Sicurezza dei dati aziendali: Come Approcciarsi
Con la diffusione dei data breach sempre più aziende si pongono il quesito della sicurezza interna. Quando si approccia l’argomento, però, la prima domanda che si fanno non è sulla protezione dei dati interni ma sullo status generale di sicurezza della rete informatica.
Tale approccio è ormai passato di moda e probabilmente per le organizzazioni private e pubbliche è giunta l’ora di passare avanti e abbracciare un nuovo punto mettendo sullo stesso piano anche la protezione dei dati.
Al momento, infatti, gran parte degli sforzi e del budget dedicato alla cyber security si concentrano sulla protezione della rete informatica e solo in seconda battuta sui dati che in essa sono contenuti.
La necessità di un cambio di paradigma è giustificata da alcuni motivi fondamentali.
Data Breach e violazione della rete non sono la stessa cosa – Da un punto di vista storico appare evidente che i Criminal Hacker a livello globale siano spesso in vantaggio strategico rispetto a chi si occupa di Cyber Security.
A dimostrazione sono alcuni dei casi più lampanti degli ultimi anni: il data breach che nel 2013 ha coinvolto Adobe, provocando la sottrazione di 153 milioni di record relativi agli utenti, la violazione dei database di Equifax nel 2017 con 148 milioni di dati di consumatori sottratti e il recente caso di SolarWinds (fine 2020).
Nessuna organizzazione quindi, per quanto strutturata e dotata di risorse economiche e umane adeguate, sembra essere del tutto immune a questo rischio. E se i data breach fanno notizia, spesso è perché le organizzazioni coinvolte non sono riuscite a tenere al sicuro i dati dei propri clienti.
Seguendo le orme degli anni passati, le violazioni delle informazioni sensibili e della privacy dei privati cittadini rimangono uno degli argomenti più “caldi” anche per il 2021.
Sebbene, però, ormai si faccia uso comune del termine inglese “data breach”, i CISO e i CIO continuano a concentrare i propri sforzi sul rafforzamento della sicurezza di rete e solo in seconda battuta alla sicurezza del dato in sé e per sé.
I dati suggeriscono che tale approccio non sta portando i risultati sperati. E allora perché si continua a insistere su questa linea? Da un punto di vista pratico, l’approccio attuale che si focalizza sulla protezione di rete non garantisce uno standard di sicurezza accettabile per i dati e le informazioni (senza compromettere le performance della rete nel suo complesso).
Sarebbe invece opportuno che i CISO iniziassero a valutare una separazione del concetto di “data security” dalla rete in quanto tale, attraverso un overlay crittografico che protegga le informazioni. Questo approccio garantisce, alle aziende e agli organismi amministrativi, che nel caso in cui un cyber criminale riesca ad accedere all’interno di una rete non possa comunque sfruttare i dati resi totalmente illeggibili e indecifrabili. Così l’integrità, l’affidabilità e la confidenzialità dei dati rimangono intatte, senza influenzare negativamente la performance dell’infrastruttura informatica.
Come se non bastasse, con l’entrata in vigore del GDPR nel 2018 è diventato ancora più evidente quanto sia importante per le aziende proteggere i propri dati, pena l’applicazione di sanzioni pecuniarie.
Tali sanzioni però, come verrebbe da pensare, non vengono applicate sulla base di violazioni di rete. Se un Criminal Hacker infatti riuscisse a violare il perimetro difensivo aziendale, senza però sottrarre i dati conservati al suo interno, non sarebbe da considerarsi una violazione.
Il GDPR così come altre normative (CCPA, HIPAA e PCI-DSS) hanno come obbiettivo la sicurezza dei dati, ma la messa in pratica di queste modalità di protezione dipende dai singoli casi e dal tipo specifico di attività svolta dall’azienda. Mettere al centro la protezione dei propri dati, probabilmente, rappresenterà un tipo di protezione che non va mai fuori moda, anche nel caso in cui vengano introdotte ulteriori normative.
I dati fanno gola – Seguendo la feroce legge di domanda e offerta che domina tutto il mercato, l’aumento di interesse sul mercato nero per i dati di valore ha provocato un conseguente aumento anche dei prezzi. Per questo motivo, per i CISO e IT Manager, proteggere i propri dati piuttosto che la rete dovrebbe diventare di primaria importanza.
Cosa si può fare quindi a livello pratico per tenere al sicuro i propri dati?
Per iniziare è fondamentale invertire la mentalità di approccio alla sicurezza delle aziende, così da mettere in prima fila la protezione dei dati. Tutte le decisioni lato cybersecurity e i relativi investimenti dovrebbero essere orientati in tale direzione.
Ecco quindi alcune delle domande che un CISO dovrebbe porsi prima di scegliere il tipo di approccio da adottare:
• Questa soluzione proteggerà i dati ovunque si trovino all’interno della rete?
• Questa tecnologia risulterà efficace anche nel caso in cui i criminali informatici riescano ad infiltrarsi nella rete?
• La strategia scelta rispetta le normative nazionali e internazionali? L’azienda è tutelata dal punto di vista legale nel caso in cui avvenga un data breach?
La soluzione implementata risulterà efficace solamente nel caso in cui la risposta a tutte queste domande sia affermativa. Le aziende hanno il dovere di proteggere i dati dei propri utenti dalle minacce esterne, non solo per il timore di ricevere sanzioni, ma per semplice integrità professionale.