La parola "senza precedenti" sembra essere stata usata quotidianamente durante la pandemia di COVID-19, in particolare quando si tratta dell'impatto del virus sui pazienti, sui medici, sulle risorse ospedaliere e sulla fornitura di materiali sanitari. Ma ha avuto un'eco altrettanto forte presso i responsabili della sicurezza informatica (CISO), mettendo chi si occupa della sicurezza dei dati in condizioni di dover affrontare una scala e un livello di minacce Cyber completamente nuovi.
La prima relazione della Commissione europea sullo stato del decennio digitale, pubblicata il 27 settembre 2023, presenta un'analisi globale dei progressi compiuti verso la realizzazione di una trasformazione digitale volta a rafforzare la sovranità digitale, la resilienza e la competitività dell'UE.
Una forte crittografia end-to-end è una parte essenziale di un Internet sicuro e affidabile. Ci protegge ogni volta che effettuiamo una transazione online, quando condividiamo informazioni mediche o quando interagiamo con amici e familiari. La crittografia avanzata protegge anche i bambini: consente loro di comunicare in tutta sicurezza con amici e familiari fidati e consente ad altri di segnalare abusi e molestie online in modo confidenziale. Mantiene i nostri dati personali come “personali” e le nostre conversazioni private come “private”.
Il Garante della protezione dei dati personali e l’Agenzia per la cybersicurezza nazionale (Acn) hanno firmato un Protocollo d’intesa che avvia la cooperazione tra le due istituzioni. L’obbiettivo è di promuovere iniziative congiunte nel campo della cybersicurezza nazionale e della protezione dei dati personali. La notizia è benvenuta. Personalmente, ho sempre sostenuto che la cybersecurity è l’altra faccia della privacy.
La Direttiva NIS2 rappresenta un passo significativo verso il rafforzamento della cybersecurity all’interno dell’Unione Europea. La NIS2, che sostituirà la direttiva NIS, persegue l’obiettivo di una creazione di un framework di cybersicurezza europeo che armonizzi e superi le discrasie applicative fra stati membri della precedente direttiva.
La normativa vigente in tema di protezione dei dati personali è basata sul rischio. Infatti, per l’individuazione delle misure di sicurezza adeguate è necessario calcolare il livello di rischio. È evidente però che l'assenza della consapevolezza dei rischi e delle relative conseguenze non consentirebbe di effettuare una corretta valutazione dei potenziali eventi avversi.
L'ecosistema della protezione dei dati disegnato dal GDPR è diviso in principali 2 domini tra loro complementari: la privacy e la cybersecurity.
La contrapposizione tra figure tecniche e figure umanistiche è antica; storicamente si sono sempre individuate professioni in cui la componente tecnica era rilevante, a scapito delle conoscenze umanistiche, e viceversa, ma l’antica dicotomia va riducendosi. La dottrina della protezione dei dati è una dimostrazione di ciò: è un tavolino a tre gambe.
Il fil rouge del Cyber & Privacy Forum di Verona è stato la sinergie fra le funzioni di garanzia di data protection, quali sono i professionisti della privacy e emblematicamente i DPO, e della sicurezza informatica, quali i sysadmin e il CISO.
Il GDPR richiede alle organizzazioni di adottare misure tecniche e organizzative appropriate, tra cui anche politiche e procedure, per proteggere i dati personali che trattano. La Norma ISO/IEC 27001 “Sistemi di gestione della sicurezza dell'informazione – Requisiti” fornisce una serie di requisiti per ridurre la perdita di riservatezza, integrità e disponibilità. Tale standard si basa su un framework di requisiti, controlli ed analisi del rischio. In questo articolo si vuole comprendere quali sono i principali elementi in comune e le differenze tra il GDPR e lo standard sulla sicurezza delle informazioni.
