Cybersecurity e privacy: due elementi inseparabili per una difesa dei dati completa
In un’era in cui la nostra vita è sempre più digitalizzata, la necessità di proteggere le informazioni è diventata cruciale. Non è un caso che le parole “cybersecurity” e “protezione dei dati” siano sempre più presenti nel discorso pubblico. Tuttavia, questi termini non dovrebbero essere considerati separatamente, ma piuttosto come due facce della stessa medaglia.
(Nella foto: Paolo Romani, Delegato Federprivacy nella provincia di Lodi)
Uno dei problemi più sfidanti nel campo della protezione dei dati è il dialogo spesso difficile tra i Responsabili della Protezione dei Dati (Data Protection Officer) e i reparti IT.
Mentre i DPO sono focalizzati su aspetti legali e normativi, i reparti IT tendono a concentrarsi su aspetti tecnici e operativi. Questa mancanza di un linguaggio comune può ostacolare la creazione di una strategia integrata che soddisfi entrambe le esigenze.
Quando cybersecurity e privacy sono pienamente integrate, si crea un ecosistema robusto che offre una protezione a 360 gradi.
Ad esempio, la NIS2 – la Direttiva sulla sicurezza delle reti e dei sistemi informativi, entrata in vigore nel gennaio 2023 e applicabile agli Stati membri dell’UE. Quest’ultima rappresenta un cambiamento radicale, in quanto strumento giuridico che prevede la gestione obbligatoria della sicurezza informatica e della cybersecurity per le organizzazioni, a diversi livelli.
Questo quadro normativo potrebbe essere basato su standard internazionali come la Norma ISO 27001 (ma anche la ISO 27701), che si concentra sulla gestione della sicurezza delle informazioni. In tal modo, gli aspetti legali e tecnologici della protezione dei dati e della cybersecurity potrebbero essere integrati in una struttura coerente e complementare.
L'impiego di questi metodi permette di semplificare il processo decisionale, poiché tutti gli stakeholder avrebbero potenzialmente a disposizione un linguaggio e degli indicatori comuni.
Inoltre, si potrebbe pensare a programmi di formazione congiunta, dove DPO e team IT vengono formati sugli aspetti cruciali dell'altro campo. Ad esempio, i DPO potrebberoricevere una formazione di base su terminologie e tecniche IT, mentre il reparto IT potrebbe essere istruito sui principi giuridici fondamentali della protezione dei dati.
Adottare il principio del GDPR relativo alla protezione dei dati “by design” è fondamentale per assicurare l’integrazione delle misure di protezione dei dati all’interno della strategia di cybersecurity di un’organizzazione.
A Verona il 29 novembre il Cyber & Privacy Forum dedicato alla convergenza tra sicurezza informatica e protezione dati
Ciò contribuisce a salvaguardare non solo gli asset dell’organizzazione ma anche gli individui che ne fanno parte e coloro i cui dati personali sono trattati.
C’è una crescente necessità di uno strumento che possa facilitare la comunicazione tra i DPO e i reparti IT. Un tale intermediario potrebbe aiutare a colmare le lacune tra questi due mondi, garantendo che la protezione dei dati e la sicurezza informatica siano entrambi soddisfatti in modo efficace ed efficiente.
La sinergia tra cybersecurity e protezione dei dati è innegabile. Insieme, essi formano un potente binomio che può proteggere non solo le organizzazioni ma anche i dati personali degli individui.
Per realizzare pienamente questo potenziale, è essenziale superare le barriere della comunicazione tra i professionisti della protezione dei dati e quelli della cybersecurity.
Ecco, quindi, la domanda che ci poniamo: come fare per far parlare la stessa lingua tra DPO e reparti IT?
Una delle strade da percorrere potrebbe essere la creazione di un ruolo professionale o di uno strumento intermedio o di un team multidisciplinare che funge da ponte tra i DPO e i reparti IT. Questo ruolo potrebbe essere definito come "Data Security Liaison" e avrebbe il compito di interpretare e mediare gli obiettivi, le preoccupazioni e i requisiti di entrambe le parti.
Questa figura avrebbe una formazione sia in diritto che in tecnologia, rendendola particolarmente adatta a comprendere e tradurre i bisogni e le preoccupazioni dei vari reparti. Si tratterebbe, in sostanza, di una rivoluzione culturale all'interno delle organizzazioni, dove non ci sarebbe più una separazione netta tra i due mondi, ma una collaborazione attiva e informata, capace di affrontare le sfide della digitalizzazione in modo più efficace.
È possibile che la risposta risieda in una figura o uno strumento che ancora non conosciamo, ma che potrebbe trasformare il modo in cui vediamo la protezione dei dati e la cybersecurity.