Percezione della sicurezza informatica

Non esiste nulla di peggio che la devastante percezione della sicurezza, specialmente quando l’azienda è lontanissima da un livello accettabile (la sicurezza informatica assoluta non esiste, specialmente in questo periodo nel quale sono vulnerabili anche i processori).

La scorsa settimana ho udito con le mie orecchie un consulente affermare: “qualora si  installi un FireWall a protezione della LAN, non occorre aggiornare il software di sistema ne installare alcun antivirus sugli elaboratori”.

Si iniziano anche a vedere valutazioni di Risk Assessments, GAP analysis e D.P.I.A. (alcune prodotte ove non serviva) dalle quali si evince che chi le ha predisposte non ha le idee ben chiare su quali siano i rischi che incombono sui trattementi di dati personali (specialmente per gli assets digitali), ne ovviamente le adeguate contromisure da adottare.

Privacy, l’allarme di Soro

“Le imprese sono troppo deboli nelle difese contro gli hacker”

Intervista ad Antonello Soro, Presidente della Autorità Garante per la Protezione dei Dati Personali italiana (di Francesco Condoluci, Economy, 26 marzo 2018)

… “L’idea di fondo è che la società digitale richiede regolamentazioni diverse da quelle preesistenti. Perché fin quando il volto deteriore della digitalizzazione si limita ad un hackeraggio irritante ma innocuo della posta della segreteria, si può anche far spallucce. Ma quando, com’è capitato lo scorso anno ad una impresa britannica, l’hackeraggio determina un danno che è stato quantificato in 700 milioni di sterline, c’è poco da far finta di niente!” … Una nuova regolamentazione europea, in vigore dal prossimo maggio imporrà una brusca sterzata alle aziende, costringendole a presidiare con ben altro piglio i dati propri e soprattutto quelli dei propri clienti. E non mancano i mugugni contro le salatissime multe a carico di chi non si adeguerà. Ma adeguarsi è sacrosanto.

Presidente, spieghi lei perché…
I dati da proteggere non sono aride cifre ma sono le proiezioni delle nostre persone nella nuova dimensione della vita che è il digitale. I dati sono i protagonisti della società digitale, sono il nuovo petrolio dell’economia digitale, ma dal punto di vista giuridico sono l’oggetto di un diritto fondamentale della persona, e pertanto ne va garantita l’inviolabilità.

Chi ha interesse invece a violarli?
Gli hacker, una variabile non eludibile. Ci sono e vanno contrastati. Invece i sistemi di difesa delle imprese, non solo in Italia ma in tutto il mondo, sono di totale debolezza. Per questo mi auguro che le nuove regole inducano un cambio di atteggiamento delle imprese verso questo problema. La protezione dei dati non va considerata un costo ma una risorsa. Gli investimenti per proteggere il proprio patrimonio informativo sono fondamentali per la sicurezza, personale e aziendale, per la reputazione e in assenza di questi un’impresa rischia di essere devastata, con oneri ben più grandi del costo di un pacchetto di software aggiornato. Quindi il tema vero è: la partita fra hacker e impresa si giocherà a tutto campo, non illudiamoci che gli hacker o chiunque abbia interesse a svolgere attività informatica ostile verso imprese o Stati rinunci a farlo se non duramente contrastato.


E veniamo all’Autorità: riuscirete a far fronte con le vostre risorse alle nuove incombenze di vigilanza sull’applicazione del regolamento?
Ci impegneremo a fondo. La nostra macchina è piccola ma molto efficiente. Dovremo crescere, ineluttabilmente. Questa autorità è stata calibrata per una società predigitale. Ora il Parlamento ci ha riconosciuto un aumento dell’organico. Siamo in 140, potremo acquisire altre 25 risorse. Si consideri che l’omologa autorità britannica conta 500 dipendenti e ne ha chiesti altri 200 per far fronte alle nuove incombenze. Faremo fronte stringendo i denti e facendo leva su una struttura qualitativamente all’avanguardia.

E le multe?
Trovo singolare che imprese accettino tranquillamente che per violazioni delle regole sulla concorrenza possano esserci sanzioni miliardarie e si indignino su quelle previste dalle violazioni contro le regole poste a tutela dei dati delle persone…