Sulla valutazione dei rischi per la sicurezza dei dati personali, come richiede il Regolamento UE 679/2016, si è molto scritto e molto dibattuto. In questo articolo si vogliono fornire alcune considerazioni sul tema, analizzando i requisiti della ISO/IEC 27001:2013 e della ISO/IEC 27701:2019, alla luce del GDPR. Anzitutto è bene considerare la valutazione dei rischi nella prospettiva della ISO/IEC 27001:2013, della ISO/IEC 27701:2019 e del Regolamento UE 2016/679.
Il GDPR richiede alle organizzazioni di adottare misure tecniche e organizzative appropriate, tra cui anche politiche e procedure, per proteggere i dati personali che trattano. La Norma ISO/IEC 27001 “Sistemi di gestione della sicurezza dell'informazione – Requisiti” fornisce una serie di requisiti per ridurre la perdita di riservatezza, integrità e disponibilità. Tale standard si basa su un framework di requisiti, controlli ed analisi del rischio. In questo articolo si vuole comprendere quali sono i principali elementi in comune e le differenze tra il GDPR e lo standard sulla sicurezza delle informazioni.
A causa della situazione pandemica, che dallo scorso anno ha investito anche il nostro paese modificando la fisionomia del mercato del lavoro, il Governo - con il DPCM del 1 marzo 2020 - ha previsto la possibilità per i datori di lavoro di attivare, in deroga all’art. 18 della L. 81/2017, lo smart working in modalità semplificata, ovvero senza la stipula di un previo accordo individuale con il lavoratore. Tale modalità scadrà, salvo proroghe, il 30 aprile 2021. L’art. 19 del D.L. 31 dicembre 2020, n. 183 (c.d. Decreto Mille Proroghe) convertito con modificazioni in Legge 26 febbraio 2021, n. 21 ha, infatti, confermato nuovamente la procedura semplificata già adottata a marzo 2020 sino a tale data.
Il 2021 è stato un anno particolarmente critico sul fronte della cybersecurity e della protezione dei dati. Ad evidenziarlo è il rapporto del Cnaipic, il Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche, che lo scorso anno ha gestito 5.434 attacchi informatici significativi, con 110.524 alert di sicurezza e una media di 15 attacchi al giorno ai danni di servizi informatici di sistemi istituzionali, infrastrutture critiche informatizzate di interesse nazionale, infrastrutture sensibili di interesse regionale, e grandi imprese.
Una società tedesca specializzata in cybersicurezza, la Greenbone Networks, ha scoperto che era possibile accedere a dati medici di molti pazienti archiviati su computer connessi a internet e totalmente privi di protezioni. Ha informato di questo fatto la redazione della testata radiotelevisiva Bayerischer Rundfunk. L’inchiesta che ne è seguita ha rivelato che si possono trovare online analisi di ogni genere su milioni di pazienti in almeno 52 paesi del mondo. ProPublica, ha confermato che negli Stati Uniti il fenomeno è molto diffuso e riguarda almeno 5 milioni di pazienti.
La pandemia ha dimostrato quanto siano diventati centrali i social media, le piattaforme di messaggistica e collaborazione durante la vita quotidiana delle persone. Tuttavia, non abbiamo ancora capito il compromesso tra la sicurezza e la privacy offerte da queste piattaforme e i costi reali del loro utilizzo. Per esempio, siamo abituati a sentirci dire che la privacy è equiparabile ad una merce, ma nessuno è davvero sicuro di ciò che viene venduto, o quale sia il prezzo reale.
Il 15 febbraio 2022 è stata pubblicata la nuova edizione della norma ISO/IEC 27002 “Tecnologie Informatiche - Tecniche di sicurezza - Codice di pratica per la gestione della sicurezza delle informazioni”. L'edizione precedente era stata pubblicata nel 2013. La nuova versione, pertanto, ha richiesto quasi nove anni di lavoro. Alla data odierna la nuova versione del documento non è ancora disponibile nel sito www.uni.com, mentre è acquistabile, ovviamente in lingua inglese, nel sito www.iso.org.
Per difedendersi dal ransomware c’è chi è ancora convinto che basti comprare – magari in maniera compulsava – un po’ di hardware e un po’ di software per arginare le preoccupazioni. L’effetto placebo funziona sempre, ma non si fraintenda questa affermazione….Funziona psicologicamente ma in breve tempo la “salute” del sistema non tarda a dare sintomi più o meno traumatici che si è sbagliata la ….terapia. I consigli del Generale Umberto Rapetto per evitare che i vostri file finiscano in ostaggio degli hacker.
Era lo scorso 30 agosto, quando il ceo di Twitter Jack Dorsey era diventato l’ultima – e sicuramente quella di più alto profilo – vittima di una delle Cyber minacce più recenti e pericolose degli ultimi anni: il SIM Swapping, studiato appositamente per bypassare le nuove misure di autenticazione a due fattori. Questo tipo di attacchi (in italiano si traduce in scambio sim) hanno visto una crescita esponenziale grazie alla facilità con cui possono essere sferrati. Infatti richiedono solo una buona dose di abilità nel social engineering per avere accesso alla SIM card bersaglio; di fatto si tratto di un’altra forma di Phishing.
Con la diffusione dei data breach sempre più aziende si pongono il quesito della sicurezza interna. Quando si approccia l’argomento, però, la prima domanda che si fanno non è sulla protezione dei dati interni ma sullo status generale di sicurezza della rete informatica. Tale approccio è ormai passato di moda e probabilmente per le organizzazioni private e pubbliche è giunta l’ora di passare avanti e abbracciare un nuovo punto mettendo sullo stesso piano anche la protezione dei dati.
