Intervista a Gaia Pavan – Security Expert

In questa intervista parliamo di Media Off-site Storage, Privacy Impact Analysis e del futuro della Cyber Security con Gaia Pavan, Security Expert (ISO 10459:2017). Tra i vari compiti che svolge come Security Expert c’è il Risk Management,  ovvero il processo attraverso il quale si misura e si valuta il rischio per un’azienda di determinati processi o azioni. Una volta valutato il rischio si sviluppa una strategia per governarlo.  

Minacce sicurezza aziendale: soluzione di custodia a freddo dei dati (Media Off-site Storage)

Il sistema di custodia a freddo o Media Off site Storage può risultare molto utile per aziende che hanno deciso di non utilizzare sistemi in cloud e di mantenere in sicurezza i propri backup fisici. Ovviamente la decisione di utilizzare questa soluzione, o un insieme di queste, deve essere ben ponderata in base alle caratteristiche aziendali e al livello di maturità digitale che si ha. 

Privacy Impact Analysis: integrata all’interno di una strategia di Cyber Security

La Privacy Impact Analysis deve essere integrata all’interno di una strategia aziendale di Cyber Security. Ormai sono pochissime le aziende che gestiscono le informazioni sensibili in modalità non digitale. Questo implica che le stesse aziende debbano avere una visione integrata ed olistica della sicurezza delle informazioni. Che le informazioni sensibili siano cartacee o digitali, non bisogna mai scordarsi dei principi alla base della sicurezza delle informazioni: Riservatezza,  Integrità e Disponibilità. Sulla base di questi principi e delle novità in materia di Privacy, risulta essenziale tutelare le informazioni sensibili e l’azienda stessa da eventuali rischi cyber. 

Qual è lo stato attuale, e il suo possibile sviluppo, della Cyber Security di PMI e PA?

La maggior parte delle PMI, cosa ancora più visibile nella PA, hanno ancora una bassa maturità per quanto concerne le tematiche di Cyber Security. Ho notato come, la maggior parte di queste aziende, preferisca mettere in atto delle misure cautelative di stampo assicurativo senza verificare come, con pochi e semplici stratagemmi, si possano tutelare sia le proprie informazioni che l’azienda stessa. Penso che il primo passo per far crescere la maturità aziendale riguardo alle tematiche di Cyber Security sia quello di informare e formare tutti i dipendenti aziendali su quelli che possono essere i rischi diretti, e correlati, derivanti dalla cattiva gestione degli assets e delle informazioni sensibili. Faccio un esempio concreto, spesso le aziende spendono ingenti somme per degli asset fisici e tecnologici allo scopo di tutelarsi dagli attacchi Cyber, ma spesso queste migliorie vengono percepite dai dipendenti come degli ostacoli. Questo comporta che, saranno essi stessi a cercare una soluzione alternativa per bypassare quelle che considerano delle restrizioni al loro operato, mettendo così la sicurezza al secondo posto.