Non perdiamo di vista gli “small” data: il rapporto Clusit 2015

Internet è un ecosistema complesso, una convergenza di tecnologia che crea ed agevola i mercati e le attività dei suoi operatori, accorcia i tempi e azzera le distanze, con un conseguente volume di traffico che va aumentando e sempre aumenterà le formidabili opportunità che zampillano dal corretto sfruttamento dei Big Data. Ma non ci dimentichiamo che prima di essere “Big”, i “Data” erano “small”, ossia singole informazioni (personali e non), progetti, transazioni, click su internet o sui social network, immagini, relazioni, know-how e molto altro ancora, che necessitano di tutela e protezione sia sul piano tecnico che dal punto di vista legale.

A farsi portavoce autorevole della necessità di una salvaguardia strategica dell’informazione sarà anche il Clusit, nell’ambito del prossimo Security Summit a Milano, in occasione del quale presenterà il consueto ed atteso Rapporto annuale sugli eventi di cyber-crime e sugli incidenti informatici più rilevanti degli ultimi dodici mesi. Dalle prime anticipazioni, nel 2014 i settori privati più colpiti risultano le società operanti negli ambiti della sanità e del retail, ed i servizi in cloud. A parere di chi scrive, l’autorevolezza della fonte e l’ampia casistica analizzata dal rapporto, rafforzano ancor di più l’urgenza di una presa di posizione sulla materia, che impone agli addetti ai lavori un approccio integrato e strategico.

Il settore sanitario risulta senza dubbio uno degli ambiti con maggiori criticità, complici la sensibilità normativa dei dati trattati e la necessità di compiere studi sui pazienti (talvolta orientati alla ricerca di nuovi farmaci). La messa in sicurezza di informazioni tanto sensibili rappresenta una priorità improrogabile, dettata non solo dalla necessità di rispondere agli obblighi normativi sottesi a trattamenti di tale genere.

Allo stesso modo, la realtà della Grande Distribuzione Organizzata – come evidenziato dal rapporto – presenta specifiche lacune, connesse alla sua natura intrinseca. Il contatto diretto con utenti consumer e la conseguente quantità nonché qualità (es. le carte di credito) di dati acquisiti, rendono queste informazioni di indubbia appetibilità per i rei del cyber-crime. Al tempo stesso, la peculiare dislocazione dei sistemi informativi, utilizzati degli operatori del settore in analisi, crea notevoli vulnerabilità in materia di sicurezza informatica, mettendo a repentaglio la sicurezza stessa dei dati, principale asset aziendale.

Ma come salvaguardare le informazioni?

E’ indubbio che la messa in sicurezza del sistema informativa aziendale non possa prescindere dall’adozione di qualificati presidi tecnici di sicurezza informatica. Ma non basta. Un ulteriore aspetto di fondamentale importanza – al contrario di quanto si potrebbe credere – è il fattore umano, di gran lunga il più imprevedibile. Tuttavia, diversamente dalla minaccia esterna che può essere innescata da una molteplicità di attori, e per tale ragione risulta difficilmente contenibile, la risorsa umana può essere “educata” alla sicurezza, attraverso un’attività di prevenzione tecnico-legale da destinare sia agli stakeholder che al personale interno all’azienda, a vantaggio non solo di una migliore gestione del rischio nell’ambito dei processi informativi interni ma anche in previsione –e prevenzione – di eventuali criticità esterne.

Creare una “cultura della sicurezza” all’interno di tutti i livelli aziendali significare diffondere un messaggio unico e chiarire le best practies sull’uso della strumentazione e sulle modalità di trattamento dei dati. Le policy di gestione delle informazioni, in primis nomine privacy e regolamento informatico – magari con la predisposizione di una versione parallela strutturata ad hoc per i fornitori che accedono ai sistemi aziendali – rappresentano delle buone basi di partenza, rispondenti, per alcuni aspetti, anche ad obblighi normativi variamente imposti. Ma da sole non sono sufficienti.

La base giuridica, per essere utile, deve essere necessariamente accompagnata anche da momenti formativi per il personale, nell’ottica di creare quella cultura sovra citata, necessaria a prevenire condotte spesso causa di problematiche di non poco conto.

Basti pensare all’ampia diffusione dei ransomware, prima Cryprtoware ora CTB Locker. Si tratta di Malware trasmessi massivamente tramite allegati .cab alle email, i quali, una volta aperti, attivano il virus decifrando i dati presenti sui sistemi tramite una connessione a server di controllo, che genera chiavi pubbliche e private, rendendo i file illeggibili. La decriptazione viene successivamente concessa solo previo pagamento di un vero e proprio riscatto per entrare di nuovo in possesso delle informazioni criptate.

Potrebbe verificarsi, ad esempio, che un ignaro dipendente di una farmaceutica riceva una email con un allegato infetto che per errore (o scientemente?) apre. In breve tempo il virus si diffonde e i criminali, dietro la minaccia di sottrarre gli studi maturati nel tempo, possono chiedere un riscatto talmente alto da vanificare il lavoro di anni.

Un caso possibile che solo attraverso una prevenzione strategica può essere evitato.

A parere di chi scrive il rapporto Clusit è un prezioso strumento a disposizione di CEO e CIO, da fruire come spunto di riflessione ed autocritica, come ulteriore e nuova occasione per rivalutare lo status di sicurezza attivato in azienda, sia dal punto di vista tecnico che legale. Analizzare se sul piano informatico è stato implementato quanto ragionevolmente possibile, e valutare se, dal profilo legale, la documentazione così come predisposta è idonea a circoscrivere e determinare le responsabilità dai vari attori coinvolti sono attività propedeutiche alla fase successiva, ovvero il risk assessment sui processi informativi aziendali.

E’ evidente che la prognosi postuma è tardiva, quindi leggiamo il Rapporto e cominciamo a chiederci: “e se capitasse a me?”.