Sicurezza delle Informazioni, Cybersecurity e Data Protection: il trend del momento.

LA TERMINOLOGIA

Sicurezza delle Informazioni, Cybersecurity e Data Protection: tre termini adoperati spesso ed impropriamente come sinonimi, pur non essendolo affatto.
Facciamo un po’ di chiarezza sull’uso appropriato di ciascuno di essi, spiegandone bene il loro significato ed il relativo contesto con annesse implicazioni.

 Chiara Ponti
Renato Castroreale
Ufficio Compliance

INDICE:

La premessa: perché non sono sinonimi

Ogni “parola” ha un significato, a maggior ragione se si tratta di termini tecnici, laddove la terminologia diventa ancora più stringente per via del contesto definitorio e normativo.

La conseguenza: gli opportuni distinguo

Per quanto di moda, occorrono sin da subito gli opportuni distinguo, andando con ordine. Sì, perché ormai sempre più spesso sentiamo parlare di “Cybersecurity, ma il più delle volte a sproposito. I media, di certo, hanno contribuito in tal senso veicolando un concetto distorto se non errato laddove gli hacker cioè i “cattivi” passano il loro tempo a tentare di sottrarre tutte le informazioni possibili “ingolosendosi” specie se sono dati personali, mentre i “buoni” resistono grazie solo alla Cybersecurity. Nell’immaginario collettivo, quindi, tali attacchi formano l’idea che il tutto avvenga con avanzatissime e potenti armi tecnologiche quasi alla stregua di fulminatori laser ed astronavi da battaglia. Smontando questa visione “fantascientifica” e surreale di guerre informatiche, torniamo alla realtà fatta di un contesto più complesso inclusivo di fattori umani, organizzativi e tecnologici. La sicurezza delle informazioni rappresenta esattamente tale completo approccio, al contrario della limitata capacità di intervento della Cybersecurity (che ne rappresenta solo un sottoinsieme) basata principalmente sulla tecnologia.

La Sicurezza delle Informazioni ed i suoi obiettivi (RID)

La sicurezza informatica o per meglio dire la sicurezza delle informazioni protegge tutte le informazioni tra cui i dati personali, poiché sono ritenuti “gli oggetti più preziosi” coinvolgendo aspetti umani ed organizzativi nella loro pienezza. La sicurezza delle informazioni è metodo volto a salvaguardare le Informazioni e gli strumenti informatici, rispetto a tre parametri fondamentali quali: Riservatezza, Integrità e Disponibilità (RID). La sicurezza delle informazioni è stata analizzata ed indirizzata in una specifica norma ISO, la UNI EN ISO/IEC 27001:2017Tecnologia delle informazioni – Tecniche di sicurezza – Sistemi di gestione della sicurezza delle informazioni – Requisiti” (di seguito ISO/IEC 27001). Si tratta di riservatezza quando si intende garantire l’accesso alle informazioni esclusivamente ai soggetti che hanno diritto ad accedervi. Essa deve essere altresì garantita durante tutto il ciclo di vita dell’informazione, ossia da quando viene generata e/o raccolta a quando viene distrutta, passando ovviamente per ogni tipo di conservazione. Ad esempio, si configura una violazione della riservatezza allorché un dato classificato come segreto, venga accidentalmente visto da soggetti non autorizzati alla lettura di questa tipologia di dati. La integrità si riferisce alla caratteristica dell’informazione di non essere in alcun modo alterata o corrotta. In questo caso stiamo parlando di ogni evento che può alterare e corrompere le informazioni, e quindi ad esempio una modifica accidentale di una informazione, o la corruzione della stessa che può avvenire per ipotesi con il guasto ad un supporto di memorizzazione (anche parziale). La caratteristica più difficile da inquadrare è normalmente la disponibilità dell’informazione, perché si tende a non considerare questo fattore come un problema. Per disponibilità si intende che una necessaria informazione deve essere accessibile in un determinato momento. Se tuttavia ciò non accade, il danno che ne può derivare è enorme. Pensiamo ad una sala operatoria e ad un chirurgo che deve accedere ai dati di un paziente per eseguire l’operazione e gli stessi non siano accessibili. Ma allora perché si parla poco di sicurezza delle informazioni? Per due motivi: 1) La sicurezza delle informazioni è un termine legato ad una norma volontaria, che le organizzazioni possono decidere di adottare, anche al fine di addivenire ad una certificazione; 2) I Governi ragionano principalmente sugli strumenti (pensiamo alla bagarre sul 5G) piuttosto che sugli aspetti organizzativi, perché più facili da implementare.

Cybersecurity ed i suoi obiettivi (RRR)

Con il termine Cybersecurity si devono, invece, intendere quegli aspetti di sicurezza delle informazioni attuate attraverso l’uso di strumenti tecnologici. Le accezioni di resilienza, robustezza e reattività sono quindi associate alla cybersecurity e di conseguenza alla visione “distorta” o limitata della sicurezza. Per resilienza si intende la capacità di un materiale di assorbire l’urto senza rompersi. In ambito informatico si intendere la capacità dei nostri sistemi di resistere ad un attacco. La resilienza è anche conosciuta come “indice di fragilità”. Per robustezza si intende la sua capacità di una infrastruttura informatica di resistere a situazioni avverse impreviste, non contemplate dall’ordinaria amministrazione. Il principio è che errori, guasti di software o hardware (interni o esterni al sistema) o attacchi informatici, non dovrebbero alterare il normale funzionamento dei sistemi e l’esperienza dell’utente. La reattività, come si può intuire dal nome stesso, costituisce la capacità di un sistema informatico di reagire a stimoli esterni o a disservizi riscontrati nell’operatività. Da queste semplici considerazioni si intuisce che tali tre fattori non sono in grado, da soli, di garantire pienamente la sicurezza. Per differenziarci, la nostra offerta garantisce sia gli aspetti di Cybersecurity che di Sicurezza delle informazioni per garantire una copertura totale e vincente.

Data Protection ed i suoi obiettivi

La Protezione dei Dati è invece deputata a tutelare i dati personali consentendone il trattamento che, come disse il compianto Buttarelli, «…rimane un’attività socialmente utile, indispensabile per il buon funzionamento di qualunque entità».

Richiamando quanto detto in merito agli obiettivi della Sicurezza delle Informazioni, qui precisiamo che gli stessi restano validi quantunque debbano essere contestualizzati rispetto ai soli Dati Personali.

Inoltre, la Data Protection, introduce elementi atti a meglio garantire i diritti e le libertà degli interessati (ad esempio informative, diritti di rettifica e cancellazione, tutela contrattuale, ecc.).

Rappresentiamo di seguito uno schema in ausilio alla comprensione di come si inquadri la Cybersecurity nell’ambito della Sicurezza delle informazioni, e perché no anche nel contesto del GDPR.

Analogamente all’offerta tecnologica, anche in materia di Data Protection il nostro approccio consulenziale include soluzioni efficaci e complete.

Sicurezza delle informazioni Cyber Security Dati Personali GDPR

La situazione in Italia

Nonostante il momento, il Governo si sta muovendo verso il completamento del Perimetro di sicurezza nazionale, e già da tempo promuove un programma di Cybersecurity attraverso l’AgID (Agenzia per l’Italia Digitale), l’ENISA (The European Union Agency for Cybersecurity) che ha peraltro recentemente cambiato nomenclatura introducendo appunto il termine “Cybersecurity”, ed ancora si parla continuamente di Cybercrime, e via seguitando.

PUNTI DI ATTENZIONE

Il CAD
Il Codice dell’Amministrazione Digitale (CAD) è il Testo Unico che riunisce ed organizza le norme riguardanti la informatizzazione della Pubblica Amministrazione nei rapporti con i cittadini e le imprese. Il CAD istituito con il D.lgs. 7.03.2005, n. 82, più volte emendato negli anni, con l’ultimo e recente intervento normativo nel 2019, il CAD è stato ulteriormente razionalizzato nei suoi contenuti. Si è proceduto ad un’azione di deregolamentazione attuata attraverso la semplificazione del linguaggio nonchè sostituendo le precedenti regole tecniche con linee guida, a cura di AgID, la cui adozione risulterà più rapida e reattiva rispetto all’evoluzione tecnologica.

Il piano triennale per l’Informatica nella PA
Il “Piano triennale per l’informatica nella Pubblica Amministrazione – 2020-2022” mira ad incrementare la consapevolezza dei rischi di cybersecurity nel settore pubblico, prevedendo una verifica (eseguita da AgID) come parte di un progetto di crescita culturale volta alla diffusione della consapevolezza in ambito di Sicurezza informatica e Cybersecurity, ed alla condivisione di esperienze nello stesso ambito.

Istituto Italiano di Cybersecurity (IIC)
L’Istituto italiano di Cybersecurity è stato sì previsto ma poi successivamente stralciato dalla Legge di Bilancio 2021. La volontà era quella di costituire una realtà che, attraverso il colloquio con i Servizi Tecnici e di Sicurezza delle Organizzazioni, portasse a proteggere le infrastrutture strategiche delle medesime. L’Istituto italiano di Cybersecurity (IIC), avrebbe dovuto essere una Fondazione, con diversi membri fondatori, tra cui l’ex Premier Giuseppe Conte, i Ministri del CISR (Comitato Interministeriale per la Sicurezza della Repubblica) e il Ministro dell’Università e della Ricerca Gaetano Manfredi. Lo stesso doveva essere coordinato dal DIS, Dipartimento Informazioni e Sicurezza (Servizi Segreti), con funzioni di monitoraggio e promozione dei servizi offerti. Pur essendo fallita la costituzione dell’ICC, vista la sua importanza strategica nazionale, non è da escludere che ciò non possa avvenire in futuro, come auspicabile, in un riveduto Disegno di Legge.

Vuoi rimanere aggiornato su tutte le ultime novità in materia Privacy?

Iscriviti a Privacy Revolution.

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.

Condividi su twitter
Condividi su linkedin
Condividi su email

“3 anni dopo: oltre il GDPR?”

Iscriviti e partecipa al nuovo talk di Privacy Revolution!

Informativa al trattamento dei dati ex art. 13 Regolamento UE 2016/679

La informiamo che, ai sensi del Regolamento UE 2016/679 (infra: “Regolamento”), i Suoi Dati Personali saranno trattati da Sistemi HS S.p.A. con sede Via Torino 176 10093 Collegno (TO), in qualità di titolare del trattamento (“Titolare”).
Il Responsabile della Protezione dei Dati (“DPO”) è raggiungibile ai seguenti indirizzi: dpo@sistemihs.it  – sistemihsdpo@cert.unonet.it
Il Titolare tratterà i Suoi dati personali per la finalità di gestione delle comunicazioni e delle newsletter relative alla community PrivacyRevolution.
La base giuridica del trattamento è riferita all’espressione del consenso da parte dell’interessato al trattamento dei propri dati personali (art. 6(1)(a) del Regolamento).
Il conferimento dei Suoi Dati Personali per la finalità di cui sopra è facoltativo; non è prevista alcuna conseguenza in caso di un Suo rifiuto. In mancanza dei dati però, non sarà possibile per il Titolare inviarle alcuna comunicazione.
L’interessato ha la possibilità di revocare il consenso prestato e di opporsi a tale trattamento in ogni momento in maniera agevole e gratuita, anche scrivendo al Servizio Privacy presso il Titolare all’indirizzo: compliance@sistemiuno.it
I Suoi dati personali potranno essere condivisi con persone fisiche autorizzate dalla Titolare al trattamento di dati personali previa sottoscrizione di un accordo di riservatezza (es. dipendenti e amministratori di sistema); soggetti terzi coinvolti nella gestione delle attività legate alla predetta finalità, alcuni dei quali agiscono in qualità di responsabili del trattamento (l’elenco completo ed aggiornato è disponibile e consultabile previa richiesta a compliance@sistemiuno.it); soggetti, enti o autorità a cui sia obbligatorio comunicare i suoi dati personali in forza di disposizioni di legge o di ordini delle autorità.
Il Titolare non trasferisce i Suoi Dati Personali al di fuori dello Spazio Economico Europeo.
I suoi Dati Personali saranno conservati fino alla revoca del consenso prestato. È fatto salvo in ogni caso l’ulteriore conservazione prevista dalla normativa applicabile tra cui quella prevista dall’art. 2946 cod. civ. Maggiori informazioni sono disponibili presso il Titolare
Lei ha diritto di chiedere al Titolare, in qualunque momento, l’accesso ai Suoi Dati, la rettifica o la cancellazione degli stessi o di richiedere la limitazione del trattamento, o di ottenere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati che La riguardano nei casi previsti dall’art. 20 del Regolamento.
È possibile formulare una richiesta di opposizione al trattamento dei Suoi dati ex articolo 21 del GDPR nella quale dare evidenza delle ragioni che giustifichino l’opposizione: il Titolare si riserva di valutare l’istanza, che non verrebbe accettata in caso di esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgano sui tuoi interessi, diritti e libertà.
In qualsiasi momento potrà revocare ex art. 7 del Regolamento, il consenso già prestato, senza che ciò pregiudichi la liceità del trattamento effettuato anteriormente alla revoca del consenso.
Le richieste vanno rivolte per iscritto al Titolare o al DPO ai recapiti sopra indicati. In ogni caso Lei ha sempre diritto di proporre reclamo all’autorità di controllo competente (Garante per la Protezione dei Dati Personali), ai sensi dell’art. 77 del Regolamento, qualora ritenga che il trattamento dei Suoi dati sia contrario alla normativa in vigore.