GDPRSicurezza informatica

Appunti e osservazioni dal Cybersecurity 360 Summit 2019

Giovedì 30 maggio ho partecipato al Cybersecurity360 Summit di Milano, ho trovato molti spunti interessanti e molte conferme al mio approccio.

Di seguito riporto parte dei miei appunti, intercalati con mie osservazioni.

 

L’intervento di Faggioli ricalca in parte quanto già affrontato nella giornata di presentazione della ricerca dell’Osservatorio del MIP sul GDPR.

La parte più interessante riguarda l’indicazione pratica che Faggioli ha fornito della sua esperienza come DPO.

Descrive un deciso cambio di marcia rispetto ai controlli pre GDPR e cita come esempio la richiesta della valutazione dei livelli sicurezza dei fornitori.

In ottica accountability la richiesta è stata: su che criteri avete considerato adeguate le misure di sicurezza implementate dal fornitore?

Da questa osservazione nascono due mie considerazioni.

La prima riguarda la necessità di corredare il contratto di affidamento come responsabile esterno con una dettagliata valutazione di sicurezza, cosa che ho visto raramente fare.

La seconda è che per fare tale valutazione è necessario che il titolare abbia chiaramente definito la metrica per definire accettabili i controlli di sicurezza concordati con il fornitore; anche in questo caso la mia esperienza mi dice che spesso non è così.

Una delle considerazioni che Faggioli ha fatto è, riferendosi al cloud, che: “I gioielli di famiglia sono più sicuri in cassetta di sicurezza in caveau in banca piuttosto che in casa mia”.

In linea di principio concordo anche se trovo l’esempio non del tutto corretto.

Chiaramente i livelli di sicurezza di grossi player e il loro continuo aggiornamento rende più difficile l’accesso rispetto a un’infrastruttura di rete aziendale, anche se proprio per la loro esposizione i grandi player sono decisamente più appetibili rispetto ad una piccola realtà. Inoltre è diverso il tipo di accesso: difficilmente la banca ha interesse ad accedere al contenuto delle cassette di sicurezza, più facile ed eventualmente remunerativo farlo per i cloud player.

Scegliere il cloud perché più affidabile e sicuro è certamente una valutazione da fare, magari pensando un meccanismo di crittografia dei contenuti prima del “deposito” sui servizi cloud.

L’ultima considerazione di Faggioli che sottolineo, anche in ottica di gestione giornaliera delle aziende, è che l’impatto del cybercrime è minore rispetto alle azioni di sabotaggio informatico.

 

L’intervento di Iannini ha fornito il punto di vista del Garante.

Da quanto si è applicato il GDPR la consapevolezza è aumentata anche se il contesto rimane preoccupante.

Sono stati segnalati tantissimi data breach con una distribuzione di denunce al 26% per organizzazioni private e al 74% per la Pubblica Amministrazione. Iannini indica quindi la necessità di lavorare molto sui temi di Cybersecurity nelle PA.

Avendo lavorato soprattutto con organizzazioni private, il mio dubbio è che in questa fase ci sia stata una certa ritrosia a denunciare data breach da parte delle stesse.

Iannini continua indicando che il 2018 è stato l’anno peggiore per la cybersecurity in Italia.

Riferisce anche che all’interno del Garante si è ben ponderato se rendere pubblici i data breach e che la decisione sull’opportunità di pubblicare gli estremi degli stessi sia stata presa per permettere l’aumento della consapevolezza.

Sempre Iannini riferisce che il Garante ritiene di avere una voce importante non solo per quanto riguarda i dati personali, ma anche per la cybersecurity in generale.  Oltre alla tutela della persona è importante proteggere il contesto e quindi la società in generale.

L’intervento di Iannini si conclude con la considerazione che l’investire in cybersecuriy aiuta a mantenere si la sicurezza ma anche la libertà.

 

Ho trovato le due tavole rotonde successive un po’ fuori tema rispetto al titolo anche se sicuramente ho trovato spunti decisamente interessanti che riporto di seguito.

 

Tavola rotonda: “L’individuazione degli incidenti in sicurezza”

Il tema principale è quello della consapevolezza (awareness) che non dev’essere solo in capo all’infrastruttura IT, ma parte integrante di tutta l’organizzazione.

Si è fatto l’esempio, in concreto, di piccole applicazioni (come quella per l’invio di SMS marketing) che sfuggono ai censimenti della struttura IT perché acquisite in autonomia da altre funzioni aziendali, portando a potenziali conseguenze spiacevoli e incontrollate.

Uno spunto che ho trovato molto interessante è quello sulla visione olistica degli incidenti che comporta il passaggio dalla visione ICT centrica a quella security centrica.

Nel concreto: se svento un attacco di phishing nei confronti dell’amministratore delegato dal punto di vista ICT ho avuto un successo del 100% e non mi pongo altre domande. Se però analizzo il registro dei tentativi di attacco e vedo che è il terzo attacco di quel tipo in pochi mesi e mi accorgo che l’amministratore delegato è stato oggetto di altri tipi di attacco, allora posso riconoscere un pattern e definire un percorso di protezione più attento e preoccupato.

 

Si è poi parlato dei fornitori che vanno gestiti sia dal punto di vista contrattuale che dal punto di vista del rapporto.

I fornitori contribuiscono in modo naturale all’aumento della superficie di attacco: non basta che io sia sicuro ma è necessario che tutta la catena sia sicura al mio stesso livello.

 

Un’altra considerazione interessante riguarda le spese per la sicurezza che non possono essere sostenute da tutti. Questo porterà molte aziende a spostarsi verso l’outsourcing della sicurezza.

Ormai gli attacchi informatici non sono appannaggio solo di esperti, ma sono disponibili e diffusi strumenti di attacco anche per non esperti.

Dovrebbe far riflettere che l’87% degli attacchi informatici del 2018 sono stati effettuati sfruttando vulnerabilità già conosciute e patchate. È fondamentale un lavoro di aggiornamento e consapevolezza che li avrebbe evitati.

Ultime due considerazioni che ritengo estremamente importanti.

L’unità di security interna deve essere vista come advisor e non come censore. Un consiglio può essere quello di metterla al servizio anche degli interessi “privati” dei dipendenti in modo che passi “naturalmente” la cultura della sicurezza.

La seconda è quasi una banalità ma la ritengo fondamentale: più la sicurezza sarà usabile, meglio sarà compresa e più sarà implementata.

Tavola rotonda: “La valutazione e prevenzione degli incidenti in sicurezza”

Gli spunti che ho raccolto sono i seguenti.

La DPIA va pensata anche per avere uno scopo: se la faccio solo per ottemperare all’obbligo del GDPR non serve; se la faccio, ad esempio, in ottica di risposta all’inci­dente allora diventerà fondamentale.

Un consiglio che ho trovato estremamente interessante: considerare anche l’opportunità di utilizzare documenti cartacei per le procedure di gestione incidenti. Se li lascio solamente in formato digitale potrebbero essere coinvolti nell’incidente e quindi non essere disponibili.

Il controllo puntuale su tutti i fornitori per grandi player è impensabile; si prospetta quindi che verrà richiesta l’adesione a uno schema di certificazione da parte dei partner.

 

L’ultimo intervento di Finocchiaro ha paragonato il GDPR come la parte strutturale di un’architettura.

Allo stato attuale siamo nel mezzo di un cantiere.

L’accontability dice che c’è un buco normativo, voluto, che implica la libertà di scelta, purché sia documentata e quindi, come titolare devo esser pronto a far valere le mie ragioni.

Gli spazi vuoti del cantiere devono essere riempiti in parte da leggi e in parte dai titolari stessi!

Conclusioni

Un evento stimolante e ricco di contenuti da cui rafforzo la mia opinione sulla necessità di formazione e informazione per aumentare la consapevolezza sia all’interno che all’esterno delle aziende.

Il percorso di adeguamento al GDPR non si è concluso, come molti credono, con il primo approccio all’adeguamento. Siamo solo all’inizio e questo processo, auspico, porterà finalmente a una maggiore sensibilità ai temi della cybersecurity e della protezione delle informazioni.