Lunedì 8 aprile si è tenuto a Milano il Convegno AIEA ISACA sul tema “Compliance, Vendor Management, Cybersecurity & GDPR”: sono intervenuto sul tema “La Cybersecurity ai tempi del GDPR: una grande opportunità per le aziende che la sapranno cogliere”.
Il Rapporto CLUSIT 2019 – appena presentato – ci dice che il 2018 è stato l’anno peggiore di sempre in termini di evoluzione delle minacce “cyber” e dei relativi impatti, con un trend di crescita mai registrato in precedenza. Nell’ultimo biennio il tasso di crescita del numero di attacchi gravi è aumentato di 10 volte rispetto al precedente. Ma nelle aziende è ancora troppo bassa la consapevolezza dei rischi informatici. Per questo il GDPR può – e deve! – rappresentare una grande opportunità di crescita, soprattutto nella cultura della sicurezza aziendale.
Il mio intervento ha trattato nell’ordine: Cybersecurity, GDPR e Risk Management, che dovrebbero rappresentare un percorso unico verso la difesa dai Cyber rischi. Come trasmettere questo messaggio alle aziende e soprattutto a chi decide le strategie e gli investimenti?
Sono partito parlando di Cybersecurity e perché oggi è diventata così importante per le aziende. La sicurezza informatica è un tema centrale anche nel GDPR (Regolamento Privacy UE 2016/679) che pone un’attenzione molto forte al “Data Breach“, definito come: “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati” (GDPR, Art.4 comma 12).
Il GDPR, all’Art. 32 “Sicurezza del trattamento” impone di mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.
Per definire quali siano le “misure tecniche e organizzative adeguate” un’azienda dovrà necessariamente fare un’analisi dei rischi: entra in gioco quindi il tema del Risk Management che nel GDPR è estremamente presente (la parola “rischio/rischi” compare oltre 80 volte nel testo del GDPR).
Ho quindi illustrato il concetto di “RISCHIO” definito come: “condizione o situazione che può causare eventi sfavorevoli”. Il rischio è sempre un concetto probabilistico, legato all’incertezza sull’accadimento di un evento, non è del tutto eliminabile, ma può essere controllato e ridotto.
La norma alla base del trattamento del rischio è la ISO 31000:2018 – “Risk management – Principles and guidelines”: non è una norma che preveda certificazione, ma viene utilizzata come linea guida in tutte le altre norme che all’analisi del rischio fanno riferimento. Ne cito solo alcune:
- ISO 9001:2015
- ISO 14001:2015 Environmental Management Systems
- BS OHSAS 18001:2007 Occupational Health and Safety Assessment Series
- ISO 22301:2012 Business Continuity Management Systems
- ISO/IEC 27001:2013 Information Security Management System
- ed ovviamente il GDPR (General Data Protection Regulation) – Regolamento (UE) 2016/679
Ho concluso il mio intervento parlando di quello che ritengo uno degli aspetti più critici nella Cybersecurity, il Fattore umano che è veramente l’anello più debole della sicurezza. Infatti è noto che oltre il 90% degli attacchi informatici sono causati dall’errore umano.
Quindi qualsiasi azienda dovrebbe prevedere un’attività di formazione, a maggior ragione in tempo di GDPR. La formazione è espressamente prevista anche nel GDPR che all’Art. 39 “Compiti del responsabile della protezione dei dati” recita:
“Il responsabile della protezione dei dati è incaricato almeno dei seguenti compiti:
b) …la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”.
Questo perché, non mi stancherò mai di ripeterlo:
La Cybersecurity prima di essere un problema tecnico è un problema CULTURALE
Qui la locandina dell’evento.
© Copyright 2019 Giorgio Sbaraglia
All rights reserved.