La sicurezza informatica, i processi e la nuova legge federale sulla protezione dei dati
La crescente dipendenza dalla tecnologia e la proliferazione dei dati digitali hanno reso la cybersecurity una delle questioni più urgenti e rilevanti nel mondo moderno. Le interconnessioni del mondo digitale hanno infatti portato ad una crescente consapevolezza della necessità di proteggere le informazioni da minacce virtuali sempre più sofisticate: sono a rischio dati sensibili, informazioni personali e la continuità delle operazioni aziendali.
L’importanza della sicurezza informatica è oggi indiscutibile, ma spesso si misconosce la complessità di questo settore e l’importanza di considerarla come un processo continuo piuttosto che un prodotto da installare una volta per tutte.
Il nuovo paradigma è combinare tecnologia e procedure per una protezione efficace.
La sicurezza informatica non è un destino da raggiungere, ma piuttosto un viaggio in continua evoluzione. Come detto, spesso, si cade nell’errore di considerarla un prodotto, ovvero un insieme di software, firewall o dispositivi hardware che proteggano da minacce. Tuttavia, questa visione è parziale e fuorviante. La sicurezza informatica è piuttosto un processo articolato che coinvolge persone, procedure e tecnologia. Gli esperti del settore sono consapevoli di questa realtà: non offrono solo soluzioni tecniche, ma aiutano le organizzazioni a sviluppare una cultura di sicurezza, implementando procedure robuste e promuovendo la consapevolezza tra i dipendenti. Questo approccio olistico è fondamentale perché, in un mondo digitale in costante cambiamento, la sicurezza deve essere sempre aggiornata e adattata alle nuove minacce.
La tecnologia gioca evidentemente un ruolo fondamentale nella protezione delle informazioni. Firewall, sistemi di rilevamento delle intrusioni, crittografia e altri strumenti tecnologici sono pilastri della sicurezza informatica. Tuttavia, è importante sottolineare che la tecnologia da sola non è sufficiente. È l’abilitatore che consente alle procedure e alle politiche di sicurezza di funzionare in modo efficiente. Per il tramite di queste tecnologie è possibile raggiungere, con strumenti automatici, da configurare correttamente, un buon grado di tranquillità. Le aziende sono chiamate sia ad implementare le soluzioni tecnologiche necessarie sia ad avere una spiccata competenza nella loro gestione e manutenzione. La tecnologia deve essere costantemente monitorata e aggiornata per rimanere efficace contro le minacce in evoluzione. Questo concetto vale sia nel caso in cui si abbia un’infrastruttura gestita internamente sia nel caso in cui questa sia gestita con aziende di supporto esterne.
Le procedure sono la spina dorsale di qualsiasi sistema di sicurezza. Devono essere chiare, accessibili e facili da seguire per essere efficaci. Le aziende devono sviluppare procedure che non solo proteggano le informazioni, ma che siano anche sostenibili nell’uso quotidiano.
L’obiettivo è creare un ambiente in cui le procedure di sicurezza siano integrate nella routine lavorativa senza ostacolarne l’efficienza. Questo equilibrio tra sicurezza e praticità è fondamentale per garantire che le procedure vengano seguite in modo coerente da tutto il personale. Un errore comune è ritenere che un informatico possa occuparsi da solo della sicurezza informatica.
Questa è una visione limitata, poiché le competenze richieste per gestire la sicurezza sono diverse da quelle necessarie per gestire l’infrastruttura tecnologica. Un informatico è responsabile della gestione quotidiana dei sistemi e delle reti, ma un esperto di sicurezza ha una prospettiva differente. Si occupa di valutare le minacce, sviluppare politiche e procedure, monitorare l’efficacia delle misure di sicurezza e garantire la conformità alle normative. Queste responsabilità richiedono una profonda comprensione delle minacce digitali e delle migliori pratiche di sicurezza.
Le due figure non sono in contrasto ma sono chiamate a cooperare in modo attivo. La presenza di due figure è fondamentale per garantire un corretto bilanciamento nell’IT aziendale, oltre che perseguire il principio di separazione tra controllato e controllore. Grazie alle competenze di chi si occupa di sicurezza cibernetica, è possibile sviluppare il cosiddetto principio di security by design e security by default, ovvero fornire a chi si occupa di informatica pura tutte le informazioni per implementare i sistemi in modo tale che siano rispondenti ai requisiti di sicurezza che ciascuna azienda si pone. Per questo motivo non è possibile costruire un modello di sicurezza univoco per tutti, se non per questioni fondanti, di principio, ma ciascuno deve ritagliare in modo sartoriale le proprie politiche di gestione della cybersecurity.
L’introduzione, il 1° settembre 2023, della nuova legge federale sulla protezione dei dati (di cui si è anche discusso nell’evento “LPDomani!” tenutosi lo scorso 31 agosto presso il Casinò di Lugano, organizzato dalla Cc-Ti con Gruppo Sicurezza e Casinò di Lugano) sottolinea ulteriormente come la Confederazione ritenga centrale l’importanza della sicurezza informatica e della gestione delle informazioni. La legislazione impone infatti requisiti rigorosi per la protezione dei dati personali e richiede un approccio proattivo alla sicurezza delle informazioni.
A seguito dell’introduzione della nLPD, le aziende devono garantire che i sistemi e le procedure siano conformi alle leggi sulla protezione dei dati, proteggendo così la privacy degli individui. Anche in questo caso, se non per principi cardine, non è possibile creare una gestione della privacy “fotocopia”, uguale per tutte le aziende e le organizzazioni, ma, per garantire le specificità di ciascuno, si deve analizzare e redigere quanto necessario in modo circostanziato e puntuale.
Non si tratta però di un moloch: la chiave del successo è capire che si tratta di un’opportunità per affrontare un viaggio introspettivo nella vita aziendale e comprendere quali dati si trattino e quali procedure siano in essere, per garantirne la corretta protezione. I dati e tutte le informazioni sono la base fondamentale su cui le aziende e le organizzazioni vivono: diventa quindi mandatorio dedicare del tempo a rendere sicure le infrastrutture affinché non vengano modificati, trafugati, divulgati.
Articolo a cura di Ing. Pietro Vassalli, Cyber Security Manager, Gruppo Sicurezza
