Nell’era digitale i dati rappresentano una risorsa fondamentale per indirizzare strategie aziendali, investimenti e campagne di marketing. Per questo la data protection ha assunto una rilevanza sempre crescente, tra possibili data breach, danni reputazionali e un quadro normativo sempre più stringente.
Secondo l’ultimo report IBM “Cost of a Data Breach”, nel 2023 il costo medio di un data breach ha raggiunto il suo massimo storico pari a 4,45 milioni di dollari.
Una cifra enorme che ha spinto il 51% delle organizzazioni nel mondo a programmare un aumento degli investimenti in ambito data protection e sicurezza delle reti. Tra le principali aree di intervento troviamo, non a caso, la pianificazione e i test di incident response (IR), la formazione dei dipendenti e le tecnologie di rilevamento e risposta alle minacce.
In un contesto in cui i dati sono diventati la risorsa più preziosa per aziende di ogni tipo e dimensione, la data protection non va più interpretata come un semplice requisito normativo da rispettare (in primis il GDPR), ma come un’opportunità per le aziende di rafforzare la brand awareness, migliorare l’efficienza e innovare i processi.
Quali sono i rischi derivanti da un data breach?
Analizziamo brevemente le conseguenze derivanti dalla violazione e dal leak (fuoriuscita) di dati e informazioni. In linea di massima, possiamo individuare:
- Danni economici derivanti sia dalle sanzioni per la non conformità alle normative sulla protezione dei dati sia dalla possibile perdita di clienti a seguito di un data breach.
- Danni reputazionali: le aziende, specie se operanti nel settore IT, nell’e-commerce o coinvolte nella gestione di dati sensibili (es. Sanità), possono andare incontro a seri danni di immagine.
- Danni legati alla perdita di informazioni sensibili e segreti aziendali.
Le opportunità offerte dalla data protection
Se fino a qualche anno fa la maggior parte delle aziende investiva nella data protection in risposta agli obblighi di legge, ora si assiste a un cambio di paradigma. La tendenza è, infatti, quella di adottare un approccio proattivo che valorizzi le opportunità derivanti dall’adozione di nuovi ed efficaci protocolli di sicurezza. Risultati?
- Aumento della fiducia: i clienti sono più propensi a legarsi ad aziende che garantiscono un livello adeguato di protezione dei dati.
- Miglioramento dell’efficienza: una gestione efficace dei dati può aiutare le aziende a implementare l’efficienza dei processi e a ridurre i costi.
- Vantaggio competitivo: in un mercato sempre più affollato, le aziende che investono nella data protection tendono a distinguersi rispetto ai concorrenti.
Come implementare una strategia di data protection efficace?
Di sicuro non esistono soluzioni preconfezionate che garantiscano una strategia di data protection efficace al 100%. Piuttosto bisogna approcciare il tema con una serie di step incrementali:
- Fare un assessment dei rischi: sulla base degli asset che ogni azienda deve proteggere e sulla loro classificazione va effettuata un’analisi dei rischi per identificare un adeguato livello di protezione.
- Adottare misure di sicurezza adeguate: dopo un attento assessment dei rischi è importante pianificare ed implementare le corrette misure di sicurezza atte a proteggere i propri asset sulla base di un attenta valutazione dei rischi.
- Investire sulla formazione professionale (es. rispettare le policy in materia di sicurezza dei beni e dati aziendali, comunicare eventuali violazioni o attività anomale.)
- Avere un piano di risposta agli incidenti: in caso di data breach, agire immediatamente e efficacemente è di vitale importanza: per questo vanno predisposti, con anticipo, piani finalizzati a contenere i danni e ripristinare i sistemi.
Il quadro normativo: GDPR e non solo
In conclusione, non ci resta che esplorare brevemente il quadro normativo sulla data protection. Nell’Unione Europea, il sistema si basa principalmente sul Regolamento generale sulla protezione dei dati (GDPR), noto anche come Regolamento (UE) 2016/679.
Il GDPR è un regolamento direttamente applicabile in tutti gli Stati membri dell’Unione europea, che ha l’obiettivo di rafforzare e armonizzare la tutela dei dati personali dei cittadini europei.
Entrato in vigore nel 2016, il Regolamento introduce una serie di obblighi per le aziende che trattano dati personali, tra cui:
- Principi di trattamento: i dati personali devono essere trattati in modo lecito, corretto e trasparente; raccolti per finalità determinate, esplicite e legittime; adeguati, pertinenti e limitati a quanto necessario in relazione alle finalità per le quali sono trattati
- Diritti degli interessati: gli interessati hanno il diritto di accedere ai propri dati personali, di ottenerne la rettifica o la cancellazione, di limitarne il trattamento, di opporsi al loro trattamento e di ottenere la portabilità dei dati.
- Misure di sicurezza: le aziende devono implementare misure di sicurezza adeguate per proteggere i dati personali dal trattamento non autorizzato o illecito, dalla perdita, dalla distruzione o dal danneggiamento accidentale.
- Notifica delle violazioni dei dati: le aziende devono notificare al Garante per la protezione dei dati personali le violazioni dei dati personali entro 72 ore dalla loro scoperta.
- Designazione del responsabile della protezione dei dati: le aziende che trattano grandi quantità di dati personali o dati sensibili devono nominare un responsabile della protezione dei dati.
Oltre al GDPR, il quadro legislativo europeo sulla data protection comprende anche altre normative, come la direttiva sulla privacy delle comunicazioni elettroniche e la direttiva sulla protezione dei dati nelle forze di polizia e nell’amministrazione giudiziaria.
Da sottolineare anche la NIS 2 (Direttiva UE 2022/2555), una direttiva dell’Unione Europea che ha introdotto nuove misure per garantire elevati standard di sicurezza informatica negli Stati membri. L’obiettivo della NIS 2 è creare un elevato livello comune di cybersecurity oltre a migliorare la resilienza e le capacità di risposta agli incidenti dell’UE.
Normative paragonabili al GDPR sono state adottate in Paesi come Brasile, Corea del Sud, Australia, Giappone e Thailandia. Negli USA, invece, non esiste ancora una legge di settore valida a livello federale: la legge sulla privacy più severa in vigore è al momento il Consumer Privacy Act (CCPA) dello Stato della California.
Sul piano delle misure volontarie intraprese dalle aziende per garantire la sicurezza dei dati va invece ricordato l’ISO 27001, lo standard internazionale che identifica le best practice per un ISMS (sistema di gestione della sicurezza delle informazioni).
L’ottenimento di una certificazione accreditata ISO 27001 non solo permette di dimostrare che l’azienda rispetta le best practice sulla sicurezza delle informazioni, ma garantisce anche un controllo indipendente e qualificato sui processi aziendali in tema di gestione dei dati.
Le soluzioni Activa Digital
Tramite Alechin, il nostro brand dedicato alla cybersecurity, Activa Digital offre una vasta gamma di servizi finalizzati a garantire un adeguato livello di data protection, sia internamente che per i nostri clienti.
In particolare, possiamo menzionare:
- Digital Risk Protection: monitoraggio dei brand su social media, dark web e sui forum per identificare abusi o possibili esfiltrazioni di dati, con eventuali attività di takedown.
- Threat Intelligence: produzione di informazioni con alto livello di affidabilità, in grado di supportare le attività di intelligence tattiche (IoC), operative (TTP) e strategiche (report personalizzati per il Board).
- Risk Intelligence: conoscenza approfondita delle potenziali minacce sia per l’organizzazione che per la supply chain. Ciò consente all’organizzazione di prendere decisioni informate e affrontare in modo proattivo i rischi.
- Penetration Testing: test di penetrazione per simulare attacchi reali e identificare i punti deboli nell’infrastruttura e nelle applicazioni.
- Vulnerability Management & Assessment: correzione e mitigazione delle vulnerabilità e azioni di rimedio e gap analysis.
