Gli studi di settore prevedono per la cybersecurity un rilevante e costante aumento degli investimenti, sia in considerazione del sempre più elevato numero e della complessità delle minacce cyber, sia per la diffusione di massa di tecnologie la cui sicurezza non è mai stata testata fino in fondo prima della immissione sul mercato (come ad esempio IoT), e per l’introduzione di nuove tecnologie che aprono a ulteriori scenari di rischio (5G, AI) sempre più difficilmente arrestabili con strumenti tradizionali.
Anche l’introduzione del Regolamento europeo sulla Privacy (GDPR) ha comportato in questi anni un considerevole aumento di spesa da parte delle aziende, per realizzare la conformità almeno per gli aspetti più critici, anche se molte di esse sono ancora lontane dall’avere completamente implementato e consolidato tutti gli aspetti operativi e gestionali, legati ai nuovi requisiti GDPR. Le aziende quindi hanno investito moltissimo sinora e investiranno ancora di più nei prossimi anni.
Ma è stato sufficiente il semplice aumento del budget in termini di cybersecurity e privacy per migliorare il proprio livello di sicurezza a protezione del patrimonio aziendale?
Vediamo in quali situazioni, e perché il semplice aumento di spesa e gli investimenti in nuove misure di sicurezza e privacy potrebbero non essere sufficienti, se affrontate con l’approccio tradizionale, e perché una corretta politica di Data Governance, supportata da un valido sistema di Asset Management, può aiutare a indirizzare meglio la spesa del budget disponibile e a ridurre i rischi per l’azienda.
Come è possibile integrare alcuni requisiti di GDPR con le tradizionali attività di Data Governance e di Asset Management, e con le attività di cybersecurity, per rendere l’azienda più conforme ai principi dettati da GDPR e allo stesso tempo ottenere riduzioni di spesa grazie all’efficientamento dei processi interni?
Indice degli argomenti
Approccio tradizionale alla cybersecurity
La cybersecurity prevede l’esecuzione con cadenza regolare di una serie di attività di prevention e detection (patch management, penetration test, vulnerability management) funzionali alla riduzione del rischio per le minacce informatiche, che chiameremo per comodità di “sicurezza operativa” .
Tali attività pongono al centro della loro attenzione gli asset aziendali, suddivisibili, per semplificazione, in alcune macrocategorie :
- Asset fisici (infrastruttura HW e di rete)
- Asset Virtuali o Software (Sistemi Operativi, Virtual Machine / Middleware)
- Strato applicativo (singola applicazione, database )
- Business Application (servizio di business che utilizza tutti gli strati precedenti per realizzare un servizio verso l’utente finale )
Asset Management e definizione delle priorità
In realtà, per la valutazione degli aspetti di criticità, le aziende hanno sempre considerato come preponderante la disponibilità e la continuità del servizio.
È logico quindi che le attività di “sicurezza operativa” sugli asset siano oggi sostanzialmente concentrate, per molte aziende, secondo categorie di priorità tradizionalmente determinate in base all’impatto sul business, e spesso anche da urgenze determinate in base ad eventuali minacce informatiche in corso o che accadute all’azienda di recente.
Purtroppo, ancora molte aziende non tengono in conto, nella definizione di tali criteri, anche dei dettami della GDPR, che richiede di dare la massima priorità per proteggere applicazioni ad alto rischio per gli utenti.
Con GDPR, infatti, è necessario introdurre un ulteriore criterio di identificazione delle priorità, perché GDPR porta alla luce nuovi scenari di rischio. È facile immaginare, infatti, scenari di “rischio GDPR”, per cui un servizio possa anche essere attivo, e anche in piena utilizzazione da parte degli utenti, ma che diventi allo stesso tempo un pericolo per l’azienda,
Ad esempio, qualora si subisca un furto dati (data breach) rilevante, che potenzialmente crei un enorme impatto sia sul business (brand reputation, sanzioni), ma che non interrompa affatto il funzionamento del servizio.
In questi casi gli asset oggetto del data breach potrebbero essere benissimo stati classificati come non a rischio secondo i tradizionali criteri di cybersecurity, ma qualora si verifichi la sussistenza di un rischio elevato per i dati personali, l’azienda non ha scelta e dovrebbe adeguare anche il livello generale di rischio dell’asset e renderlo elevato.
Dato che, come abbiamo visto in precedenza, la “sicurezza operativa” lavora prevalentemente sulle tipologie di asset sopra elencati, è intuitivo quindi desumere che la necessità di assicurare a determinati utenti un livello di protezione maggiore che ad altri, e la verifica del livello di rischio corso dai data personali, debba entrare a pieno titolo nei criteri di categorizzazione degli asset aziendali, per consentire alla intera sicurezza operativa di adottare meccanismi e criteri adeguati a rischio.
Il sistema di asset management dovrà quindi essere messo in grado di gestire anche informazioni relative al contenuto degli asset stessi, classificandoli in base al “rischio GDPR”, per consentire alla sicurezza operativa di identificare gli asset a alto rischio per GDPR, e includere tali asset, all’interno nelle proprie attività di verifica (patch management, vulnerability assessment, ..) .
Un sistema di Asset Management ben progettato, diventa quindi un “fattore abilitante”, perché mette in grado i sistemi di essere messi in sicurezza in maniera adeguata .
In assenza di tali informazioni, la sicurezza operativa finisce per non poter garantire la protezione di asset ad alto rischio GDPR con la giusta priorità, dato chè è del tutto possibile che asset critici per GDPR siano messi in sicurezza dopo assett che per GDPR rappresentino un rischio medio o addirittura basso.
Da notare che l’omessa prioritizzazione di controlli di sicurezza operativa per applicazioni ad alto rischio, se comporta un ritardo nella messa in sicurezza di tali asset, può rappresentare anche una violazione diretta dell’Art. 32 del GDPR che obbliga all’adozione di misure di sicurezza organizzative e tecniche adeguate.
Data Governance ed efficienza operativa delle attività di cybersecurity
Con Data Governance ci si riferisce alla capacità che consente a un’organizzazione di garantire che esista un’alta qualità dei dati durante il loro ciclo di vita. Generalmente i principi generali della Data Governance includono disponibilità, usabilità, coerenza, integrità e sicurezza dei dati e comprendono la definizione di processi per garantire un’efficace gestione dei dati in tutta l’azienda, come anche la responsabilità per gli effetti negativi della scarsa qualità dei dati e la garanzia che i dati possano essere effettivamente utilizzati dall’intera organizzazione.
Come si può ben intuire, molti dei requisiti GDPR si sposano benissimo con i concetti tradizionali di Data Governance, ma, con GDPR, all’azienda è richiesto qualcosa in più. L’azienda non deve solo gestire i dati come patrimonio aziendale, e quindi come un mezzo per fare business che deve essere adeguatamente protetto, ma deve identificare con precisione quali siano i dati considerati (anche potenzialmente) come dati personali, e tenere conto dei rischi e delle conseguenze negative che i proprietari di questi dati personali corrono, in dipendenza dell’ambiente e del tipo di trattamento effettuato.
Appare evidente come, per garantire una migliore efficienza operativa nella gestione delle attività di cybersecurity, e di conseguenza un risparmio di costi per l’azienda, i “rischi GDPR”, una volta individuati debbano essere associati agli asset su cui questi dati vengono gestiti, tramite l’adozione di un sistema di asset management che consenta la catalogazione e categorizzazione anche delle informazioni rilevanti per GDPR.
Questa attività deve essere considerata parte integrante di una corretta Data Governance aziendale.
La piena consapevolezza del proprio patrimonio aziendale, sia in termini di asset fisici (le infrastrutture) e di asset logici (i dati), e del livello di rischio corso da entrambi, è fondamentale per identificare che le misure di sicurezza applicate siano le più appropriate possibili, e di conseguenza, di essere in grado di rispettare i dettami dell’Art. 32 del GDPR, sopra richiamato.
Ottimizzazione dei costi con una realistica e aggiornata gestione delle priorità
GDPR prevede che sia il titolare del trattamento, sia il responsabile del trattamento realizzino misure di sicurezza organizzative e tecniche in base al rischio corso dagli individui che sono proprietari dei dati personali, e i cui dati sono ospitati dagli asset fisici e gestiti dagli asset aziendali sopracitati (dalla infrastruttura allo strato applicativo).
Le aziende, pertanto, si sono generalmente organizzate, in fase di adeguamento a GDPR, per identificare quali fossero le applicazioni ad alto rischio, realizzando di conseguenza una serie di Privacy Impact Assessment per valutarlo.
Tuttavia, questa analisi rimane generalmente al di fuori dei tradizionali sistemi di Data Governance e di Asset Management. Questo è un peccato, perché appare evidente che con una corretta Data Governance, e l’integrazione con un sistema di Asset Management ben organizzato, che tengano nel dovuto conto sia dei requisiti di cybersecurity che di GPDR, sia possibile indirizzare le risorse delle attività di security operations, verso le aree veramente critiche, cioè dove maggiormente l’azienda ha necessità di cautelare se stessa e i propri utenti, con conseguente risparmio di budget e riduzione del rischio di diventare inadempienti nei confronti degli obblighi GDPR .
Un ulteriore consistente risparmio per le aziende può arrivare anche dall’evitare la duplicazione delle attività, che avviene di frequente quando le attività di analisi GDPR vengono svolte in maniera indipendente, e decidano per conto proprio quali asset GDPR ad alto rischio debbano essere cautelati, costringendo chi gestisce le security operations, a realizzare una attività parallela di analisi e implementazione delle misure di sicurezza, tenendo conto di principi e rischi diversi. Con evidente duplicazione del lavoro e maggiori costi, e di solito anche ritardi nella implementazione.
Purtroppo, è da notare che sono poche le aziende che hanno modificato il loro approccio alla sicurezza operativa per tenere conto dell’introduzione del GDPR, e integrare le informazioni provenienti dalle attività di adeguamento e identificazione dei rischi GDPR nella gestione della propria sicurezza operativa
Conclusioni
Un’efficiente integrazione tra il mondo GDPR e quello tradizionale della cybersecurity non può essere fatta a posteriori, ma richiede un grosso sforzo da parte dell’azienda per creare un raccordo tra i due mondi.
E tale raccordo non può che avvenire a livello di gestione complessiva e catalogazione dei dati personali in azienda (Data Governance) e con una buona integrazione della gestione con il sistema di Asset Management, mettendo bene in evidenza i collegamenti tra dati personali e relativi asset.
E soprattutto gestendo e aggiornando le criticità e i rischi provenienti dalle analisi GDPR in maniera integrata rispetto a quelli ormai “standard” della cybersecurity, all’interno di un unico sistema aziendale di asset management.
Solo se saranno in grado di farlo, le aziende saranno in grado di migliorare l’efficienza delle attività di security operations.
@RIPRODUZIONE RISERVATA
