INTERVISTA A SYLVIO VERRECCHIA  CONSULENTE DATA PRIVACY & CYBER SECURITY ADVISOR 

Abbiamo intervistato Sylvio Verrecchia, consulente in materia di protezione dei dati personali e sicurezza informatica, per gli addetti ai lavori Data Protection & Cyber Security Advisor.

Cosa fa il Data Protection & Cyber Security Advisor?

Aiuta le Aziende nell’attuare una corretta strategia di sicurezza, aumentando il livello di protezione dei dati e delle informazioni in modo da garantire che le reti aziendali, i server e tutti i sistemi utilizzati siano a prova di intrusione. 

Andando più nello specifico: Security Governance, Risk Management e Compliance a norme e standard di settore, quali la ISO 27001, il GDPR ed il Cyber Security Framework del NIST.

Minacce alla sicurezza aziendale: soluzione di custodia a freddo dei dati

Le aziende devono disporre di un’adeguata Backup Policy e di un efficace piano di Disaster Recovery, in ottemperanza alla necessità di assicurare il completo ripristino dei dati e la continuità dei processi di business nel caso si verificano eventi critici (malevoli, guasti accidentali, disastri naturali o intenzionali) che colpiscono i sistemi. 

Di fondamentale importanza risulta la conservazione di copie dei dati su supporti differenti, collocati in luoghi fisici distanti tra loro, in modo da garantire che una copia possa sempre essere salva nel caso ad esempio di incendio, terremoto od alluvione.

Privacy Impact Analysis: integrazione all’interno di una strategia di Cyber Security

Il Regolamento europeo per la protezione dei dati personali richiede un approccio basato sul rischio e cioè più alto è il rischio per i diritti e le libertà degli interessati e più rigorose devono essere le misure adottate dal Titolare del trattamento, imponendo tra l’altro la riservatezza, l’integrità e la disponibilità dei dati personali e la resilienza dei sistemi. 

Inoltre, il GDPR richiede la stesura di una Privacy Impact Analysis quando il trattamento impone l’uso di nuove tecnologie, applicabili a grande quantità di dati, di categorie particolari di dati personali (sensibili o giudiziari) e se presenta rischi elevati per i diritti e le libertà delle persone fisiche. 

La definizione delle politiche di sicurezza, valutazione dei rischi ed attuazione di contromisure tecniche ed organizzative adeguate a garantire che il trattamento è effettuato conformemente al Regolamento, rappresenta un’ottima base di partenza per implementare una corretta strategia di Cyber Security.

Oggi i rischi e le minacce informatiche colpiscono tutti i settori di attività, dalla piccola alla grande impresa, il settore bancario e sanitario, il settore governativo e la pubblica amministrazione, il settore della ricerca ed universitario. Le conseguenze di una violazione dei sistemi, sono perdita di dati, danni economici (compromissione del fatturato dovuto alla riduzione della produttività/fermo macchina, costo per la sostituzione/riparazione dei danni, sanzioni amministrative) e danni di reputazione dell’azienda.  

Ricordiamo inoltre che la mancata ottemperanza ai requisiti del GDPR (Protezione dei dati personali) comporta sanzioni amministrative pecuniarie fino a 20 milioni di euro o fino al 4% del fatturato globale, per cui risulta fondamentale prevenire la perdita o distruzione dei dati con un’adeguata backup policy.

Stato attuale della Cyber Security di PMI e PA

Purtroppo 1 azienda su 5 in Italia è vittima di crimini informatici. Lo scorso anno il budget ICT delle aziende italiane è stato di 31 miliardi di euro e nello specifico, secondo la ricerca dell’Osservatorio Information Security e Privacy del Politecnico di Milano per il terzo anno consecutivo cresce il mercato dell’information security in Italia e che nel 2019 ha raggiunto il valore di 1,3 miliardi di euro, in crescita dell’11% rispetto all’anno precedente.

Un trend sicuramente positivo, ma tutto ciò non basta. La spesa Sicurezza Informatica non deve essere vista come un costo, ma come un investimento, per salvaguardare le proprie informazioni e per essere conforme alle normative di settore.