La cyber-security dopo (e oltre) il GDPR

Ott 07, 2019 F-Secure F-Secure Partner Space, RSS 1

Con il nuovo approccio del Regolamento Generale sulla Protezione dei Dati adottare strumenti di difesa avanzati non è più un lusso, ma una necessità.

Dal 1 maggio 2018, la predisposizione di strumenti adeguati per proteggere le infrastrutture informatiche dell’azienda non è più una semplice questione di buon senso, ma un obbligo di legge. Il nuovo Regolamento Generale sulla Protezione dei Dati (GDPR), al di là delle prescrizioni relative alle informative sul trattamento dei dati rivolte agli utenti, prevede infatti l’obbligo per le aziende di proteggere i dati in maniera adeguata.

Una vera rivoluzione copernicana in termini di approccio alla cyber-security, che ha conseguenze ben più ampie rispetto al semplice obbligo di rispetto del regolamento. Una delle previsioni del GDPR, per esempio, è quella che riguarda la tempestività nella comunicazione in caso di violazione dei sistemi. Qualsiasi breach, infatti, deve necessariamente essere notificato all’autorità di controllo entro 72 ore dalla scoperta, fornendo una serie di informazioni riguardanti la portata della violazione e le misure messe in atto per ridurne l’impatto.

Al di là del rispetto dei tempi, che di per sé non solleva grandi problemi, l’obbligo di comunicazione si collega direttamente a un tema sempre più sensibile per le aziende: quello del danno reputazionale.

“Nel panorama odierno, saper gestire in maniera efficace e tempestiva una situazione di crisi collegata alla cyber-security impatta anche sull’immagine dell’azienda” spiega Carmen Palumbo di F-Secure. “Gli utenti hanno infatti una maggiore consapevolezza del valore dei loro dati e dell’importanza che i soggetti a cui li hanno affidati siano in grado di proteggerli con strumenti adeguati”.

In altre parole, di fronte a un malaugurato incidente che ha esposto i sistemi dell’azienda all’azione di un pirata informatico, il modo in cui se ne esce può avere effetti anche molto “importanti” a livello di immagine.

Per essere chiari: una cosa è annunciare di aver subito un attacco e di averlo bloccato in maniera tempestiva, fornendo informazioni dettagliate sulle modalità di attacco e sugli elementi delle infrastrutture intaccate. Un’altra è trovarsi a denunciare una violazione che è proseguita magari per settimane (se non mesi) di cui non si è nemmeno in grado di indicare con puntualità caratteristiche e conseguenze.

Se poi si sposta la prospettiva dall’utenza consumer al mondo business, il nuovo scenario legislativo introduce considerazioni decisamente più articolate e fa sì che la cyber-security diventi un vero e proprio asset aziendale.

In un mondo in cui lo scambio di informazioni tra soggetti diversi e l’uso in comune di parti di infrastruttura (per esempio a livello cloud) è una premessa per qualsiasi rapporto, garantire la presenza di strumenti di difesa adeguati diventa indispensabile.

Questo perché il famigerato “perimetro” finisce per comprendere parti di infrastrutture che sono gestite in parte o in tutto dai partner commerciali. Insomma: la capacità di proteggere i nostri dati dipende anche dalla capacità delle aziende con cui collaboriamo.

“Prima di avviare una partnership o una collaborazione con un’altra azienda è ormai indispensabile eseguire una valutazione sul livello di sicurezza dei sistemi informatici della controparte” conferma Carmen Palumbo. “Un’azienda che non offre garanzie in questo senso diventa un partner meno appetibile”.

La logica è cristallina: all’interno di un gruppo, il livello di sicurezza complessivo è determinato da quello più basso. Per mantenere gli standard che ci si propone, quindi, è necessario scegliere partner che abbiano lo stesso livello di controllo sui loro sistemi.

In altre parole: se la nostra azienda non ha strumenti adeguati per proteggere le sue infrastrutture, verrà percepita dagli eventuali partner come un pericolo. Un aspetto, questo, che nel lungo periodo potrebbe rappresentare una delle conseguenze più “pesanti” nell’applicazione del GDPR.

Condividi l'articolo