Data protection cos’è, come si fa e, soprattutto, come affrontarla nella fase in cui tutti stiamo correndo verso il digitale producendo una mole di dati mai nemmeno immaginata?
Il concetto di Data Protection
La Data Protection è un concetto sempre più attuale e determinante nell’economia aziendale, a causa di una serie di fattori concorrenti che vedono un incremento esponenziale del volume di dati con cui le aziende sono ormai chiamate ad interagire in tempo reale.
Nei suoi termini più generali comporta la considerazione di due aspetti fondamentali: la protezione dei dati personali e la protezione dei dati aziendali. Vediamo in cosa consistono e quali sono i criteri generali per adottare una strategia concreta per la protezione dei dati all’interno di un’azienda, cercando di scongiurare i principali rischi che la diffusione del lavoro da remoto ha in qualche modo reso ancora più attuali.
[BeeCyber è la Business Units di Infor specializzata in servizi di cyber security. Al centro della mission di BeeCyber c’è sempre business del cliente: ne comprende e identifica il valore, e lo mette in sicurezza con le migliori soluzione di servizi Cyber. Per saperne di più e scoprire le soluzioni BeeCyber per la protezione dei dati e del tuo business, clicca qui.]
Data Protection: un preciso obbligo di legge per i dati personali
La protezione dei dati personali non è soltanto un fatto di sicurezza informatica (cyber security) ma la rispondenza a precise disposizioni di legge che, se trascurate, rischiano di creare dei problemi anche molto più seri rispetto alle conseguenze informatiche derivanti da possibili violazioni.
Le normative sulla protezione dei dati personali fanno capo al celebre GDPR (Regolamento UE 679/2016) e dai successivi disposti normativi, tra cui il Codice Privacy (D. Lgs. 101/2018). Il GDPR ha messo le aziende in una condizione di responsabilità oggettiva nei confronti del trattamento e della conservazione delle informazioni sensibili acquisite da soggetti terzi, che ruota intorno ai concetti di integrità e riservatezza dei dati personali.
Lungi da qualsiasi pretesto legale, la lettura degli art. 5 e art. 32 del GDPR ci portano a sintetizzare che due figure specifiche come il titolare ed il responsabile del trattamento dei dati personali debbano necessariamente mettere in atto misure tecniche ed organizzative adeguate, per garantire un livello di sicurezza adeguato al rischio, tenendo conto dello stato dell’arte e dei costi di attuazione.
Ancor prima di addentrarci in possibili tecnicismi, qualora si manifestassero problemi relativi ad una violazione o alla perdita di dati, di fronte a un giudice, i responsabili devono dimostrare di aver fatto tutto il possibile per mettere in atto le misure tecniche ed organizzative cui il GDPR fa riferimento. Questo è pertanto, di buona norma, il criterio generale da seguire per impostare una corretta strategia di gestione e protezione dei dati in azienda.
Informazioni aziendali e segreti industriali: un tesoro da proteggere
Oltre ai dati personali, c’è un altro contesto informativo assolutamente determinante per le sorti di un’azienda: i dati riservati che il Codice della Proprietà Industriale (D. Lgs. 30/2005 e L. 31/2020) riconosce nei segreti commerciali, ossia notizie generalmente non note/accessibili al pubblico, caratterizzate da un valore economico e sottoposte a misure adeguate a mantenere il loro stato di riservatezza.
Anche in questo caso, i disposti di legge pongono quale condizione determinante per un riconoscimento di valore delle informazioni, l’esistenza di una misura evidente per la protezione dei dati.
I rischi più rilevanti provengono dall’interno dell’azienda stessa, in quanto una condotta scriteriata o dolosa dei dipendenti può portare alla fuga di informazioni: il cosiddetto data breach, che può tradursi in un vantaggio strategico fondamentale per i competitor ma con conseguenze che possono comportare addirittura il fallimento dell’azienda defraudata.
Secondo una ricerca condotta nel 2018 da Verizon negli Stati Uniti, il 28% del data breach dipende da minacce interne. Si tratta di una percentuale incredibilmente elevata, soprattutto se si considera come un furto di dati eseguito da chi ha il totale accesso alle informazioni riservate produce mediamente un danno più rilevante rispetto alle minacce esterne, che si presume abbiano un accesso più limitato, anche a fronte di semplici misure di cyber sicurezza in fieri.
Tra le minacce esterne non bisogna in alcun modo sottovalutare attacchi come i ransomware, che di fatto paralizzano un’azienda condizionandola al pagamento di un riscatto. Una condizione umiliante e del tutto inaccettabile, anche soltanto prendendo in considerazione il possibile danno reputazionale che incide su un brand che nell’era del digitale si rivela inadeguato nel proteggere i propri dati.
Data Protection: le criticità del lavoro da remoto
A rendere oltremodo complesso lo scenario della Data Protection, l’emergenza Covid-19 ha catapultato la maggior parte delle realtà aziendali in una condizione di smart working, il lavoro agile, svolto almeno in parte da remoto rispetto alla tradizionale sede aziendale.
Anche in questo caso, esiste una legge cui far riferimento: L. 81/2017 (Tutela del lavoro autonomo non imprenditoriale e misure volte a favorire l’articolazione flessibile nei tempi e nei luoghi del lavoro subordinato).
L’intenzione del legislatore precedeva gli effetti della pandemia, ma già rilevavano l’esigenza di una maggior responsabilizzazione del lavoratore e dell’azienda dei suoi confronti.
Scarsi accenni, purtroppo, alle possibili criticità relative al trattamento dei dati da remoto, vuoi perché disciplinate da altri disposti, vuoi perché, salvo qualche caso mirabile, il lavoro agile era rimasto quale una possibilità, più che una implementazione concreta nell’organizzazione del lavoro aziendale.
Il lavoro da remoto ha introdotto dunque nuove variabili critiche per la protezione dei dati, causate dalla scarsa disciplina generale, soprattutto nell’ambito della piccola impresa, e dall’improvvisa entrata in scena dello smart working a livello nazionale (DPCM 11 marzo 2020), che ha esteso il problema anche alle dimensioni aziendali più strutturate.
Di fatto la condizione di lavoro prevalente, da un giorno all’altro, è diventata quella domiciliare. Le aziende che avevano già adottato gli strumenti informatici per la collaborazione e l’accesso ai dati da remoto (es. via VPN) non hanno subito particolari contraccolpi e sono riuscite ad adeguarsi in tempi rapidi sia in termini di operatività che di accesso e gestione dei dati sui server aziendali, grazie ad una diffusa consapevolezza informatica nei singoli team di lavoro, che ha decisamente agevolato il lavoro dei reparti IT.
Lo stesso non si può dire per quelle realtà, sia pubbliche che private, che senza una cultura informatica diffusa si sono ritrovate improvvisamente tagliate fuori dalla realtà dell’ufficio, concepito come unico luogo possibile per lavorare. In tali contesti la pandemia ha accelerato una necessità di trasformazione digitale che altrimenti sarebbe stata oltremodo rimandata.
La condizione specifica, che ha posto i lavoratori a dover operare in prevalenza con le proprie dotazioni personali, è diventata una prassi che ha di fatto salvato l’economia del paese, dimostrando come trascurare dei vincoli burocratici renda molto spesso le procedure più efficienti.
Il new normal richiede una stabilizzazione ed un ritorno all’aderenza pratica e normativa che coincide con una precisa strategia di data protection, utile a rispettare le leggi e garantire un effettivo livello di sicurezza per i dati personali e i dati aziendali.
Misure organizzative per la tutela dei dati
Dopo aver introdotto, se pur a larghi tratti, lo scenario di riferimento entro cui le aziende devono prendere a cuore la sicurezza dei loro dati, vediamo quali sono alcuni dei principi fondamentali per strutturare una strategia di Data Protection. A tal proposito, il titolo di questo paragrafo si riferisce ai disposti del GDPR, che intendiamo quale base da cui estrarre i contenuti minimi per garantire al proprio operato un carattere di adeguatezza.
Innanzitutto, occorre considerare delle prassi che esulano in senso stretto dal contesto tecnico ed informatico, e sono da ritenere più di carattere organizzativo.
La prima norma, relativa alla protezione dei dati aziendali, è insita alla natura dei contratti stessi, che devono limitare il campo di responsabilità del dipendente / collaboratore, ma al tempo stesso tutelare l’azienda nei confronti di possibili data breach, a prescindere che si formino o meno con azione dolosa.
È infatti frequente che un dipendente che cessa il rapporto di collaborazione e si trasferisce presso un’altra azienda, faccia riferimento al suo precedente know how, senza curarsi troppo del fatto che può comprendere informazioni riservate, la cui diffusione può procurare un evidente danno a chi subisce tale fuoriuscita.
Una volta definito chi può operare in azienda, in presenza o in remoto, è opportuno assicurarsi che gli spazi di lavoro, fisici e digitali, oltre ai luoghi dove sono conservati i dati, siano al sicuro dall’azione di soggetti non autorizzati, come collaboratori occasionali senza specifiche di contratto, piuttosto che qualsiasi soggetto non sia in grado di svolgere una procedura di accesso riconosciuta ed autorizzata dal reparto IT.
È infatti necessario che tutti gli utenti che accedono al sistema aziendale rispettino le policy correlate al loro account, dove sono comprese anche le azioni autorizzate.
Sarebbero inoltre da escludere in maniera categorica le condizioni in cui i lavoratori operano con strumenti personali o salvano i dati su dispositivi non autorizzati, come le classiche chiavette USB, che andrebbero sistematicamente bloccate dai sistemi aziendali, se non a fronte di una specifica procedura di autorizzazione.
Oltre alle precedenti disposizioni, risulta fondamentale la formazione dei dipendenti in merito ad una cultura digitale diffusa, che porti a concepire lo smart working con precise regole di condotta informatica, per acquisire una sensibilità nei confronti dei dati indispensabile per prefigurare qualsiasi condizione di sicurezza e tutela delle informazioni sensibili.
La sicurezza informatica per la Data Protection
Le basilari misure organizzative esposte creano un terreno fertile per implementare in maniera efficace strumenti e procedure di sicurezza informatica utili a concretizzare una solida strategia di Data Protection aziendale. Vediamo alcuni dei passi fondamentali che potrebbero dare corpo ad una progressiva attuazione delle misure utili a garantire la protezione dei dati.
Localizzare e classificare i dati da proteggere, archiviare i dati non necessari
L’ecosistema dei dati aziendali presenta una natura più o meno complessa, a seconda delle circostanze. Un’accurata analisi deve mettere in evidenza sia gli aspetti qualitativi che quelli quantitativi, classificando i dati in merito alla loro tipologia, alla loro criticità e alla posizione in cui sono conservati. Le attuali infrastrutture IT sono sempre più ibride, per cui è lecito attendersi delle condizioni di storage sia in locale che in cloud, utili a supportare tutte le operazioni previste dalle linee di business (LoB).
Questa apparente frammentazione va gestita con strumenti di gestione e orchestrazione delle risorse, utili ad offrire una visione unificata dei dati collocati in locale e nei cloud storage di differenti provider, per ottenere la condizione ideale di un unico pannello di controllo che consente l’accesso e la modifica a tutte le informazioni utili al monitoraggio e alla governance dei dati.
La classificazione dei dati deve inoltre mettere in evidenza quali sono i file dei progetti attivi e quali appartengono piuttosto a lavori da archiviare. Entrambe le informazioni sono da proteggere, ma una progressiva archiviazione può enormemente facilitare e snellire la messa in sicurezza complessiva.
Definire le policy di accesso e utilizzo dei dati
Le regole di accesso ai dati devono rispecchiare la struttura e la gerarchia aziendale, in modo da garantire l’effettiva disponibilità di un’informazione soltanto ai soggetti che ne abbiano una reale esigenza in funzione degli obiettivi di business e dell’operatività che ne deriva.
Ogni utente deve essere dotato di un account cui corrispondono delle policy che gli garantiscono l’accesso e la modifica dei dati di cui deve effettivamente disporre, senza eccezioni di sorta. L’accountability responsabilizza l’utente, in quanto traccia ogni sua attività ed al tempo stesso lo mette al riparo da situazioni indesiderate, come l’accesso a dati e informazioni riservate, cui non avrebbe diritto ad accedere.
Rigoroso controllo degli accessi alla rete aziendale
Una volta stabiliti i diversi livelli di accesso alle informazioni, si è in grado di controllare la gestione e la protezione dei dati più o meno sensibili presenti in azienda.
A prescindere dai ruoli e dalle responsabilità previste per ciascun utente aziendale, è strettamente necessario utilizzare sistemi di gestione e strumenti che siano in grado di monitorare ogni accesso nella maniera più capillare possibile, ai fini di evidenziare non soltanto le possibili violazioni, ma anche le potenziali criticità da cui potrebbero derivare delle minacce interne.
Tale procedura comporta necessariamente un livello di formazione adeguato da parte degli utenti, come previsto dalle misure organizzative suggerite in precedenza, un fattore che si rende ancora più evidente quando parliamo di utilizzo puntuale dei dispositivi informatici che vengono utilizzati per accedere ai dati sui sistemi aziendali.
Proteggere i singoli device e i nodi della rete aziendale
Una volta definite le regole si comincia, come si suol dire, a giocare ed in questa fase possono intervenire concretamente degli attacchi che possono mettere in crisi le vulnerabilità del sistema. Lo smart working ha reso in un certo senso frammentario e dispersivo l’ecosistema dei device utilizzati, aumentando notevolmente la quantità di accessi da remoto rispetto al sistema centrale.
Se supportata da una solida organizzazione ed efficaci strumenti di controllo, tale granularità può rivelarsi addirittura vantaggiosa, a patto che gli utenti non dispongano di dotazioni totalmente improvvisate o utilizzo connessioni per natura non sicure.
Al fronte del verificarsi di una minaccia, un sistema di sicurezza può rilevare un’anomalia e isolare un dispositivo rispetto alla rete, rendendolo di fatto inoffensivo.
Backup e Disaster Recovery
Una volta messe in atto quelle che il legislatore definisce quali misure tecniche ed organizzative, ed essere certi di aver fatto tutto il possibile per proteggere i dati, è opportuno concentrarsi sui fattori di resilienza, indispensabili per garantire la continuità di business a tutti reparti aziendali.
Nel caso in cui si verificasse una perdita di dati o la compromissione di intere applicazioni, è necessario ripristinare al più presto, se possibile in tempo reale, le condizioni operative ottimali affinché tutti i task possano svolgersi in maniera corretta.
Il reparto IT e gli specialisti della sicurezza informatica devono collaborare per mettere a punto strategie e strumenti di Backup e Disaster Recovery, utili a ripristinare puntualmente o in blocco i dati interessati da particolari criticità.
