutture necessarie all’erogazione di servizi di business per imprese, associazioni o enti, a fronte di gravi emergenze che ne intacchino la regolare attività. Pertanto, è fondamentale organizzare uno specifico piano con il quale fornire servizi prr l’analisi dei rischi di inoperatività del sistema informatico e delle misure da adottare per ridurli.