di Davide Sorrentino
La protezione dei dati continua ad essere un tema prioritario nel mondo delle tecnologie per l’informazione e, senza dubbio, sarà anche nel prossimo futuro. Il vertiginoso aumento dei dispositivi connessi ed interconnessi, ha “generato” una crescita esponenziale degli attacchi informatici e delle violazioni dei dati degli utenti. In molti casi, come abbiamo scritto in passato, gli attacchi sono condotti da gruppi criminali allo scopo di rubare o cifrare informazioni per poi chiedere un sostanzioso riscatto affinché non vengano divulgati o distrutti totalmente.
Per fronteggiare l’emergenza, che ha coinvolto tutti gli Stati, molte aziende del settore della cyber-sicurezza hanno stretto accordi per cooperare ed adottare soluzioni comuni atte a mitigare il più possibile tale piaga. Eppure bisogna rilevare che è abbastanza alta la percentuale di attacchi informatici che sono andati a segno grazie agli errori umani causati dalla sottovalutazione dei rischi o dall’abitudinarietà nello svolgere determinate operazioni.
Per garantire la sicurezza delle informazioni è fondamentale coinvolgere implementare e mantenere efficiente una strategia che preveda il costante monitoraggio della struttura organizzativa tanto dal punto di vista delle macchine che da quello umano. Naturalmente l’approccio non può essere di tipo statico o schematico ma dovrà essere modellato per ogni tipologia di organizzazione valutando le dimensioni della struttura, il settore in cui opera, etc. Nel caso di aziende è importante lavorare ad un piano di sicurezza coinvolgendo tutti i settori aziendali che sono interessati al processo di protezione dei dati, seguendo un modello dinamico che dovrà basarsi su alcuni punti cardine quali:
- consapevolezza;
- formazione;
- valutazione dei rischi costantemente aggiornata;
- responsabilità;
- competenze;
- integrazione della sicurezza delle informazioni in ogni attività.
Analizzando il grave attacco subito dalla Regione Lazio nella scorsa estate è possibile imparare qualcosa dagli errori che si sono succeduti?
Il primo agosto la Regione Lazio ha subito un attacco che ha bloccato il portale per la prenotazione dei vaccini e causato altri problemi con le concessioni edili e la gestione dei rifiuti. Le vere cause che hanno permesso l’accesso ai malintenzionati non sono del tutto chiare ma è certo che a fare da vettore sia stato il PC di un dipendente (collegato in remoto). Senza entrare nel merito della vicenda, è possibile che servano ulteriori regole e soluzioni tecnologiche per fronteggiare i criminali informatici? La risposta più ovvia è sì ma nella realtà non è così. Le norme “sono fatte per essere aggirate” ma è il buon senso dell’utente che può fare la differenza.
Ma quali sono i principali ed i più comuni errori che, se non controllati, potrebbero costituire la causa di una probabile prossima violazione dei dati?
- Evitare il conformismo - Molte violazioni si verificano a causa di un modello ad obiettivi che, una volta raggiunti, determinano nell’utente o nell’azienda un “rilassamento” che può esporli alle vulnerabilità;
- Assegnare le responsabilità - Identificare una figura che conosca i punti critici e che sia garante della protezione dei dati permette di evitare un intervento in ritardo in caso di violazione, nonché una gestione ottimale delle situazioni critiche;
- Monitoraggio e Reattività - Indipendentemente dalla strategia di sicurezza dei dati adottata è fondamentale monitorare gli accessi e l’uso dei dati. Ciò significa che i responsabili dei dati devono essere in condizione di rilevare eventuali criticità nei dati. Va da sé che, sapendo che i cyber-criminali attaccano alla prima occasione utile, è necessario reagire tempestivamente per evitare i punti deboli della rete.
Davide Sorrentino
Ingegnere ed esperto in sicurezza e protezione dei dati
Sitografia
https://unsplash.com/photos/CXlqHmQy3MY
https://www.cybersecurity360.it/nuove-minacce/attacco-alla-regione-lazio-cosa-impariamo-dagli-errori-commessi/
https://protezionedatipersonali.it/regolamento-generale-protezione-dati
https://www.garanteprivacy.it/home/diritti/cosa-e-il-diritto-alla-protezione-dei-dati-personali
https://temi.camera.it/leg18/temi/la_protezione_dei_dati_personali.html
