𝙈𝙚𝙩𝙩𝙞 𝙞𝙣 𝙨𝙞𝙘𝙪𝙧𝙚𝙯𝙯𝙖 𝙞 𝙩𝙪𝙤𝙞 𝙙𝙖𝙩𝙞, 𝙤𝙫𝙪𝙣𝙦𝙪𝙚 𝙚𝙨𝙨𝙞 𝙨𝙞𝙖𝙣𝙤
Spesso ci si concentra sul valutare se e quali sistemi di sicurezza adottare nella propria infrastruttura informatica, o su quante risorse investire, perdendo di vista un punto fondamentale:
⚠️ 𝚍𝚘𝚟𝚎 𝚜𝚘𝚗𝚘 𝚌𝚘𝚗𝚜𝚎𝚛𝚟𝚊𝚝𝚒 𝚝𝚞𝚝𝚝𝚒 𝚒 𝚗𝚘𝚜𝚝𝚛𝚒 𝚍𝚊𝚝𝚒?
Può sembrare scontato o banale ma al Security summit organizzato per la presentazione del rapporto clusit 2022 è emerso quanto la problematica sia attuale.
Ciò vale tanto per i professionisti e le piccole aziende quanto per i colossi.
Che si tratti dei contatti dei clienti, email riservate, documenti che stiamo redigendo, file di progetto o allegati, sono dati importanti per i nostri committenti in attesa dei frutti del nostro lavoro, ma lo sono soprattutto per noi, se vogliamo essere pagati, mantenere con loro rapporti futuri, evitare una causa e le sanzioni del Garante.
In ossequio al principio di accountability ovvero di responsabilizzazione cui fa riferimento il GDPR 679/2016 (artt. 5, 24 e considerando n. 74) occorre tenere presente tre punti.
1) Sicurezza multi device
La nostra operatività quotidiana è caratterizzata dall’utilizzo contemporaneo di una molteplicità di dispositivi attraverso i quali transitano e vengono salvate molte se non tutte le informazioni relative alla nostra attività professionale: pc, smartphone, tablet, chiavette usb, server, NAS, periferiche varie e altri dispositivi di archiviazione. Ricordiamo che anche le stampanti al giorno d’oggi sono dotate di una memoria di archiviazione, seppure di limitata capacità.
È consigliabile quindi:
- fare un inventario dei dispositivi utilizzati da tenere costantemente aggiornato
- redigere una chiara policy aziendale che stabilisca se consentire o vietare l’impiego dei dispositivi anche per uso personale e/o quelli personali per lavoro, individuando le migliori prassi per ridurre al massimo i rischi, e vigilando sull’osservanza da parte di manager e dipendenti.
2) Sicurezza dispositivi obsoleti
Ogni dispositivo elettronico ha un ciclo di vita limitato e quindi sarà soggetto a sostituzione periodica per mancato funzionamento, cessazione supporto di sicurezza, aggiornamento con altro più moderno e performante.
Anche in questo caso occorre individuare ed indicare nella policy le procedure per:
- un’efficace cancellazione dei dati residui
- il corretto smaltimento del dispositivo.
Abbandonarli in un cassetto della scrivania o nel fondo di un armadio in ufficio, cui chiunque può avere accesso, dimenticandosi della loro esistenza, non è ciò che si può propriamente definire un comportamento responsabile.
3) Sicurezza Cloud Computing
Si rientra in questa fattispecie se si è soliti fare copie di backup, se si utilizzano software o servizi specifici su cloud, ovvero su piattaforme o spazi fisici sul web forniti da terzi, a cui si accede tramite un contratto di licenza. Tutto deve risultare nel dettaglio della documentazione interna aziendale, fra le risorse disponibili e come tali vanno gestite.
Esternalizzare significa abbattere i costi in termini di infrastruttura IT e di competenze tecniche. Non si può pensare, tuttavia, che ciò comporti una totale deresponsabilizzazione.
L’ambito di intervento è senza dubbio ridotto ma non meno importante. Si tratta qui di:
- scegliere fornitori comunitari o che rendano disponibili risorse in ambito comunitario, soggette, quindi all’ambito di applicazione del GDPR
- prevedere credenziali di accesso robuste, modificate periodicamente e conservate in modo sicuro
- limitare l’accesso solo a determinati soggetti fra dipendenti e collaboratori
- monitorare gli accessi non autorizzati
- cancellare i dati prima di passare ad altro piano o fornitore
Conclusione
Prima di pianificare i sistemi di sicurezza aziendali occorre avere chiaro dove si trovano i nostri dati, valutare le criticità e selezionare le misure più efficaci per ciascuna risorsa, sulla base dello stato dell’arte, ovvero di quanto universalmente riconosciuto come funzionale in un dato momento. A tal proposito si rinvia alle certificazioni di sicurezza. Solo così potremo dimostrare di rispettare il parametro dell’accountability e, quindi, di aver agito in modo responsabile, in piena conformità al GDPR.