GDPR e sicurezza informatica

Il tema della "cybersecurity" non’è mai stato dibattuto tanto come in questi ultimi anni, in concomitanza con la massiva diffusione di malware e ransomware, l’applicazione malevola che cripta i dati di un sistema e che chiede il riscatto in bitcoin per decriptarli.

Spesso si sottovalutano i rischi di un attacco informatico, pensando di non essere un "target" appetibile per gli hackers. Niente di più fuorviante! Infatti i sistemi di hackeraggio sono ormai sofisticati e possono agire su grande scala con sistemi automatici, alla ricerca di dati, più o meno sensibili, da poter rivendere nel deep web o allo scopo di realizzare profili dettagliati, utilizzando la tecnica di elaborazione dei sistemi di "big data". Tali profili sono poi rivenduti o utilizzati per generare nuovi target di attacco.

Ormai, gli specialisti di sicurezza informatica sono concordi nell’affermare che per le "cyber- infezioni", nei nostri sistemi, la questione non attiene più al "se" ma al "quando" esse si verificheranno.

Diventare vittime di un attacco informatico può voler dire avere problemi di fermo attività, di diffusione e/o la cancellazione e/o di utilizzo illecito di dati cruciali per la propria azienda o per la persona.

Il tema della sicurezza diventa topico se lo consideriamo nell’ambito delle normative atte a tutelare i dati personali, soprattutto se sono di natura particolarmente sensibile come i dati relativi alla salute, alle idee politiche e religiose, ai dati finanziari, giudiziari e così via.

Il GDPR prevede un processo di analisi, valutazione e quantificazione dei rischi relativi alla conservazione e alla tutela dei dati personali in azienda. Il metodo più consono per rilevare falle e/o vulnerabilità nel sistema informatico è l’esecuzione di un test di vulnerabilità sui dispositivi della rete, con seguente mitigazione dei rischi rilevati. Il corretto modus operandi, di chi in azienda si occupa del sistema informatico, è quello di mantenere aggiornato il software, prevedere una corretta configurazione del firewall e dell’antivirus, della gestione delle password e dell’applicazione di tutte quelle "best practises" ormai universalmente riconosciute nell’ambito della sicurezza informatica, compresa la diffusione di una giusta cultura aziendale tra i dipendenti.

Daniele Spano


CONDIVIDI: