Viviamo un’era di trasformazione profonda nel campo informatico, basti pensare agli smartphone e ai tablet che utilizziamo quotidianamente o ai programmi che ogni giorno ci permettono di svolgere molto velocemente attività che fino a qualche anno fa richiedevano ore e ore di lavoro.
L’altra faccia della medaglia è che tutti questi strumenti acquisiscono e trasmettono informazioni, per non parlare dei dati sensibili dei vari utenti, e, quindi, riuscire a garantire la sicurezza delle reti aziendali dagli attacchi informatici e assicurare la continuità del lavoro è diventato un problema enorme per qualunque azienda.
Informazioni e dati personali sono un bene prezioso da difendere per qualsiasi organizzazione. Proteggerli nel migliore dei modi significa prendere coscienza della loro esistenza e della loro importanza e poi considerare i rischi ai quali possono essere esposti.
Fatto questo percorso, non resta che adottare un modello organizzativo che permetta di trattarli nella massima sicurezza. Senza un programma dedicato completamente alla sicurezza delle informazioni, infatti, i dati aziendali non potranno mai dirsi completamente al sicuro perché saranno in balia delle singole persone e dei processi, degli eventi più disparati, di una tecnologia presente negli ambienti di lavoro che, probabilmente, non è già più in grado di fornire una protezione adeguata perché obsoleta. Senza un interesse diretto del vertice aziendale, poi, i migliori piani per la sicurezza delle informazioni hanno dimostrato già in passato di fallire miseramente.
Cosa fare, dunque? Partiamo dall’inizio.
Cosa si intende per “sicurezza informatica”? Si tratta del processo di messa in sicurezza della gestione delle informazioni che viaggiano sulle reti informatiche, informazioni che possono essere di tipo molto diverso. All’interno di un’organizzazione, infatti, si gestiscono quotidianamente migliaia di informazioni e tutto questo insieme di conoscenze ha, ovviamente, anche un valore economico per l’azienda.
Vediamo ora quali potrebbero essere i rischi che incombono sulla sicurezza delle informazioni. Ci sono, ovviamente, gli attacchi da parte degli hacker che, negli ultimi anni, sono diventati sempre più frequenti, c’è il cybercrime ma anche i semplici malware e il phishing che ognuno di voi conosce bene perché sono estremamente diffusi a tutti i livelli. Se questi rischi vengono sommati a dipendenti e collaboratori che non sanno bene come difendere l’azienda da questi attacchi, capite bene che il rischio di esporre il vostro lavoro a pericoli enormi cresce in maniera esponenziale.
Per questi motivi sono molti i paesi del mondo che hanno iniziato ad approvare una legislazione che regoli le modalità con le quali le organizzazioni possono raccogliere e utilizzare i dati dei clienti e dei consumatori e questo si è reso necessario per imporre determinati standard relativi alla gestione della privacy e della sicurezza relative a tali dati.
In questo senso, un atto legislativo fondamentale è arrivato il 25 maggio 2018, quando è entrato in vigore il regolamento generale sulla protezione dei dati dell’Unione Europea (GDPR – General Data Protection Regulation, abbreviato anche come RGPD e conosciuto anche come Reg. UE 2016/679) che si applica a tutti gli stati membri dell'UE e allo Spazio Economico Europeo (SEE).
Da allora sono emerse ulteriori normative sulla privacy e capire cosa richieda ciascuna di esse e chi detti il trend può non essere così semplice. Per questo motivo vogliamo fare un po' di chiarezza spiegando, ad esempio, la differenza tra il GDPR e l’ISO 27001 che, all’apparenza sembrerebbero occuparsi della stessa materia.
Che cos’è il GDPR?
Il regolamento generale sulla protezione dei dati è una norma cogente che impone a tutte le aziende che operano all'interno dell'UE o che raccolgono i dati dei cittadini dell'UE di rispettare regole rigorose per proteggerli. Incoraggia, infatti, le organizzazioni a gestire la sicurezza dei propri dati in linea con le migliori pratiche prescrittive e richiede che i responsabili del trattamento (aziende che raccolgono i dati) ed eventuali intermediari (aziende che elaborano i dati per conto di altri) si conformino a quanto previsto dal documento.
In estrema sintesi, il regolamento richiede alle organizzazioni una presa di coscienza dei dati trattati e delle finalità per cui si trattano, una valutazione dei rischi che questi trattamenti comportano e l’adozione di misure di sicurezza per minimizzarli.
Le violazioni dei dati si verificano oggi con maggiore frequenza rispetto a qualche anno fa e gli standard di sicurezza informatica messi in atto precedentemente potrebbero non essere più sufficienti a proteggere le informazioni delle aziende. Ecco perché in Europa si è lavorato su GDPR che, a differenza della ISO 27001, si concentra solo sui dati personali e sui diritti e le libertà delle persone fisiche legati a questi dati.
Che cos'è la ISO 27001?
La norma ISO 27001:2017 è uno standard internazionale per la gestione dei sistemi della sicurezza delle informazioni che le organizzazioni possono adottare su base volontaria. La norma è stata istituita dall'International Organization for Standardization (ISO) e dalla International Electrotechnical Commission (IEC) nel 2005 e successivamente rivista e riemessa nel 2013 e nel 2017.
La ISO 27001 è progettata per essere applicabile a tutte le organizzazioni che trattano dati per conto terzi ed è stata pensata per aiutare le organizzazioni a tutelare la riservatezza, l’integrità e la disponibilità delle informazioni e a proteggere i dati dai crimini informatici, da un utilizzo improprio, da furti e da altri fattori che potrebbero metterle a rischio (ad esempio un incendio).
La ISO 27001 ha un raggio di operatività decisamente più ampio rispetto a quello del GDPR perché punta a proteggere non solo i dati personali raccolti e trattati dal titolare o dal responsabile del trattamento ma tutto il patrimonio aziendale di informazioni che siano rilevanti per l’organizzazione come, ad esempio, i dati relativi ai progetti e ai processi, l’anagrafica dei clienti, le comunicazioni interne ed esterne, la proprietà intellettuale, eventuali segreti industriali, ecc.
Un Sistema di gestione per la protezione delle informazioni è una struttura di politiche e procedure che include tutti i controlli coinvolti nei processi di gestione dei rischi informatici di un’azienda. Seguire le migliori prassi della norma aiuta le organizzazioni a contrastare i rischi per la sicurezza dei dati, a proteggere le informazioni e a identificare l’ambito e gli eventuali limiti dei propri programmi sulla sicurezza.
Lo standard ISO 27001 include i requisiti per la creazione, l'esecuzione, la gestione e il miglioramento del sistema di gestione della sicurezza delle informazioni di un'organizzazione e garantisce che le aziende che li soddisfano proteggano le proprie risorse informative dalle violazioni dei dati.
Tutte le organizzazioni in grado di soddisfare le specifiche della ISO 27001 possono richiedere la certificazione a un istituto accreditato che condurrà un audit per garantire la conformità dell'organizzazione ai requisiti normativi.
In cosa differiscono la ISO 27001 e il GDPR?
La ISO 27001 parte dal principio che un’informazione, per non essere sottoposta a rischi, debba essere disponibile solo alle persone autorizzate, debba conservarsi integra e debba essere accessibile e utilizzabile su richiesta di una persona autorizzata.
Il regolamento generale sulla protezione dei dati punta, invece, alla protezione delle persone fisiche, con particolare riguardo al trattamento dei dati personali e prescrive che i trattamenti di questi dati rispettino i principi di liceità, correttezza e trasparenza. Anche se le premesse sono diverse, i due documenti sono due standard di conformità importanti che hanno diversi punti in comune. Entrambi puntano, infatti, a migliorare la sicurezza dei dati, diminuendo i rischi relativi a una loro possibile violazione e spingono verso la creazione di un sistema organizzato, in modo da garantirne la sicurezza.
La ISO 27001 è una certificazione volontaria che richiede alle organizzazioni di adottare un approccio basato sul rischio nel modo di gestione dei dati sensibili. Il GDPR mira a proteggere i dati personali dei cittadini dell'UE e la conformità ai suoi requisiti è obbligatoria per la maggior parte delle organizzazioni che lavorano in Europa o con cittadini dell'UE.
Sia la ISO 27001 che il GDPR si focalizzano sul rischio ed entrambe indirizzano le organizzazioni a identificare determinati rischi e controlli che possono portare tali rischi a un livello accettabile.
Per quanto riguarda i dati personali, la ISO 27001 incorpora la crittografia come parte della gestione della continuità aziendale, nonché la capacità di ripristinare i dati, quando necessario, in modo tempestivo. In modo simile, il GDPR considera i dati personali come qualcosa che tutte le organizzazioni devono sforzarsi di proteggere.
