Oggi ricoprire un ruolo strategico per lo sviluppo aziendale come quello del Chief Information Security Officer (CISO) non è affatto semplice. Infatti, spesso può rivelarsi alquanto complesso per diverse ragioni: quando si parla di cybersecurity, gli elementi fisici e digitali da considerare per garantire la corretta protezione dell’ambiente di lavoro sono vari e variabili. Soprattutto, tenuto conto che si deve agire sempre in compliance con il GDPR.
Il GDPR (General Data Protection Regulation) è il regolamento comunitario sulla protezione dei dati personali, divenuto vincolante dal 2018 al fine di rafforzare i diritti degli individui in merito alla tutela della propria privacy. Il GDPR impone obblighi importanti e sancisce la responsabilità delle organizzazioni che raccolgono e trattano dati personali, da cui la necessità di implementare di misure adeguate, tecniche, procedurali e organizzative, di protezione.
A proposito di sicurezza informatica, la caratteristica fondante del GDPR consiste nella mancata imposizione di misure rigide e standardizzate, in favore della definizione di principi di impostazione della sicurezza informatica aziendale, che di fatto si basano sulla valutazione del rischio. La valutazione di conformità ai principi del GDPR (e a qualche misura più specifica, come quella della pseudonimizzazione e della cifratura) avviene dunque solo in un secondo momento, a seguito di un eventuale incidente di sicurezza.
La protezione dell’azienda passa attraverso una serie di principi da tenere in considerazione:
A questi, sono tanti gli altri elementi che si potrebbero aggiungere per garantire il massimo livello di riservatezza, integrità e disponibilità dei dati - caratteristiche fondamentali che tutti i trattamenti gestiti in azienda devono avere.
Naturalmente, ogni CISO mette in atto una serie di azioni sulla base della realtà aziendale, cercando di raggiungere un livello accettabile di accountability. Qualsiasi siano le attività, però, è indispensabile agire in conformità con il GDPR, conservando un atteggiamento proattivo in grado prevenire e calmierare i danni di possibili minacce con opportune contromisure. Per raggiungere questo obiettivo esistono delle best practice a supporto: dei punti fermi da tenere sempre presente per garantire la sicurezza informatica e agire nel rispetto del GDPR.
Tenendo ben presente i concetti della privacy by design e by default, pilastri del GDPR, ogni CISO deve contestualizzare le proprie scelte in base all’ambiente in cui si trova a operare. Nel panorama attuale si può anche parlare di cybersecurity by design, ossia l'implementazione di sistemi di difesa contro attacchi informatici basati sulla progettazione di procedure e processi.
La tecnologia può venire in aiuto in questo intento e, se oggi alcuni metodi e implementazioni risultano basilari e imprescindibili per la maggior parte delle realtà complesse - come antivirus o firewall - esistono altri supporti basati sulle ultime evoluzioni dell’intelligenza artificiale e sull’apprendimento incrementale dei software per contrastare gli attacchi provenienti dall’esterno in modalità 24/7.
Il GDPR non indica procedure pragmatiche da seguire per difendere i sistemi, ma piuttosto attestazioni del percorso intrapreso in difesa della propria organizzazione e dei propri dati. Per ovviare alla mancanza di indicazioni pratiche, il GDPR consente di appellarsi a codici di condotta o certificazioni. Tra tutte, sicuramente le nuove linee guida della ISO/IEC 27002:2022 rappresentano un’innovazione radicale introducendo nuovi controlli in tema di cybersecurity e privacy.
Qualunque attività di prevenzione atta a salvaguardare i sistemi aziendali deve essere predisposta sia alla difesa, sia alla continuità aziendale come reazione all’attacco per garantire all’organizzazione di poter riprendere il lavoro nel più breve tempo possibile. Naturalmente, per poter proseguire con l’attività aziendale, è d’obbligo recuperare i dati che un ipotetico attacco informatico può aver compromesso, in una sorta di ritorno al passato antecedente al danno subito.
Alla base della buona riuscita di qualsiasi strategia, in ogni organizzazione, ci sono le persone. Anche in questo caso, il CISO deve avere un’attenzione particolare verso coloro che, se ben gestiti, possono rivelarsi una difesa molto efficace e che, se non considerati a dovere, possono trasformarsi in una minaccia molto spesso inconsapevole per l’azienda.
Come è logico pensare, in merito alle contromisure per contrastare l’errore umano anche il GDPR introduce i propri strumenti legislativi per indirizzare e accrescere le competenze: parliamo dell’articolo 29, in cui si evince che tutti coloro che gestiscono dati devono essere preventivamente istruiti dal titolare del trattamento con percorsi adeguati basati sulla formazione.
In conclusione, ai CISO spetta quindi il compito di rivedere regolarmente le politiche di sicurezza delle informazioni e introdurre in modo proattivo nuovi elementi di formazione per istruire i dipendenti sui rischi informatici. Con una gamma così ampia di responsabilità e il continuo aumento di attacchi informatici e vulnerabilità sulla sicurezza, i CISO devono mantenere un ampio spettro di analisi per osservare un quadro generale in termini di gestione del rischio, mentre si muovono tra le decisioni quotidiane relative alla sicurezza delle informazioni e alla difesa dei dati aziendali.