GDPR e Cybersecurity costituiscono un binomio strutturalmente inscindibile. L’essenza del Regolamento europeo è infatti il rispetto dei diritti e delle libertà fondamentali degli individui con particolare riferimento al diritto di protezione dei dati personali, che può essere garantita solo attraverso l’implementazione di efficaci misure di sicurezza IT. A fornire indicazioni in merito è lo stesso GDPR, che alle aziende offre linee guida utili per difendersi in uno scenario dominato da attacchi informatici sempre più gravi e diffusi. A fotografare l’intensità del fenomeno è l’ultimo Rapporto Clusit, che definisce il 2018 come l’anno peggiore di sempre in termini di evoluzione delle minacce cyber e dei loro relativi impatti. 1.552 gli attacchi gravi registrati e analizzati in Italia l’anno scorso, il 37,7% in più rispetto al 2017, con una media di 129 attacchi gravi al mese. Nel 2017 erano stati 94. Numeri che confermano ad aziende ed enti pubblici l’assoluta necessità di mettere in atto efficaci misure di cybersecurity per ridurre ogni possibile vulnerabilità ed evitare, così, di incorrere in violazioni del nuovo Regolamento sulla protezione dei dati. Violazioni sanzionate dal Garante con pene pecuniarie anche molto salate.
Per ridurre le vulnerabilità e garantire una cybersecurity adeguata al rispetto del GDPR, la valutazione del rischio informatico rappresenta sicuramente il primo passo. Questa analisi non deve, però, limitarsi solo ai rischi direttamente legati alla tecnologia utilizzata, ma considerare anche i pericoli derivanti dall’automazione dei processi aziendali attraverso la tecnologia. Solo così sarà possibile individuare tutti i punti deboli dei sistemi di sicurezza, definire le priorità d’intervento e predisporre un piano d’azione per ridurre i fattori di rischio. Si tratta di valutazioni che, ovviamente, variano da azienda ad azienda e che, all’interno della stessa realtà, mutano nel tempo perché lo scenario delle minacce è in continua evoluzione. Per questo è consigliabile effettuare analisi periodiche: solo così sarà possibile garantirsi una cybersecurity efficace ed in linea con le prescrizioni GDPR ed evitare di incorrere in possibili inosservanze.
Per minimizzare il rischio di violazioni, il testo del GDPR affronta il tema cybersecurity entrando nel merito di alcune misure di sicurezza da adottare. Tra queste, sono indicate le tecniche di pseudonimizzazione e cifratura dei dati personali. La prima garantisce che i dati personali non siano attribuibili a una persona fisica identificata o identificabile. La seconda, invece, protegge i dati personali, occultandoli attraverso algoritmi difficilmente aggirabili dai malintenzionati. Altre misure riportate nel GDPR riguardano la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali, attraverso il tempestivo ripristino della disponibilità dei dati in caso di incidente fisico o tecnico. All’interno del GDPR le procedure legate al disaster recovery assumono, dunque, una rilevanza particolare, tanto da obbligare aziende ed enti pubblici a predisporre un vero e proprio piano di emergenza informatica, comprensivo degli elementi fondamentali di business continuity.
Per garantire la salvaguardia dei processi che riguardano il trattamento dei dati, le misure di sicurezza IT debbono essere affiancate da una adeguata formazione del personale aziendale, che rappresenta “l’anello debole” nella catena della sicurezza. Spesso, infatti, i problemi di sicurezza IT più comuni nascono da semplici errori umani o piccole negligenze: il furto di un PC contenente dati personali, la perdita di una chiavetta Usb oppure l’annotazione visibile di una password che permette di accedere ai sistemi ed alle informazioni. Al di là delle tecnologie che permettono di ridurre le possibilità di accesso non consentito o persino di tracciare il percorso dei dati per identificarne gli spostamenti, l’elemento indiscutibilmente più utile per prevenire i rischi di trattamenti illeciti di dati personali è rappresentato, dunque, dalla formazione del personale incaricato di gestirli. Solo attraverso un puntale ed attento training sarà possibile creare una vera cultura della privacy all’interno delle organizzazioni, dando piena efficacia ai processi e agli investimenti tecnologici destinati alla mitigazione del rischio.