Data security program, cos’è e come farlo dall'analisi del rischio informatico

Data security program, cos’è e come farlo

pittogramma Zerouno

Prospettive

Data security program, cos’è e come farlo

Per scoprire cos’è un data security program ci accompagna Pasquale Marco Rizzi, Information & Cyber Security Advisor di P4I non solo spiegandoci come realizzarlo in pratica ma indicando anche quali ambiti copra il piano di sicurezza e che ruolo svolgano gli standard internazionali per renderlo più efficace. Nessun settore può considerarsi estraneo al tema della sicurezza dei dati e va dunque colta l’occasione offerta dal regolamento GDPR per proteggere in modo strutturato le informazioni aziendali di valore, non solo i dati personali.

12 Mag 2020

di Elisabetta Bevilacqua

“Il data security program è uno strumento che le organizzazioni dovrebbero allestire e pianificare per la gestione della sicurezza del dato e, più in generale, dell’informazione che ha valore per l’azienda”. È questa la definizione con cui ci introduce al tema Pasquale Marco Rizzi, Information & Cyber Security Advisor di P4I, azienda del Gruppo Digital360.
Prima di entrare nei dettagli di come costruire un data security program, Rizzi sottolinea che il tema della sicurezza dei dati riguarda tutte le organizzazioni, non solo le aziende per le quali le informazioni sono il core business. “Il concetto di informazione, strettamente connesso alla reputazione aziendale, riguarda anche un’azienda che produce bulloni – esemplifica Rizzi – Se viene hackerata ed è costretta a fermare la produzione ci sarà un impatto non solo di tipo economico ma anche reputazionale”.

Un data breach può costare fino al 36% del fatturato aziendale. Clicca qui e scopri come gestire le violazioni!

Come realizzare un data security program, focus sull’analisi del rischio informatico

Stabilito dunque che la difesa delle informazioni aziendali riguarda tutte le organizzazioni, la realizzazione di un data security program sarà inevitabilmente differenziato.
Rizzi suggerisce di partire da un’analisi di contesto per inquadrare l’azienda, la sua organizzazione, il suo mercato, gli stakeholder, interni ed esterni, identificare le informazioni di valore per l’azienda ed evitare così di sprecare risorse laddove dove non sia prioritario.
Lo strumento principale è l’analisi del rischio, che serve a identificare gli asset aziendali informativi (infrastrutture, tecnologie, persone e loro competenze, brevetti, ecc). Per ciascun asset si valuterà quali minacce agiscono e il valore di rischio, determinato dalla probabilità che una determinata minaccia (attacco phishing, indisponibilità di un sito …) si verifichi e quale impatto possa determinare. In alcuni settori (per esempio il settore bancario e finanziario) si devono considerare adempimenti specifici, talvolta definiti per legge, mentre nel caso della privacy si dovrà fare riferimento al regolamento europeo GDPR.
L’impatto non deriva solo dalle sanzioni, ma anche da altre conseguenze; aver perso dati o essere al centro dei media per irregolarità vere o presunte nella gestione di informazioni e dati personali può avere effetti più devastanti delle sanzioni stesse”, sottolinea Rizzi, ricordando il noto caso di Cambridge Analytica che ha dovuto chiudere i battenti.
L’analisi del rischio e il data security programs, più in generale, servono per identificare le aree dove concentrare le risorse e per definire responsabilità, ruoli e processi. “Si tratta di processi continui nel tempo con ruoli, compiti e responsabilità da gestire all’interno, a livello manageriale, di middle management e della parte operativa – precisa Rizzi – È dunque necessaria un’opportuna pianificazione di risorse non solo tecnologiche ma anche umane per poter gestire nel modo migliore la sicurezza”.
Sono fondamentali i piani di informazione, formazione e consapevolezza, visto che una strategia per combattere gli attacchi non può basarsi solo sulla tecnologia. “L’essere umano è il punto debole nella catena”, è il commento. Solo aumentando la consapevolezza delle persone si può evitare, ad esempio, di cliccare su un link dannoso. “Per queste ragioni un piano di consapevolezza continuo nel tempo non può mancare in un data security program”, aggiunge Rizzi.
Altro aspetto importante è la costruzione di un sistema di controllo e monitoraggio della sicurezza che permetta di definire obiettivi, misurati da indicatori numerici di performance per verificare l’efficacia del piano di sicurezza nel tempo: di breve termine (entro 6 mesi), medio (1-2 anni), lungo (3-4 anni).
Alcuni esempi di indicatori analitici possono essere:

  • Numero e tempo di risoluzione degli incidenti di sicurezza;
  • Numero (o percentuale) di dispositivi non aggiornati all’ultima versione disponibile;
  • Numero di iniziative per la sicurezza delle informazioni (corsi, campagne per la consapevolezza) e relativi test di efficacia;
  • Numero di utenze da dismettere che risultano ancora attive;
  • Numero di non-conformità emerse da audit che non risultano essere risolte entro i tempi stabiliti.

In un programma sicurezza, dovrebbero essere previsti momenti di verifica, con auditing interni periodici, su determinati settori o ambiti sicurezza e di riesame della direzione, necessari al management per allocare le giuste risorse e valutare le criticità.
“Il programma di sicurezza non è tanto e solo un programma IT quanto un problema di organizzazione che prevede la definizione di ruoli, come ad esempio il CISO – spiega ancora Rizzi – Fino a qualche anno fa la sicurezza delle informazioni era considerata un problema del mondo IT, oggi il CISO tende invece a staccarsi dall’IT e riportare direttamente alla parte più alta della gerarchia aziendale”.

Quali ambiti copre un data security program?

Un piano di sicurezza, facendo riferimento a linee guida definite da norme standard internazionali, dovrebbe affrontare una molteplicità di ambiti:

  • sicurezza del personale, lavorando su informazione, formazione e consapevolezza;
  • controllo degli accessi logici;
  • gestione asset in tutto il ciclo di vita;
  • classificazione delle informazioni, per identificare i documenti interni, pubblici, confidenziali,…;
  • sicurezza fisica;
  • gestione della catena di fornitura;
  • gestione incidenti di sicurezza, non solo il data breach, limitato da GDPR ai dati personali;
  • attività operative quotidiane come back up, aggiornamento antivirus, aggiornamenti di sistema;
  • sicurezza delle reti;
  • gestione della posta elettronica, per definire regole che evitino di diffondere documenti riservati o inviarli all’interlocutore sbagliato;
  • conformità applicabili al settore di mercato o di business dell’azienda;
  • uso della crittografia;
  • sviluppo applicativo sicuro per le aziende che svolgono questa attività, seguendo linee guida sia tecniche sia organizzative.

Il vantaggio di adottare linee guida standard, dall’ISO 27001 alla cyber security in epoca GDPR

Esistono norme che indicano linee guida su come effettuare un piano di sicurezza. Rizzi menziona fra le tante lo standard ISO 27001 che definisce il sistema di gestione per la sicurezza delle informazioni: è uno standard internazionale, universalmente riconosciuto, certificabile da una terza parte, secondo la stessa struttura organizzativa della qualità (ISO 9001).
Anche se non esiste una certificazione per il regolamento GDPR, un data security program potrebbe contemplare una gestione strutturata delle misure tecniche, in modo analogo a quello utilizzato per il dato personale e sintetizzato nel registro dei trattamenti.
“Grazie al regolamento GDPR si sono liberati investimenti e risorse impensabili fino a qualche anno fa. La privacy va dunque colta come occasione per un approccio al tema sicurezza non solo in relazione ai dati personali ma a tutte informazioni aziendali – suggerisce Rizzi – Le aziende più lungimiranti hanno infatti colto l’occasione per affrontare il tema della sicurezza aziendale più in generale”.
Rizzi ricorda infine che già oggi ai fornitori che erogano servizi via cloud (gestione posta, repository documentale, applicativi via SaaS) le aziende clienti chiedono di garantire standard di sicurezza per il trattamento dei dati, mentre per essere fornitori della PA è necessario accreditarsi presso AGID che richiede a sua volta una serie di requisiti legati alla sicurezza delle informazioni fra cui la certificazione ISO 27001.

White Paper - GDPR e Data Breach: Come gestire le violazioni

Elisabetta Bevilacqua

Giornalista

Sono attiva dal 1989 nel giornalismo hi-tech, dopo esperienze in uffici studi di grandi gruppi e di formazione nel settore dell’informatica e, più recentemente, di supporto alle startup. Collaboro dal 1995 con ZeroUno e attualmente mi occupo soprattutto di trasformazione digitale e Industry 4.0, open innovation e collaborazione fra imprese e startup, smart city, sicurezza informatica, nuove competenze.

Articolo 1 di 4