Oggi si celebra il Data Privacy Day, la Giornata Internazionale della Protezione Dati; Proofpointmette a fuoco alcuni aspetti importanti in ambito sicurezza.
Adenike Cosgrove, cybersecurity strategist, international di Proofpoint Il Data Privacy Day offre alle organizzazioni un momento importante per riflettere se stanno facendo davvero abbastanza per proteggere i dati dei loro clienti dalle minacce IT. Anche se le normative sulla sicurezza delle informazioni, come il GDPR, hanno favorito l’avvio di dibattiti e conversazioni e portato le aziende a pensare in modo diverso alla protezione, siamo solo al punto di partenza. Il fatto che un’azienda sia conforme a un regolamento non significa necessariamente che stia facendo tutto il possibile per proteggere i dati dei propri clienti.
Ad esempio, secondo il GDPR, il principio di integrità e riservatezza stabilisce che le organizzazioni debbano attuare “adeguati controlli di sicurezza” per salvaguardare i dati personali. Tuttavia, il regolamento non definisce cosa significhi realmente “adeguato”. Un’organizzazione potrebbe sostenere che l’implementazione di un antivirus di base e di corsi di formazione annuali sulla sicurezza dei dati per il personale siano “adeguati”.
Questo può essere tecnicamente conforme alle normative, ma è davvero sufficiente a mantenere i dati al sicuro da attacchi dolosi e violazioni? Il panorama attuale delle minacce informatiche è cambiato radicalmente, con aggressori malintenzionati che privilegiano attacchi sofisticati e mirati perpetrati utilizzando tecniche di ingegneria sociale per capitalizzare le vulnerabilità umane. In breve, una sicurezza “adeguata” non è sufficiente.
Proteggere dalle minacce richiede una strategia altrettanto sofisticata che salvaguardi persone, processi e tecnologia in modo costante. La compliance è spesso vista come un esercizio di check-box e può essere aperta a interpretazioni, quindi diventare conforme a normative come il GDPR non dovrebbe essere uno dei driver primari di sicurezza. La conformità è un passo importante del processo in quanto può aiutare un’azienda a scoprire i gap di protezione, ma deve essere vista solo come un punto di partenza nel cammino verso la vera protezione dei dati e la sicurezza delle informazioni. Al di là di “flaggare” la casella relativa alla compliance, le organizzazioni devono adottare le best practice del settore, comprendere il loro profilo di rischio individuale e implementare strategie di sicurezza focalizzate sulle persone.
