Quando mi trovo ai vari tavoli tecnici GDPR-related, la discussione volge sempre intorno all’art. 32 – sicurezza del trattamento, uno degli articoli più “stringati” dell’ìntero GDPR.
Tutti conoscono a memoria l’articolo ed il suo relativo considerando (C83); pochi sanno quali siano le concrete misure da adottarsi, che esso pone in capo ai titolari del trattamento.
Si è ormai diffusa l’equazione che art.32 = pseudonimizzazione + cifratura, il che è assolutamente fuorviante, in quanto sono trascurati aspetti fondamentali che rimangono “sottotraccia” nell’enunciato ma che assumono rilevanza anche superiore ai concetti del comma a).
Quando leggiamo, al comma b): ” la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento”, dobbiamo considerare che questo si riferisce non solo ai tre concetti Riservatezza-Integrita-Disponibilità alla base della sicurezza dei sistemi informativi, ma ad un intero sistema di gestione della sicurezza delle informazioni, anche perchè viene indicato una ulteriore primitiva, la resilienza.
Cosa si intende per resilienza dei sistemi e dei servizi di trattamento?
Per coloro che hanno una base formativa anche tecnologica, la parola resilienza evoca la prova d’urto, svolta nei laboratori di ingegneria, con la quale si testa la resistenza a rottura dei vari materiali.
In ambito informatico, la tradurrei come la capacità, del sistema o del servizio IT, di resistere ad un evento avverso.
Questo determina che occorra valutare approfonditamente innumerevoli aspetti, dato che gli “eventi avversi” possono provenire dall’esterno, ma – spesso – anche dall’interno della stessa organizzazione.
Alcuni identificano la resilienza con i backup; non si tratta assolutamente di resilienza, in quanto questo prevede che il sistema venga meno, e solo in seguito si attivano le procedure di ripristino.
Quindi resilienza, intesa non come mera procedura di disaster recovery (attività reattiva), ma invece come seria strategia di business continuity (attività proattiva).
Ed, in questa ottica proattiva, non solo hardening di sistemi e servizi, riduzione delle superfici di attacco, ma anche e sopratutto cambiamento del paradigma operativo: da una mentalita di attribuzione (prima) e ricerca delle responsabilità (poi), a nuove forme mentis di cultura della gestione del rischio e di sicurezza informativa.
La quale sicurezza dipende, non solo, da misure tecniche e/o organizzative, ma da comportamenti di singole persone.
Non tralasciando (art. 32 comma d) “una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche ed organizzative, al fine di garantire la sicurezza del trattamento”.