Cellulare su sfondo blu con icone sullla sicurezza dei dati personali

Oggi i nostri dispositivi, siano essi computer, smartphone o tablet, sono sempre più soggetti a software dannosi e minacce alla sicurezza di vario tipo. Il regolamento generale sulla protezione dei dati, noto anche come GDPR e diventato operativo il 25 maggio 2018, ha imposto alle aziende un cambiamento nell’approccio alla gestione dei dati, alla sicurezza dei software e alla formazione del personale. Questo si traduce nell’attuazione di misure tecniche e procedurali per proteggere le componenti dei sistemi informatici e per garantire la riservatezza delle informazioni, evitandone gli usi illeciti, la divulgazione, la modifica e la distruzione.

Come primo passo per la protezione dei dispositivi e della navigazione online è necessario essere sempre aggiornati sulle principali categorie di malware e su altre possibili minacce. I pericoli possono soprattutto derivare da tre motivi:

  1. Dalla quantità e qualità delle risorse che i pirati informatici hanno a disposizione;
  2. Dal mascheramento dell’attività illecita e di spionaggio dei dati, che permette loro di procedere indisturbati senza destare sospetti;
  3. Dalla scarsa attenzione e preparazione dal punto di vista della sicurezza informatica dell’utente.

A questi fattori possono aggiungersi anche comportamenti impropri che, involontariamente, agevolano gli attacchi informatici.

Tutte le misure preventive devono essere affiancate da efficaci strumenti di rilevazione in grado di abbreviare i tempi che intercorrono fra l’attacco e la scoperta delle sue conseguenze. Così, per valutare l’efficacia di un sistema di sicurezza informatica, è necessario individuare le minacce, le vulnerabilità e i rischi associati agli asset informatici, affinché si possano evitare possibili attacchi (interni o esterni), capaci di provocare danni diretti o indiretti a una determinata organizzazione.

Analisi delle rischio informatico

Diventa quindi fondamentale l’analisi delle vulnerabilità del sistema informatico.

Per mantenere la sicurezza e prevenire violazioni al GDPR da parte di qualcuno che non sia il titolare o il responsabile del trattamento dei dati, bisogna valutare anche il rischio informatico. Esso può essere definito come il rischio di danni economici (rischi diretti) e di reputazione (rischi indiretti) derivanti dall’uso della tecnologia, intendendo sia i rischi impliciti nella tecnologia (i cosiddetti rischi di natura endogena) che quelli derivanti dall’automazione.

In particolare, è necessario prestare attenzione al danneggiamento di hardware e software, alla presenza di programmi indesiderati, a errori nell’esecuzione di operazioni nei sistemi e al loro malfunzionamento. 

 

Misure preventive

Devono dunque essere predisposte delle misure specifiche per limitare i rischi a livello hardware, software e della rete. Esse devono assicurare un adeguato livello di sicurezza dei dati personali, inclusa la riservatezza, tenendo conto dello stato dell’arte e dei costi di attuazione rispetto ai rischi che presentano queste operazioni e alla natura dei dati da proteggere. Nella valutazione del rischio per la sicurezza è opportuno tenere in considerazione i pericoli riguardanti il trattamento dei dati personali, come la distruzione accidentale o illegale, la perdita, la modifica, la rivelazione o l’accesso non autorizzato a informazioni personali trasmesse, conservate o comunque elaborate, che potrebbero provocare un danno fisico, materiale o immateriale.

Nel GDPR si chiarisce che il titolare del trattamento è chiamato a mettere in atto misure tecniche e organizzative adeguate a garantire – dimostrandolo – che il trattamento dei dati personali è effettuato conformemente al Regolamento (principio di accountability). Lo stesso Regolamento approfondisce questo tema all’articolo 32, a proposito della sicurezza del trattamento.

Come detto, bisogna anzitutto tenere conto dello stato dell’arte e dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento, così come delle varie probabilità di rischio e della gravità delle conseguenze per i diritti e le libertà delle persone fisiche. Dopodiché, il titolare e il responsabile del trattamento devono mettere in atto delle misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio, che comprendano:

  1. La pseudonimizzazione e la cifratura dei dati personali;
  2. La capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali;
  3. La capacità di ripristinare tempestivamente la disponibilità e l’accesso ai dati in caso di incidente fisico o tecnico;
  4. Una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative, così da garantire la sicurezza del trattamento.

Nello specifico, la pseudonimizzazione è un particolare trattamento dei dati personali che impedisce di accedervi senza l’utilizzo di informazioni aggiuntive, che devono essere conservate separatamente e rispettando una serie di misure tecniche e organizzative che non permettano di ricondurre quei dati a una persona fisica identificata o identificabile.

Inoltre, per la prima volta si parla di resilienza dei sistemi informatici, intesa come la capacità ad adattarsi alle condizioni d’uso e di resistere all’usura, così da garantire la disponibilità dei servizi erogati.

Assumono infine particolare importanza le procedure legate al disaster recovery. Diventa infatti fondamentale predisporre uno piano specifico con il quale si intenda fornire servizi di analisi dei rischi in caso di problemi del sistema informatico e di misure da adottare per ridurli, nonché la messa a punto di un vero e proprio piano di emergenza informatica che comprenda anche procedure legate alla business continuity.

 

Hai paura di finire in guai seri per la perdita dei dati o per violazioni delle tue informazioni riservate? Contattaci e scopri la procedura migliore per evitare tutto ciò e tornare a dormire sonni sereni.

Chiama lo 011-946.81.61, oppure scrivi all’indirizzo info@tptechnology.it