GDPR e digital transformation: come proteggere la tua azienda ed evitare sanzioni
Sommario
La digital transformation crea grandi opportunità per le aziende, ma richiede anche una sempre maggiore attenzione a sicurezza informatica e tutela della privacy. La digitalizzazione ha infatti aumentato la mole di dati che le aziende trattano al loro interno e verso l’esterno, ampliando i rischi connessi alle minacce informatiche.
L’UE ha introdotto il GDPR (Regolamento generale sulla protezione dei dati) proprio per ridurre questi rischi.
Sicurezza informatica: attacchi in aumento
Il Rapporto Clusit 2023 ha registrato, nell’arco del 2022, un aumento degli attacchi informatici nel mondo del 22% rispetto all’anno precedente. In particolare, in Italia l’aumento è stato del 169%. Nell’83% dei casi, la gravità degli attacchi è stata elevata o critica.
Il malware è l’evento malevolo più diffuso, seguito da phishing, social engineering e incidenti basati su vulnerabilità note.
Davanti al crescere delle minacce, le aziende possono trovarsi spiazzate nella gestione della propria sicurezza informatica rischiando danni di immagine e costosi blocchi delle attività. Ma non solo.
La mancata protezione dei dati può anche comportare pesanti multe, secondo quanto stabilito dal GDPR.
Digital transformation e GDPR: una guida per la sicurezza?
Secondo una ricerca dello studio legale DLA Piper, citato da Sole 24 ore, le sanzioni per violazioni del GDPR in Europa nel 2022 sono infatti aumentate del 168%, raggiungendo quota 2,92 miliardi. Da quando è stato introdotto il GDPR nel 2018, l’Italia si piazza al sesto posto tra i paesi più puniti, con oltre 63 milioni di euro di sanzioni.
Si tratta di sanzioni pesanti che possono arrivare fino a un massimo di 20 milioni di euro o, in alternativa, al 4% delle entrate. A ciò si aggiungono i costi dovuti ai risarcimenti che le vittime di eventuali data breach (violazioni dei dati) e data leaks (fughe di dati) possono richiedere.
Il GDPR non va però visto come una minaccia.
Conoscere le indicazioni del GDPR offre una traccia sicura per orientarsi nella digital transformation e proteggere i dati aziendali e dei Clienti.
Cos’è la sicurezza informatica e quali sono i tre principi chiave
La sicurezza informatica, anche detta IT security o Cyber Security, ha l’obiettivo di tutelare le informazioni presenti nei sistemi aziendali (data center fisici o cloud) contro minacce esterne e interne, sia a livello di hardware che di software.
Pertanto, agisce su due livelli paralleli e complementari: la prevenzione dei rischi e la risoluzione dei problemi.
Allo scopo di raggiungere questi obiettivi, la sicurezza informatica si fonda su tre principi chiave, la cosiddetta triade CIA:
- Confidentiality (riservatezza)
Questo principio è orientato a tutelare la privacy, ovvero preservare la riservatezza dei dati proteggendoli da accessi esterni (hacker o utenti non autorizzati).
Il centro attorno cui gira questo principio è l’autorizzazione all’accesso dei dati: una delle soluzioni è, ad esempio, è l’autenticazione a due fattori. - Integrity (integrità)
La protezione dell’integrità dei dati comporta la salvaguardia da qualsiasi tipo di manomissione o cancellazione.
Anche in questo caso, molto importanti sono le policy e i sistemi di autenticazione in grado di monitorare gli accessi. Le soluzioni relative all’integrity non sono solo tecnologiche, ma riguardano anche la formazione di tutti i soggetti che accedono ai dati, per renderli consapevoli dei rischi e di come evitarli. - Availability (disponibilità)
Il principio di disponibilità è quello che garantisce agli utenti di poter accedere su richiesta ai dati. Questo avviene impedendo interruzioni di servizio e garantendo risorse infrastrutturali pronte a erogare il servizio richiesto.
Alcune delle minacce al principio di disponibilità sono il phishing e i ransomware.
Tra le soluzioni attuabili in ottica di availability ci sono i backup dei dati, i piani di disaster recovery, l’attivazione di firewall.
Cosa dice il GDPR: gli articoli di riferimento per la cyber security
Dunque, il GDPR contiene le indicazioni attorno cui organizzare i processi e le tecnologie della sicurezza informatica in parallelo con i tre principi di riservatezza, integrità e disponibilità.
L’art. 32, par. 1, chiede di garantire un livello di sicurezza adeguato al rischio, prevedendo una lista aperta e non esaustiva di azioni da intraprendere tra cui:
- la pseudonimizzazione e la cifratura dei dati personali;
- la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
- la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
- una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Vengono abolite le misure minime di sicurezza (ex art. 33), poiché tali valutazioni verranno fatte caso per caso da parte del titolare e del responsabile del trattamento dei dati in rapporto ai rischi individuati e al tipo di dati da proteggere (art. 32 punto 2).
In questo modo viene consentito al titolare del trattamento di costruire un sistema di cyber security adatto alle esigenze della propria azienda e non stabilito a priori.
Infine, il punto 3 dell’articolo 32 consente all’ente o all’azienda di documentare l’idoneità delle misure di sicurezza adottate attraverso l’adesione a un codice di condotta o a un meccanismo di certificazione approvati.
Come proteggere l’azienda da Data Breach
Il GDPR offre anche indicazioni su come comportarsi per evitare data breach (violazioni dei dati personali) o, eventualmente, limitarne i danni.
Le indicazioni del regolamento possono essere sintetizzate in 12 punti:
- Valutazione dei rischi
Effettuare una valutazione completa dei rischi legati alla sicurezza dei dati. Identificare quali tipi di dati personali vengono elaborati, dove sono memorizzati e trasferiti e quali potrebbero essere le vulnerabilità associate. - Politiche di sicurezza dei dati
Creare politiche e procedure chiare e rigorose per la gestione dei dati. Queste politiche dovrebbero coprire l’accesso, la conservazione, la trasmissione e la distruzione dei dati personali. - Ruoli e responsabilità
Designare specifiche figure interne responsabili della sicurezza dei dati, come il Responsabile della Protezione dei Dati (DPO), se necessario. Queste figure dovrebbero avere l’autorità e le risorse per garantire l’implementazione delle misure di sicurezza. - Sicurezza tecnica
Implementare misure di sicurezza tecnica adeguate, come crittografia dei dati, autenticazione forte, controllo degli accessi, firewall e sistemi di rilevamento delle intrusioni. - Formazione e sensibilizzazione
Fornire formazione regolare ai dipendenti su come gestire i dati personali in modo sicuro e consapevole. Una parte significativa delle violazioni dei dati si verifica a causa di errori umani. - Valutazione degli appaltatori
Se si lavora con fornitori di servizi che elaborano dati personali per conto dell’azienda, assicurarsi che anche loro seguano le disposizioni del GDPR e adottino misure di sicurezza adeguate. - Notifica delle violazioni
Creare procedure per notificare prontamente le autorità di controllo e gli interessati in caso di violazione dei dati. Il GDPR richiede la notifica delle violazioni entro 72 ore dall’averne avuto conoscenza. - Monitoraggio e audit
Implementare sistemi di monitoraggio costante per rilevare attività sospette o anomalie nei dati. Effettuare regolarmente audit interni per verificare la conformità alle politiche di sicurezza. - Piani di risposta alle violazioni
Avere un piano dettagliato in caso di violazione dei dati, con procedure per affrontare l’incidente, mitigare il danno e comunicare efficacemente con le autorità e gli interessati. - Conservazione limitata dei dati
Evitare di raccogliere e conservare dati personali oltre il necessario. Definire una politica chiara di conservazione e eliminazione dei dati. - Privacy by Design e Privacy by Default
Integrazione della privacy sin dalla fase di progettazione di nuovi sistemi, processi o servizi, e garantire che siano impostate le misure di protezione dei dati più rigorose per impostazione predefinita. - Test delle vulnerabilità
Condurre regolarmente test di vulnerabilità e analisi delle minacce per identificare possibili falle di sicurezza e correggerle tempestivamente.
Perché è importante affidarsi a un fornitore professionale
Quando si parla di sicurezza informatica e GDPR, il titolare dei dati personali è direttamente responsabile di quello che potrebbe succedere ai dati stessi. La Cyber Security deve perciò riuscire a stare al passo dei progressi dei cyber criminali, sempre più sofisticati. E questo non è sempre facile se ci si muove da soli.
Prima di tutto, il GDPR è un regolamento complesso, quindi potrebbe essere utile coinvolgere esperti legali e consulenti IT specializzati per garantire la piena conformità alle leggi sulla protezione dei dati.
Per adeguarsi al GDPR e semplificare la digital transformation è anche fondamentale affidarsi a fornitori che erogano servizi sicuri, progettati secondo i criteri della privacy by design.
Servizi voce e dati con qualità professionale, centralini IP GDPR compliant, VPN, caselle mail a prova di malware, sistemi di backup e disaster recovery in Cloud: Vianova mette a disposizione delle aziende strumenti ad elevate prestazioni che garantiscono sicurezza e continuità del lavoro.
Scopri tutti i servizi Vianova per potenziare il tuo business.
White Paper
Data Center
Per scaricare questo contenuto e ricevere altre notizie sul mondo TLC iscriviti alla nostra Newsletter