Sicurezza informatica, ecco le nuove linee guida Enisa – Polimi

Arrivano le nuove linee guida ENISA - Polimi, con tante utili indicazioni sulla sicurezza informatica per aziende e organizzazioni.

Al fine di garantire la disponibilità di nuove misure di sicurezza informativa, Enisa e l’osservatorio Polimi hanno rilasciato l’ultima versione delle linee guida per proteggere i sistemi contro attacchi sempre più sofisticati, e minacce sempre più gravi alla privacy. Ma che cosa contengono? E quali passi in avanti occorre che le aziende pongano immediatamente in atto?


sicurezza informatica

Sicurezza informatica

Dal recente convegno dell’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano è emersa in maniera chiara la necessità da parte delle aziende di acquisire una crescente consapevolezza sui rischi derivanti dagli attacchi informatici, dinanzi ai quali nessuna impresa sembra potersi ritenere preparata.

Dal Convegno è risultato evidente che le principali finalità dei cyber attacchi hanno ad oggetto le truffe, e che per i prossimi anni il timore delle truffe si aggiungerà a quello di spionaggio, di influenza e di manipolazione dell’opinione pubblica, di acquisizione del controllo degli impianti di produzione. A divenire obiettivo degli attacchi sono sia gli account email che quelli social, e ancora i portali di commercio elettronico, i siti web, i dispositivi mobili, le reti elettriche, i sistemi di smart home e altro ancora.

Accountability

Per poter analizzare compiutamente il tema delle misure di sicurezza è fondamentale partire dal principio dell’accountability, che il GDPR introduce invitando il titolare del trattamento a strutturare e organizzare un modello di gestione dei dati conforme al Regolamento europeo, che rispetti e assicuri la corretta applicazione del Regolamento, nonché a fornire prova di questa conformità.

A sua volta, l’identificazione delle misure di sicurezza più adeguate non può che giungere in conformità con il principio di protection by default, con il titolare o il responsabile del trattamento che dovranno dunque porre in essere quelle iniziative necessarie affinché – appunto – di default, siano acquisiti solo i dati che servono strettamente.

Protection by default e by design

Per poter rispettare le linee guida sulla protection by default è necessario dunque che l’azienda minimizzi la quantità dei dati che intende raccogliere, riduca l’uso e l’estensione del trattamento in base a finalità specifiche, e ancora minimizzi l’accesso ai dati personali. Si accompagna e integra al concetto della protection by default anche quello della protection by design, cioè l’obbligo in capo al titolare di rispettare quanto contenuto nel GDPR, proteggendo i dati fin dalla prima configurazione del trattamento.

Valutare i rischi in azienda

Da quanto sopra ne deriva che la valutazione dei rischi per la sicurezza del trattamento è uno dei criteri fondamentali delle nuove linee guida, su cui ponderare la scelta delle più adeguate misure di sicurezza. Ma quali sono i rischi? Principalmente, i pericoli che dovranno essere inglobati sono quelli derivati da perdita, distruzione, variazione, condivisione non autorizzato dei dati personali. Si suggerisce dunque alle aziende e, in generale, a tutte le organizzazioni, di:

  • definire il contesto e le operazioni di trattamento dati;
  • valutare il potenziale impatto sui diritti e sulle libertà degli interessati;
  • definire le minacce e valutare la loro probabilità;
  • valutare la probabilità che il rischio si verifichi;
  • scegliere le misure di sicurezza.

Pseudonimizzazione

Tra le misure che vengono suggerite c’è anche il tema della pseudonimizzazione, che è il processo grazie al quale è possibile dissociare l’identità dell’interessato dai suoi dati personali, in maniera tale che venga nascosta l’identità del soggetto, a meno che non siano utilizzate delle informazioni aggiuntive, a condizione che comunque queste siano conservate separatamente e sia garantita l’impossibilità di ricondurre questi dati a una persona fisica.

Le linee guida ENISA rammentano che la pseudonimizzazione non è una misura obbligatoria, ma la sua adozione può ritenersi opportuna dopo il processo di valutazione dei rischi di cui sopra.




CATEGORIES
Share This