Alcune tecniche e suggerimenti basic per non cadere nei tranelli del cyber-crime.
Il GDPR, all’art 32 “Sicurezza del trattamento” per il titolare e per il responsabile del trattamento, prescrive che il soggetto individuato come il responsabile metta “in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”. Sempre lo stesso articolo, però, sancisce che tali misure di sicurezza debbano essere calibrate in base allo “stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche”.
Che cosa significa? Con quest’ultima frase il GDPR intende non appesantire troppo (sia a livello economico, sia a livello di risorse impiegate) i titolari ed i responsabili del trattamento, soprattutto in base al principio di accountability (responsabilizzazione). Di conseguenza, i titolari e i responsabili dovranno, per prima cosa, verificare e stabilire, in base alla propria attività, quali dati trattano, come li trattano e quali sono i rischi, in caso di data breach, per i diritti e le libertà degli interessati e sulla base di queste valutazioni predisporre le misure tecniche e organizzative che ritengono adeguate.
Data breach: di chi è la responsabilità della sicurezza dei dati?
A differenza del vecchio Allegato B del Dlgs 196/2003, che prescriveva delle misure minime da adottare per la sicurezza dei dati, il GDPR stabilisce che da questo momento in poi la responsabilità ricada sulle spalle dei titolari e dei responsabili, i quali dovranno valutare e, in caso, giustificare l’adozione di determinate misure tecniche e organizzative per la sicurezza dei dati.
Data breach: lo stretto indispensabile
Ad ogni modo, vi sono degli accorgimenti minimi che chiunque dovrebbe adottare, la cui mancanza è difficilmente giustificabile.
Password: l’utilizzo di password per l’accesso ai sistemi o ai software si può ritenere obbligatorio, in quanto lasciare libero l’accesso ai sistemi informatici, oltre che dal lato privacy, è un rischio elevatissimo per tutti i dati aziendali. Le password dovrebbero rispettare gli standard minimi di sicurezza, ossia almeno 8 caratteri, di cui almeno una lettera maiuscola, un numero e un carattere speciale (o simbolo).
Antivirus: ossia dei software che proteggono i sistemi informatici da eventuali virus e malware. Questi software non dovrebbero essere nella versione free, sia perché dette versioni sono pensate per un uso domestico e non commerciale sia perché le versioni free offrono una protezione base e spesso vengono aggiornate con una periodicità minore rispetto a quelle Professional, che tra l’altro, oltre alla protezione contro i virus, potrebbero offrire altri servizi.
Firewall: volto a filtrare i dati in entrata e in uscita così da bloccare i tentativi di ingresso nella rete o nel PC da parte di esterni. Il firewall può essere sia software sia fisico: in caso di software la protezione è volta al singolo PC, mentre in caso di firewall fisico viene protetta tutta la rete interna (chiaramente questo dipende dal posizionamento del firewall).
Formazione del personale: in sostanza il personale che tratta i dati deve essere formato sugli eventuali rischi che possono derivare dal trattamento di dati. Sembra una banalità, ma nella maggior parte dei casi non viene dato così per scontato. Non è necessaria una formazione particolare o specifica (salvo per particolari soggetti in base alla loro mansione, un esempio è l’amministratore di sistema) ma è sufficiente una formazione base, soprattutto perché la maggior parte dei data breach derivano da una fonte umana.
Data breach: l’importanza di una buona formazione del personale
Il personale dovrebbe avere una formazione base volta al riconoscimento delle più comuni forme di attacchi informatici, phishing e sulle accortezze da utilizzare nel trattamento dei dati e sull’utilizzo della strumentazione. Dato che il personale umano è in prima linea nel trattamento dei dati, senza un’adeguata formazione potrebbero esserci conseguenze di non poco conto.
Data breach: alcuni esempi concreti
Un esempio riguarda il phishing, ossia il furto di informazioni che può avvenire tramite email (es. la mail del capo è Mario.Rossi@email.it, se mi arriva una mail da Marlo.Rossi@email.it e se non presto attenzione potrei comunicare dei dati importanti o particolari a dei malintenzionati).
Altra situazione è quella del virus o del malware. l personale deve essere formato sulle procedure da seguire in questi casi, come sui modi in cui è più facile prendere virus e malware (ad es. navigando su siti non sicuri o scaricando software dalla rete e in altri modi).
Infine, la formazione del personale deve riguardare anche le accortezze da seguire nell’utilizzo della strumentazione e dei documenti. Con riguardo alle apparecchiature informatiche potrebbe essere l’utilizzo di password complesse e diverse da quelle usate per altri accessi, le quali non dovranno mai essere scritte su fogli volanti, su un messaggio di posta o su un file. Invece con riguardo alla documentazione cartacea è utile la creazione di una procedura sia per la gestione/catalogazione sia per l’eliminazione della documentazione, come l’archiviazione in ordine alfabetico (o secondo altro criterio) in archivi chiusi a chiave, la quale non deve essere lasciata inserita, ma deve essere riposta in altro luogo separato. Per l’eliminazione invece si dovrebbe procedere alla distruzione del documento tramite un distruggi documenti.
La questione della mitigazione del rischio di data breach è stata posta interamente sulle spalle dei titolari e dei responsabili, in quanto, visto che l’evoluzione tecnologica è sempre più veloce, predisporre una serie di misure tecniche e organizzative minime richiederebbe uno sforzo di aggiornamento continuo, uno sforzo che non potrebbe stare al passo con il progresso tecnologico. Senza contare che, data la moltitudine di realtà esistenti, predisporre un nuovo Allegato B risulterebbe in alcuni casi troppo esoso e in altri inutile. Per questo porre a carico dei titolari e dei responsabili l’attuazione delle misure di sicurezza risulta essere l’alternativa migliore, in quanto questi crescono con l’evoluzione tecnologica.