La “cultura della protezione del dato” si riferisce all’insieme di valori, comportamenti, e procedure adottati da un’azienda per garantire la sicurezza, la riservatezza e l’integrità dei dati e un loro uso responsabile.
La cultura della protezione del dato prevede una consapevolezza diffusa riguardo ai rischi e alle responsabilità connesse alla gestione delle informazioni e si lega necessariamente alla Privacy che, a sua volta, si interseca con la Sicurezza informatica e le Transizioni 4.0 & 5.0.
Conosciamo già il pensiero di molti: “ma noi siamo già a posto con la Privacy”. Ahimè, per nostra esperienza 9 volte su 10 non è così.
Indice
- Che cosa riscontriamo nelle aziende
- Lo stretto legame tra Privacy e Sicurezza Informatica
- Noi e il Network Overlux®
- Il giusto approccio alla Privacy
- Cosa possiamo fare per le aziende anche in previsione della NIS2?
Che cosa riscontriamo nelle aziende
Dal confronto con le aziende emerge la mancanza di consapevolezza dell’importanza del dato e delle informazioni e quindi, di conseguenza, l’accortezza nella loro gestione e conservazione. Facciamo un esempio pratico: dopo 5 anni devo dimostrare l’acquisto di un macchinario 4.0. Questo potrà avvenire solo se il contratto con il fornitore sarà riconosciuto valido. Cosa vuol dire valido? Che deve avere certe impostazioni, che nessuno sa quali siano, benché ci sia una normativa a dirlo.
Unitamente alla consulenza, svolgiamo la fondamentale attività di coordinamento delle informazioni interne all’azienda e le abbiniamo a procedure che devono essere coerenti. Ad esempio la 231 deve essere in linea con la 45001. Può sembrare scontato ma, in realtà, non sempre questo accade, soprattutto quando l’azienda ha coinvolto diversi professionisti che hanno disposto diverse procedure su uno specifico “punto”. L’azienda, poi, come deve procedere?
Se non si costruiscono procedure chiare e coerenti, poi, nel problema, non ci si riesce a muovere tempestivamente ed efficacemente per minimizzare i rischi potenziali.
I dati sono al centro di ogni sistema e, quando sono analizzati o utilizzati in associazione a servizi e prodotti, possono generare un ingente valore. Per questo la loro gestione deve avvenire con regole certe e procedure definite.
Lo stretto legame tra Privacy e Sicurezza Informatica
La Privacy è strettamente legata al tema della cyber security e alla NIS2 che è un rafforzativo della normativa Privacy GDPR, perché responsabilizza maggiormente le aziende sul tema della sicurezza informatica.
All’interno delle due grandi rivoluzioni 4.0 e 5.0, Privacy e sicurezza informatica sono ancor più tra loro interrelate. Sempre di dati parliamo, ma crescenti nella quantità, nella tipologia, nel valore e negli ambiti aziendali coinvolti; le superfici di attacco, quindi, si estendono favorendo l’incremento di possibili violazioni di Privacy e furti di dati / informazioni.
La protezione dei dati richiede conoscenza, metodologia, procedure, misure di sicurezza, controllo degli accessi, gestione delle identità, protezione degli endpoint e la formazione periodica del personale.
Un data breach non gestito può comportare danni fisici, materiali e immateriali come ad esempio discriminazione, furto d’identità, danni reputazionali, perdite finanziare, perdita di riservatezza, ecc.
Non sempre le violazioni di dati personali sono causate da attacchi informatici esterni, ma da procedure inadeguate e da errori materiali del personale.
Noi e il Network Overlux®
Abbiamo sin da subito trovato un punto fondamentale in comune: voler essere l’unico interlocutore per il cliente di fronte ad ambiti molto complessi quali transizione 4.0 e 5.0.
Posizionati nel Network Overlux®, guidiamo, quindi, le aziende verso la cultura della protezione del dato: uniamo l’aspetto procedurale/organizzativo/documentale della Privacy con l’aspetto informatico, entrambi indispensabili per garantire un ambiente digitale sicuro e rispettoso dei diritti degli utenti.
Il giusto approccio alla Privacy
Il nostro approccio alla Privacy è prima di tutto consulenziale perché fare un Sistema Organizzativo Privacy è complesso e richiede l’unione di competenze specialistiche.
E’ importante notare, ai sensi della norma vigente, che è l’intero trattamento a dover essere sicuro, non solo i dati come prodotto finale. Il contesto di riferimento deve essere valutato sia all’interno della sua componente statica, cioè la valutazione dell’impianto documentale predisposto, che della componente dinamica che determina l’adeguamento sulla base dei cambiamenti e/o innovazioni di volta in volta introdotte nell’organizzazione.
Accountability = responsabilizzazione: il titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento, con l’onere di riesaminarle e aggiornarle qualora necessario.
L’adeguatezza delle misure si valuta in base alla natura, all’ambito, al contesto, alle finalità, probabilità e gravità dei rischi caratterizzanti l’ambito in cui si opera.
Ad esempio, condividere eccessivamente le proprie informazioni online, come sui social media, o attraverso chat, applicativi e messagistica istantanea può dare manforte agli hacker che avranno molte informazioni che potranno utilizzare per trarvi in inganno. Ricordiamo che il social engineering, come nel caso di phishing, trova fondamento nella profilazione.
Cosa possiamo fare per le aziende anche in previsione della NIS2?
La Direttiva NIS2 (Network and Information Security), che aggiorna la precedente Direttiva NIS del 2016, è stata pubblicata sulla Gazzetta Ufficiale dell’Unione Europea il 27 dicembre 2022; è entrata in vigore il 16 gennaio 2023; ha un periodo di implementazione di 21 mesi avente scadenza il 17 ottobre 2024.
Alle aziende consigliamo di fare un “assessment della protezione del dato”: un incontro-confronto in cui ascolteremo, informeremo e raccoglieremo informazioni per supportare il cliente nel suo percorso di consapevolezza della gestione, protezione e archiviazione dei dati e delle informazioni in azienda.
La “Cultura della protezione del dato” è un viaggio impegnativo, non una meta: affrontiamolo insieme.