Sicurezza Informatica e privacy: il connubio spiegato agli imprenditori

Nell’attuale contesto digitale, anche la vostra organizzazione si trova spesso a confrontarsi con una moltitudine di sfide riguardanti la privacy e sicurezza dei dati di dipendenti, clienti e fornitori.

Infatti, gli ambienti digitali si sono estremamente evoluti e hanno integrato nuove realtà come i servizi cloud, data center aziendali e tecnologie sempre più complesse e interconnesse. Questo progresso tecnologico se da un lato ha generato grandi opportunità di crescita per il business dall’altro ha anche esteso il grado di vulnerabilità delle infrastrutture aziendali. Questa nuova condizione, di fatto, ha reso sempre più complessa la gestione delle attività di protezione dati.

Il perimetro di rete delle organizzazioni si è esteso al punto di mostrarne i veri punti deboli.

Pertanto, è necessità indispensabile per le società integrare politiche sulla privacy e sulla cyber security in una solida strategia di governance dei dati per prevenirne ogni tentata attività di violazione e assicurare la conformità legale.

Comprensibilmente, si crede che la politica di privacy dei dati copra quella di sicurezza e viceversa.
Quando si tratta di privacy e sicurezza informatica, possiamo spesso ascoltare o leggere questi termini in modo intercambiabile.

Tuttavia, dobbiamo chiederci, si tratta veramente di sinonimi o questi termini denotano concetti diversi?

In questo articolo toccheremo somiglianze e differenze tra privacy e sicurezza informatica. Vedremo anche come una materia non può esistere senza l’altra e come si influenzano.
Siete dunque pronti? Mettetevi comodi. Ecco di che cosa parleremo in questo articolo.

La sicurezza dei dati comprende tutte le attività e i processi impiegati per mettere in sicurezza le informazioni dal furto, fuga e accessi non autorizzati.
Tutti i processi che hanno a che fare con l’archiviazione dei dati, chi vi ha accesso e come viene effettuato l’accesso alle informazioni riguardano la sicurezza dei dati.
Nello specifico, la sicurezza dati sono le tecnologie, i processi e le tecniche che un’azienda deve utilizzare per prevenire:

• Accesso non autorizzato da parte di soggetti indesiderati;
• Perdita intenzionale di dati sensibili;
• Perdita o danneggiamento accidentale di dati sensibili.

Seguire gli standard di privacy dei dati non significa comprendere un’adeguata sicurezza. Anche se le politiche di raccolta dei dati in azienda sono rigorosamente conformi agli standard, non è altrettanto detto che i dati siano protetti da misure di sicurezza adeguate tra cui: l’autenticazione e la gestione degli accessi.

Una politica di sicurezza dei dati completa dovrebbe coprire tre aree chiavi di intervento:

1. persone

2. processi

3. soluzioni tecnologiche.

Tuttavia, la semplice messa in atto di queste misure in genere non risolve completamente i problemi di sicurezza.

La privacy dei dati riguarda il tipo di informazioni che vengono richieste agli utenti (o raccogli tramite cookie o da terze parti), per quale motivo vengono chiesti i dati e in quale modalità si prevede di utilizzare le informazioni.
In tutto il mondo, i paesi si stanno rendendo conto che le rigide linee guida progettate per tutelare la privacy dei dati personali sono scritte per tutelare l’interesse sia dell’organizzazione che degli individui.

Il Regolamento generale sulla protezione dei dati (GDPR) dell’Unione Europea è il regolamento più rigoroso ai scritto fino ad ora. Ma oltre al regolamento europeo in materia di tutela di dati sensibili esistono anche altri standard degni di nota:

• il California Consumer Privacy Act (CCPA),
• il brasiliano Lei Geral deProtecaode Dados (LGPD)
• il proposto Digital Charter Implementation Act canadese, solo per citarne alcuni.

Sebbene tutte queste normative emanate rappresentino un enorme passo avanti nel garantire la privacy dei dati, senza una solida base di sicurezza dei dati e soluzioni tecnologiche in atto, la privacy dei dati semplicemente non può avvenire.

La differenza tra privacy e sicurezza cyber security dipende dal tipologia di dati trattati dall’azienda, come vengono protetti e a chi ti affidi per proteggerli.

Quindi, la sicurezza informatica riguarda la protezione dei dati dalle minacce informatiche, mentre la privacy riguarda l’utilizzo dei dati in modo responsabile.

Il punto in cui privacy e sicurezza informatica iniziano a differire è in chi o da cosa stanno proteggendo i dati.

La sicurezza dei dati si concentra principalmente sulla prevenzione dell’accesso non autorizzato ai dati per mezzo di violazioni o perdite, indipendentemente da chi sia la parte non autorizzata. Per raggiungere questo obiettivo, la tua azienda dovrebbe utilizzare strumenti e tecnologie come firewall, autenticazione utente, limitazioni di rete e pratiche di sicurezza interna per scoraggiare talo accessi.

Ciò include anche servizi di sicurezza informatica come la crittografia per proteggere ulteriormente i dati rendendoli illeggibili, il che, nel caso in cui si verifichi una violazione, può impedire ai criminali informatici di esporre potenzialmente enormi volumi di dati sensibili.

La privacy, tuttavia, si occupa di garantire che i dati sensibili che un’organizzazione elabora, archivia o trasmette siano ingeriti in modo conforme e con il consenso del proprietario di tali informazioni.
Ciò significa informare in anticipo le persone su quali tipi di dati verranno raccolti, per quale scopo e con chi verranno condivisi.

Una volta fornita la massima trasparenza, un individuo deve quindi accettare i termini di utilizzo, consentendo all’organizzazione che ingerisce i dati di utilizzarli in linea con le finalità dichiarate. Quindi, la privacy riguarda meno la protezione dei dati da minacce dannose che il loro utilizzo responsabile e in conformità con i desideri di clienti e utenti, per evitare che cadano nelle mani di terzi non autorizzati.

Tuttavia, ciò non significa che non possa includere anche misure di sicurezza per garantire la protezione della privacy.

Molto spesso i termini sicurezza e privacy sono usati erroneamente in modo intercambiabile.
In altre parole, la privacy è la materia che limita l’accesso ai dati, mentre la sicurezza informatica è l’insieme di processi per limitare tale accesso.

In altre parole, la sicurezza protegge i dati e la privacy protegge l’identità.

Un piano completo per la sicurezza dei dati dovrebbe supportare l’organizzazione nell’affrontare le crescenti sfide inerenti alla protezione dei complessi ambienti informatici di oggi. Conoscere e sapere sempre dove sono archiviati i dati, abilitare un sistema di monitoraggio della sicurezza di rete, la prevenzione di attività dannose e movimenti di file sospetti.

Un piano di protezione dei dati che consenta all’azienda di gestire dati strutturati e non strutturati può semplificare il compito.

Dati strutturati e dati non strutturati: le differenze

I dati strutturati sono le informazioni altamente organizzate e formattate, che facilitano la raccolta, l’elaborazione e l’analisi da parte dell’organizzazione. Ad esempio, il tipo d’informazioni che trovi nel tuo sistema IAM (Identity and Access Management) sono dati strutturati.
Mentre i dati non strutturati sono le informazioni che non sono organizzate in modo predefinito, rendendone difficile l’elaborazione e l’analisi.
Esempi di dati non strutturati includono e-mail, testi, registrazioni vocali, PowerPoint, note cartacee, stampe e unità USB rimuovibili.

Tutte le aziende devono una figura esterna e/o interna definita come il/la responsabile della sicurezza delle informazioni. Questo ruolo consente di supervisionare i processi/la conformità dei dati e a garantire che la formazione sia aggiornata e offerta regolarmente ai dipendenti.

Successivamente, è essenziale per ogni azienda introdurre un sistema di monitoraggio delle vulnerabilità informatiche. Il servizio di Vulnerability Assessment consente di fare un check-up di sicurezza delle vulnerabilità di sicurezza della rete, del sistema informatico, dei sistemi operativi per porvi rimedio e ridurre drasticamente l’esposizione agli attacchi informatici.
Tre passaggi fondamentali per identificare le vulnerabilità nella sicurezza dei dati sono:

• vulnerability assessment

• penetration test

• web vulnerability assessment

Il piano dell’organizzazione per proteggere i dati dovrebbe prendere in considerazione sia i dati strutturati che quelli non strutturati.

La protezione dati strutturati inizia con:

• Creazione di un archivio centrale e sicuro per i dati
• Monitoraggio dell’immissione e dell’utilizzo dei dati
• Implementazione di criteri di autenticazione a più fattori
• Protezione dei dispositivi con password sicure
• Formazione continua per i dipendenti

La protezione dei dati non strutturati inizia con l’implementazione di un solido piano di prevenzione della perdita di dati (DLP) per identificare i dati non strutturati più sensibili. Quindi, identificare gli utenti che stanno raccogliendo, modificando quei dati e resi responsabili della loro sicurezza in modo ufficiale.
Inoltre, forma e istruisci i dipendenti sul rischio delle unità USB, delle informazioni riservate scritte su carta e delle foto e dei video dei telefoni cellulari.

Un solido piano per la privacy dei dati necessita di politiche sia interne che esterne. La politica esterna informa i clienti sul tipo di dati che l’azienda sta raccogliendo e perché, mentre la politica interna sulla privacy definisce ciò che l’azienda e i dipendenti possono fare con tali informazioni.

L’azienda dovrebbe prima raccogliere accuratamente le informazioni sui dati che devono raccogliere.

Di conseguenza, redigere una politica completa al livello aziendale che descriva il tipo di dati che vengono raccolti, chi è responsabile dell’esecuzione della politica e le relative informazioni delle leggi sui dati.
Infine, sviluppa un inventario completo dei dati, chi sono i proprietari dei dati di identità o che hanno accesso e monitorano il flusso dei dati.

In primo luogo, le aziende devono identificare tutte le leggi e i regolamenti relativi alla loro attività. Dunque, inquadrare un messaggio sulla privacy, per tuoi clienti, che delinea quali dati l’azienda sta raccogliendo e perché, in linea con i requisiti legali.

Le organizzazioni necessitano di un approccio su più fronti per trasmettere ed eseguire la politica sulla privacy interna ed esterna.

La politica interna sulla privacy deve essere resa accessibile a tutti i dipendenti interessati e i dipendenti devono essere formati sulla nuova politica, e devi implementare le nuove modifiche alla privacy in tutto il sistema.

L’informativa sulla privacy esterna deve essere visualizzata sul sito Web, sull’app mobile, su moduli cartacei od ovunque la vedano gli utenti.

Data l’importanza della questione privacy e sicurezza informatica è necessario fare una calibrata sintesi di ciò che è stato detto.
Sforziamoci sempre più di soffermarci in quanto parte di un complesso d’impresa e in quanto tale, prendere coscienza del fatto che il mondo intorno a noi sta cambiano radicalmente.

La mole di dati in nostro possesso o semplicemente con i quali veniamo in contatto cresce a dismisura, mese dopo mese, e continuerà a farlo. Se vogliamo perseguire la strada dello sviluppo e della crescita sorretto dalle tecnologie dobbiamo essere coscienti che esistono limiti e delle regole che sono in grado di salvaguardare la nostra sicurezza.

In quanto professionisti, è nostro preciso dovere, portare all’implementazione di tutte le misure adeguate.

Onorato Informatica è un’azienda specializzata in sicurezza informatica dal 2006.

La nostra azienda ha sede centrale a Mantova e uffici cyber security a Parma, Milano e Los Angeles. Se sei interessato ai nostri servizi di Vulnerability Assessment e Penetration Testing, contattateci.

Qui trovate tutti i nostri recapiti.