Non perdiamo di vista gli “small” data: il rapporto Clusit 2015

12/03/2015
di Alessandro Cecchetti

Internet è un ecosistema complesso, una convergenza di tecnologia che crea ed agevola i mercati e le attività dei suoi operatori, accorcia i tempi e azzera le distanze, con un conseguente volume di traffico che va aumentando e sempre aumenterà le formidabili opportunità che zampillano dal corretto sfruttamento dei Big Data. Ma non ci dimentichiamo che prima di essere “Big”, i “Data” erano “small”, ossia singole informazioni (personali e non), progetti, transazioni, click su internet o sui social network, immagini, relazioni, know-how e molto altro ancora, che necessitano di tutela e protezione sia sul piano tecnico che dal punto di vista legale.

SicurezzaA farsi portavoce autorevole della necessità di una salvaguardia strategica dell’informazione sarà anche il Clusit, nell’ambito del prossimo Security Summit a Milano, in occasione del quale presenterà il consueto ed atteso Rapporto annuale sugli eventi di cyber-crime e sugli incidenti informatici più rilevanti degli ultimi dodici mesi. Dalle prime anticipazioni, nel 2014 i settori privati più colpiti risultano le società operanti negli ambiti della sanità e del retail, ed i servizi in cloud. A parere di chi scrive, l’autorevolezza della fonte e l’ampia casistica analizzata dal rapporto, rafforzano ancor di più l’urgenza di una presa di posizione sulla materia, che impone agli addetti ai lavori un approccio integrato e strategico.

Il settore sanitario risulta senza dubbio uno degli ambiti con maggiori criticità, complici la sensibilità normativa dei dati trattati e la necessità di compiere studi sui pazienti (talvolta orientati alla ricerca di nuovi farmaci). La messa in sicurezza di informazioni tanto sensibili rappresenta una priorità improrogabile, dettata non solo dalla necessità di rispondere agli obblighi normativi sottesi a trattamenti di tale genere.

Allo stesso modo, la realtà della Grande Distribuzione Organizzata – come evidenziato dal rapporto – presenta specifiche lacune, connesse alla sua natura intrinseca. Il contatto diretto con utenti consumer e la conseguente quantità nonché qualità (es. le carte di credito) di dati acquisiti, rendono queste informazioni di indubbia appetibilità per i rei del cyber-crime. Al tempo stesso, la peculiare dislocazione dei sistemi informativi, utilizzati degli operatori del settore in analisi, crea notevoli vulnerabilità in materia di sicurezza informatica, mettendo a repentaglio la sicurezza stessa dei dati, principale asset aziendale.

Ma come salvaguardare le informazioni?

E’ indubbio che la messa in sicurezza del sistema informativa aziendale non possa prescindere dall’adozione di qualificati presidi tecnici di sicurezza informatica. Ma non basta. Un ulteriore aspetto di fondamentale importanza – al contrario di quanto si potrebbe credere – è il fattore umano, di gran lunga il più imprevedibile. Tuttavia, diversamente dalla minaccia esterna che può essere innescata da una molteplicità di attori, e per tale ragione risulta difficilmente contenibile, la risorsa umana può essere “educata” alla sicurezza, attraverso un’attività di prevenzione tecnico-legale da destinare sia agli stakeholder che al personale interno all’azienda, a vantaggio non solo di una migliore gestione del rischio nell’ambito dei processi informativi interni ma anche in previsione –e prevenzione – di eventuali criticità esterne.

Creare una “cultura della sicurezza” all’interno di tutti i livelli aziendali significare diffondere un messaggio unico e chiarire le best practies sull’uso della strumentazione e sulle modalità di trattamento dei dati. Le policy di gestione delle informazioni, in primis nomine privacy e regolamento informatico – magari con la predisposizione di una versione parallela strutturata ad hoc per i fornitori che accedono ai sistemi aziendali – rappresentano delle buone basi di partenza, rispondenti, per alcuni aspetti, anche ad obblighi normativi variamente imposti. Ma da sole non sono sufficienti.

La base giuridica, per essere utile, deve essere necessariamente accompagnata anche da momenti formativi per il personale, nell’ottica di creare quella cultura sovra citata, necessaria a prevenire condotte spesso causa di problematiche di non poco conto.

Basti pensare all’ampia diffusione dei ransomware, prima Cryprtoware ora CTB Locker. Si tratta di Malware trasmessi massivamente tramite allegati .cab alle email, i quali, una volta aperti, attivano il virus decifrando i dati presenti sui sistemi tramite una connessione a server di controllo, che genera chiavi pubbliche e private, rendendo i file illeggibili. La decriptazione viene successivamente concessa solo previo pagamento di un vero e proprio riscatto per entrare di nuovo in possesso delle informazioni criptate.

Potrebbe verificarsi, ad esempio, che un ignaro dipendente di una farmaceutica riceva una email con un allegato infetto che per errore (o scientemente?) apre. In breve tempo il virus si diffonde e i criminali, dietro la minaccia di sottrarre gli studi maturati nel tempo, possono chiedere un riscatto talmente alto da vanificare il lavoro di anni.

Un caso possibile che solo attraverso una prevenzione strategica può essere evitato.

A parere di chi scrive il rapporto Clusit è un prezioso strumento a disposizione di CEO e CIO, da fruire come spunto di riflessione ed autocritica, come ulteriore e nuova occasione per rivalutare lo status di sicurezza attivato in azienda, sia dal punto di vista tecnico che legale. Analizzare se sul piano informatico è stato implementato quanto ragionevolmente possibile, e valutare se, dal profilo legale, la documentazione così come predisposta è idonea a circoscrivere e determinare le responsabilità dai vari attori coinvolti sono attività propedeutiche alla fase successiva, ovvero il risk assessment sui processi informativi aziendali.

E’ evidente che la prognosi postuma è tardiva, quindi leggiamo il Rapporto e cominciamo a chiederci: “e se capitasse a me?”.

Riproduzione riservata ©

ALTRE NEWS

E’ lecito, per le società, trattenere la copia del documento di identità del visitatore?

Per motivi di sicurezza interna, la legge obbliga il titolare di una società ad esercitare un adeguato controllo sull’accesso ai luoghi aziendali. Tale obbligo è… Leggi Tutto

Stop alla diffusione dei risultati della ricerca informatica?

Pubblicato sulla rivista “Hackers & C.” n. 10 Anno 3 Tempi duri per i ricercatori informatici. Arriva dalla Francia una sentenza piuttosto “sconvolgente” per chi… Leggi Tutto

Il mercato ICT si prepari alla Privacy europea

“Il Regolamento europeo sulla data protection segnerà il discrimine tra le aziende sviluppatrici o erogatrici di servizi e prodotti  ICT aderenti agli obblighi previsti e… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






Utilizzando questo modulo accetti la memorizzazione e la gestione dei tuoi dati da questo sito web.