La valutazione del rischio informatico per le aziende è un procedimento necessario per la compliance al GDPR, ma che va ben oltre l’obbligo di legge: proteggere i dati trattati dalle aziende, vuol dire proteggere le persone a cui quei dati appartengono. I rischi sono diversi e non banali, e aumentano di pari passo con la mole di dati sensibili trattati e la complessità della infrastruttura tecnologica utilizzata.
Fabio Di Nicola è responsabile della Business Unit ISEC, la struttura di Ecoh Media dedicata alla sicurezza informatica. Con oltre venti anni di esperienza, oggi Fabio ci aiuta a fare il punto della situazione in materia di valutazione del rischio informatico, compliance al GDPR e rischi per le aziende, soprattutto per quelle nel settore della sanità, in cui ISEC di Ecoh Media ha una lunga expertise.
In che modo la valutazione del rischio informatico è necessaria per la compliance al GDPR?
Avere la consapevolezza del livello di esposizione ai rischi informatici è il primo passo per contrastare possibili esfiltrazioni di dati sensibili, personali e/o aziendali. Valutare il rischio informatico, soprattutto in relazione alla protezione dei dati personali, è un aspetto che definirei centrale per il GDPR. Il regolamento europeo infatti prevede che venga valutato il rischio per le libertà e i diritti degli interessati, derivante da un’eventuale violazione dei dati ai danni dell’azienda.
Poiché è quasi impensabile che un’azienda, per quanto piccola, oggi possa lavorare senza utilizzare alcun device tecnologico connesso a Internet, è evidente che una valutazione del rischio informatico è un’azione imprescindibile. Naturalmente, le dimensioni dell’azienda e il settore dell’industria a cui fa riferimento indicano rischi diversi: questi dipendono infatti dalla quantità e dalla sensibilità dei dati trattati.
Come si svolge questa valutazione?
La valutazione del rischio informatico è un’analisi che serve ad avere una visione globale dell’esposizione di un’azienda alla perdita o alla violazione dei dati. Spesso l’azienda non è consapevole che le informazioni che la riguardano sono già disponibili in Internet: si trovano sia su database illegali, anche nel deep web, sia su fonti lecite, da cui però potrebbero essere estrapolate per un uso illecito.
La valutazione del rischio informatico consente di mappare quante, quali e dove sono le informazioni sull’azienda e sulle persone che vi orbitano attorno. In base a questo, poi, si scelgono le azioni di mitigazione del rischio da intraprendere.
Con la metodologia messa a punto dal team ISEC, all’azienda viene consegnata una relazione esaustiva e sintetica con l’evidenziazione dei rischi rilevati e le rispettive criticità, nonché delle azioni di mitigazione da attuare.
La valutazione consiste in una prima parte, denominata Open Source Intelligence (OSINT), che mira a reperire dal web, sia quello tradizionale che quello denominato deep web, tutte le informazioni critiche riconducibiliall’ente. La seconda fase dedicata alla Vulnerability Assessment (VA), è invece un’analisi delle vulnerabilità presenti sulla infrastruttura tecnologica. Somministriamo ai clienti anche un questionario per meglio rilevare eventuali vulnerabilità. Questo ci serve ad avere una visione d’insieme dell’azienda che richiede la valutazione, per capire in che modo un attaccante malintenzionato (sia una persona fisica che un’automazione ad hoc) potrebbe essere interessato a attaccarla.
Per quali scopi possono essere “rubati” i dati di un’azienda?
Gli attaccanti tendono ad acquisire le informazioni per motivi diversi. Riuscendo ad accedere alla firma, al codice fiscale e alla mail di un VIP aziendale, potrebbero simulare una sostituzione di persona, per esempio.
È importante salvaguardare anche i dati reperibili da contatti, dipendenti, CV ecc. Infatti, gli attaccanti potrebbero mirare a ottenere informazioni su questi soggetti e assumerne l’identità – e la credibilità – per perpetrare truffe. Un caso frequente è la contraffazione di comunicazioni ufficiali. Questo modo di procedere è definito social engineering, o ingegneria sociale.
È intuitivo che queste sostituzioni di persona facilitano le truffe, i furti, la concorrenza sleale e che possono minare la reputazione dell’azienda. Ci sono però anche rischi che potremmo definire “privati”: ottenere informazioni sulla residenza e sui recapiti di un soggetto potrebbe esporlo, per esempio, allo stalking e a altri reati contro la persona.
Quali aziende devono fronteggiare i rischi più elevati?
Come accennato, più sono i dati trattati dall’azienda in termini di quantità e sensibilità, più il rischio aumenta. Un settore vulnerabile, in questo senso, in cui in ISEC abbiamo una forte expertise è quello dell’healthcare. Pensiamo ai dati trattati da un gruppo ospedaliero: ci sono i dati dei dipendenti, dei collaboratori, dei fornitori, e soprattutto quelli dei pazienti.
Tra i dati dei pazienti, ci sono informazioni su residenza, contatti, recapiti e poi dati estremamente sensibili che riguardano la salute dell’individuo. Le cartelle cliniche raccontano la storia della salute del soggetto, riportano le anamnesi in cui sono indicati, per esempio, i farmaci assunti o eventuali dipendenze, le patologie, gli aspetti familiari. Alcuni di questi dati, poi, non afferiscono solo alla sfera fisica, ma anche a quella psichica. Solo questo basta a dare l’idea di quanto sia importante per un’azienda che opera nel settore della sanità un’adeguata valutazione del rischio informatico, seguita da un intervento di mitigazione, per proteggersi – e per proteggere gli interessati – dal furto di informazioni.
Non si tratta quindi solo di adeguarsi a una normativa: il GDPR infatti prevede una responsabilizzazione verso le persone che forniscono i dati personali alle aziende.
Che ruolo ha la componente umana nella sicurezza informatica?
Per la nostra esperienza, abbiamo capito che la componente umana è importante quanto quella tecnica. Per componente umana infatti intendiamo il know-how di dipendenti e collaboratori e la loro consapevolezza verso i rischi di cui abbiamo parlato. Si può proteggere tecnicamente un’infrastruttura informatica e monitorare 24/7 tutti i dati in entrata e in uscita. Tuttavia, se il dipendente che siede dietro il PCè inconsapevole del rischio informatico e delle sue conseguenze, sarà portato a fornire dati con troppa leggerezza, utilizzare password inadeguate e non adottare le misure di sicurezza necessarie.
Proprio per questo motivo abbiamo deciso di fornire una consulenza a 360°, in tema di sicurezza informatica, che comprende la formazione del personale: la nostra mission aziendale è quella di consentire alle aziende clienti di poter mantenere nel tempo non solo la compliance al GDPR, ma anche di garantire un’adeguata protezione dei dati alla galassia di persone che orbitano intorno a loro.
Quindi, la sicurezza informatica riguarda davvero tutti?
Direi di sì. Spero che da quanto raccontato sia emerso un altro aspetto “umano”, che in ISEC riteniamo davvero indispensabile: la sicurezza informatica non è un aspetto solamente tecnico, per sistemisti, ingegneri e cervelloni. Essendo tutti costantemente interconnessi e condividendo continuamente i nostri dati, questo aspetto riguarda da vicino chiunque, qualunque persona. Ed è proprio su questo concetto che vorrei insistere per ricordare la responsabilità delle aziende nel proteggere i dati perproteggere le persone da tutti i rischi a cui abbiamo accennato.
Se hai un’azienda e vuoi avere più informazioni sui servizi di valutazione del rischio informatico messi in campo da ISEC, visita la pagina web dedicata o contatta il team di Fabio Di Nicola al numero + 39 085 94