Cybersicurezza dei dati sensibili, adottare una postura consapevole e multidisciplinare 

Articolo a cura di Gennaro Politelli, Enterprise Channel Sales & Alliance – DataKrypto

A chi vuoi che interessino i miei dati

Pensare che i propri dati aziendali non siano interessanti per coloro che di “mestiere” li sottraggono a mezzo di attacchi cyber sempre più sofisticati, è uno degli errori più comuni commessi da aziende private e istituzioni pubbliche. Basta ripercorrere banalmente, le attività di data entry quotidiane di una comune azienda, piccola, media o grande che sia oppure di un ente governativo, per comprendere perché i propri dati, possono essere interessanti per molti. Nessuna azienda ormai fa più a meno di un sistema ERP e tantomeno di un CRM (o almeno dovrebbe…). I dati sono una fonte inesauribile di informazioni in costante evoluzione, in qualunque campo si operi. Pertanto, non si può prescindere dall’alimentare uno o più database e analizzarli con le più svariate e sofisticate tecniche di reportistica, al fine di migliorare la propria efficienza aziendale. Che si parli di produzione, vendita, marketing, logistica o erogazione di servizi, l’analisi dei dati per affinare il proprio livello di accuracy sul business, è vitale. Ne consegue dunque, che i dati, soprattutto quelli ritenuti sensibili, sono tanto interessanti per le aziende che li alimentano, li interrogano e li conservano, quanto per coloro che li rubano facendone così una proficua attività illegale.

Chi compra i dati e perché

Così come accade per i ricettatori di beni preziosi e rari, (oggetti d’arte o reperti archeologici trafugati), che hanno una loro rete di compratori internazionali, interessati a quel tipo di bene purché integro, allo stesso modo, gli hacker di tutto il mondo hanno la loro rete di compratori di dati sensibili. Se un “dato” risulta integro e leggibile da chiunque, sarà anche molto rivendibile sul mercato, per avviare future attività di phishing o banalmente, per essere rivenduti a loro volta, in una spirale di traffico internazionale di dati sensibili senza fine. 

I livelli di classificazione per l’Italia (fonte ACN)

E’ di recente pubblicazione, la comunicazione dell’Agenzia per la Cybersicurezza Nazionale relativa ai livelli di classificazione dei dati:

  • STRATEGICO: servizi la cui compromissione può avere un impatto sulla sicurezza nazionale
  • CRITICO: servizi la cui compromissione può determinare un pregiudizio al mantenimento di funzioni rilevanti per la società, la salute, la sicurezza e il benessere economico e sociale del Paese.
  • ORDINARIO: servizi la cui compromissione non provochi un pregiudizio per il benessere economico e sociale del paese

La responsabilità

Per quanto sia “lecito” pensare che una esfiltrazione di dati sensibili, confrontata ad un attacco ransomware DDoS, sia di minor impatto sulle funzionalità del sistema informativo della propria azienda, in realtà i danni collaterali provocati dall’esfiltrazione stessa potrebbero essere assolutamente comparabili, anche se in termini diversi.Il livello di responsabilità che le normative impongono e imporranno in maniera sempre più stringente sulla conservazione e la protezione dei dati di terzi presenti nel proprio database aziendale, faranno scattare multe salatissime in caso di una loro esfiltrazione fraudolenta, affermando così un principio fondamentale che in altri paesi è applicato già da tempo e cioè, che la protezione di quei dati è sotto la responsabilità di chi di fatto li alimenta e li conserva.

Conclusioni

Intraprendere azioni concrete nei confronti del tema sulla protezione dei dati sensibili pensando esclusivamente all’imposizione normativa o all’isteria del momento contingente generata da un attacco cyber, è riduttivo e allo stesso tempo fuorviante. Se si vuole davvero far fronte alle nuove minacce cyber, bisogna adottare una postura consapevole e multidisciplinare sul tema della cybersicurezza nella sua totalità. Per queste ragioni sarà fondamentale anticipare i tempi, tenendo in seria considerazione tutti gli aspetti che la riguardano, anche quelli apparentemente meno tangibili, come il danno di reputazione che può derivarne e naturalmente, al “pregiudizio” che si potrebbe generare.

Related Posts

Ultime news