Proseguiamo l’analisi iniziata la scorsa settimana sulle migliori pratiche avanzate e le tecnologie emergenti per la protezione dei dati degli Enti locali, sempre con spirito concreto e pratico, in modo da consentire ai DPO degli Enti di affrontare in maniera tempestiva ed efficace le sfide attuali e future che si presentano.
Valutazione periodica dei rischi
La valutazione periodica dei rischi è un componente fondamentale per garantire la sicurezza dei dati e dei sistemi degli Enti locali. Consiste nell’analisi sistematica delle vulnerabilità e delle minacce, consentendo di identificare e mitigare i rischi per la sicurezza delle informazioni. Ecco alcuni punti chiave per una valutazione efficace dei rischi.
- Identificazione delle risorse critiche
Prima di avviare una valutazione dei rischi, è necessario identificare le risorse critiche degli Enti locali (censimento degli asset di valore). Queste possono includere dati, sistemi informatici, reti, infrastrutture fisiche e servizi chiave per il funzionamento dell’Ente locale. Concentrarsi sulle risorse critiche consente di prioritizzare gli sforzi di valutazione e di protezione, rispondendo a una semplice domanda: quanto possono permettermi di rimanere senza questo determinato asset a disposizione? Quanto mi “costerebbe” l’indisponibilità di questo determinato asset? Si tratta dell’approccio basato sul rischio, ed è l’unico che funziona veramente.
- Valutazione delle minacce
Una valutazione dei rischi efficace richiede l’identificazione delle minacce attuali e potenziali che possono compromettere la sicurezza dei dati e dei sistemi degli enti locali. Queste minacce possono includere attacchi informatici, accessi non autorizzati, perdita fisica dei dati, calamità naturali e molto altro. È importante tenere conto delle minacce emergenti e delle tendenze nel campo della sicurezza informatica per mantenere la valutazione dei rischi aggiornata.
- Identificazione delle vulnerabilità
Una volta identificate le minacce, è necessario individuare le vulnerabilità all’interno degli enti locali che potrebbero consentire il verificarsi di queste minacce. Le vulnerabilità possono essere legate a fattori tecnologici, come sistemi obsoleti o non aggiornati, configurazioni errate o debolezze nelle infrastrutture di rete. Inoltre, possono essere presenti vulnerabilità organizzative, come processi di gestione dei dati inadeguati o politiche di sicurezza insufficienti. Un’analisi dettagliata delle vulnerabilità consente di prendere le adeguate misure di protezione. Non solo, ma ricordiamo che il sistema di accountability, su cui si basa tutto l’impianto del GDPR prevede proprio la messa in atto di misure tecniche ed organizzative adeguate al proprio livello di rischio.
- Valutazione dei rischi
Una volta identificate le minacce e le vulnerabilità, è possibile valutare i rischi associati. Questo coinvolge la stima della probabilità che una minaccia si verifichi e l’impatto che avrebbe sugli enti locali. In base a queste valutazioni, è possibile assegnare un livello di rischio a ciascuna minaccia e prioritizzare le azioni di mitigazione.
- Implementazione di misure di protezione
Sulla base dei risultati della valutazione dei rischi, gli enti locali devono implementare misure di protezione adeguate per mitigare i rischi identificati. Queste misure possono includere l’aggiornamento dei sistemi e delle applicazioni, l’implementazione di soluzioni di sicurezza avanzate, l’addestramento del personale sulla sicurezza informatica e l’adozione di politiche e procedure di gestione dei rischi.
- Monitoraggio e revisione
Una valutazione dei rischi deve essere un processo continuo e iterativo. Gli enti locali devono monitorare costantemente i cambiamenti nel panorama delle minacce e delle vulnerabilità, nonché il successo delle misure di protezione implementate. Periodicamente, è necessario riesaminare e aggiornare la valutazione dei rischi per assicurarsi che sia allineata alle nuove minacce e alle nuove tecnologie.
Adozione di soluzioni di sicurezza avanzate per la posta elettronica
La posta elettronica è uno strumento essenziale per la comunicazione all’interno degli enti locali, ma allo stesso tempo rappresenta un’importante via di accesso per gli attaccanti che cercano di compromettere la sicurezza dei dati sensibili. Gli attacchi di phishing e l’invio di malware tramite e-mail sono sempre più sofisticati e diffusi, rendendo fondamentale per gli enti locali adottare soluzioni di sicurezza avanzate per proteggere la posta elettronica.
- Filtri antispam e anti-malware
Gli Enti locali dovrebbero implementare filtri antispam e anti-malware per prevenire l’accesso alla casella di posta elettronica degli utenti da parte di messaggi indesiderati e potenzialmente dannosi. Questi filtri analizzano il contenuto delle e-mail in arrivo e bloccano automaticamente quelle identificate come spam o contenenti allegati sospetti. Inoltre, possono rilevare e bloccare i tentativi di invio di malware tramite e-mail.
- Soluzioni di protezione avanzata contro l’hacking dei messaggi
Gli enti locali dovrebbero adottare soluzioni di protezione avanzata contro l’hacking dei messaggi, che proteggono la posta elettronica da attacchi di spear-phishing, spoofing e compromissione dell’account e-mail. Queste soluzioni utilizzano tecniche di intelligenza artificiale e apprendimento automatico per analizzare i modelli di comportamento dell’utente e rilevare attività sospette o anomalie nella posta in arrivo.
- Autenticazione basata su firma digitale
L’utilizzo di firme digitali può aiutare a garantire l’autenticità delle e-mail inviate o ricevute dagli enti locali. Le firme digitali sono basate su crittografia asimmetrica e consentono di verificare l’integrità e l’origine delle comunicazioni e-mail. L’adozione di soluzioni che supportano l’autenticazione basata su firma digitale può ridurre il rischio di attacchi di phishing in cui gli attaccanti cercano di impersonare entità o individui fidati.
- Sensibilizzazione e formazione degli utenti
Oltre all’implementazione di soluzioni tecniche, è fondamentale sensibilizzare e formare gli utenti sugli attacchi di phishing e sui comportamenti sicuri da adottare nella gestione delle e-mail. Gli enti locali possono organizzare sessioni di formazione regolari per educare gli utenti sul riconoscimento delle e-mail sospette, l’apertura di allegati solo da mittenti attendibili e l’adozione di pratiche di sicurezza consapevoli nell’utilizzo della posta elettronica.
- Monitoraggio e analisi delle attività di posta elettronica
È consigliabile implementare strumenti di monitoraggio e analisi delle attività di posta elettronica per individuare eventuali anomalie o attività sospette. Questi strumenti consentono di tracciare e analizzare i modelli di utilizzo della posta elettronica, rilevando ad esempio un aumento anomalo del traffico o dei tentativi di invio di e-mail non autorizzate.
- Politiche di conservazione dei dati e-mail
Gli enti locali dovrebbero stabilire politiche di conservazione dei dati e-mail per garantire la conformità alle normative sulla privacy e la disponibilità dei dati in caso di necessità. Queste politiche dovrebbero definire il periodo di conservazione dei messaggi e-mail, nonché le modalità di archiviazione e protezione dei dati archiviati.
Consapevolezza e formazione dei dipendenti
La consapevolezza e la formazione dei dipendenti sono elementi essenziali per garantire la protezione dei dati e la sicurezza informatica negli enti locali (sì, lo abbiamo già detto, ma il fattore umano è DAVVERO quello che può fare la differenza tra un attacco di successo e uno che invece va a vuoto) . Gli attacchi informatici spesso sfruttano l’anello debole della catena, ovvero le persone, e investire nella formazione del personale può contribuire a mitigare i rischi e promuovere una cultura della sicurezza. Ecco alcuni aspetti chiave da considerare.
- Sensibilizzazione alle minacce
È importante educare i dipendenti sulle minacce più comuni che possono colpire gli enti locali, in modo che siano in grado di riconoscerle autonomamente. Questo può includere l’invio di e-mail di phishing, il furto di credenziali, gli attacchi di malware e altre tecniche di ingegneria sociale. Fornire esempi concreti di queste minacce e illustrare le conseguenze possibili può aiutare i dipendenti a comprendere l’importanza della sicurezza informatica.
- Pratiche di sicurezza
La formazione dei dipendenti dovrebbe coprire le pratiche di sicurezza informatica di base, come la creazione di password robuste, l’uso di autenticazione a più fattori, l’aggiornamento regolare dei software e l’uso sicuro di dispositivi mobili e di archiviazione. I dipendenti dovrebbero essere consapevoli dei rischi legati all’apertura di allegati o link sospetti e di come gestire correttamente i dati sensibili.
- Politiche e procedure
La formazione dei dipendenti dovrebbe includere una panoramica delle politiche e delle procedure di sicurezza dell’ente locale. I dipendenti devono essere informati sulle politiche di utilizzo accettabile dei sistemi informatici, sulle politiche di gestione delle password, sulle procedure di segnalazione degli incidenti di sicurezza e sulle misure di sicurezza specifiche dell’ente locale. Questo assicura che i dipendenti siano consapevoli delle aspettative e dei protocolli di sicurezza dell’ente locale.
- Simulazioni di attacchi e test di phishing
Un modo efficace per testare la consapevolezza e la prontezza dei dipendenti è condurre simulazioni di attacchi e test di phishing. Questi test consentono di valutare la risposta dei dipendenti alle minacce e di identificare eventuali aree di miglioramento. Inoltre, possono essere utilizzati come opportunità per fornire feedback e rafforzare le pratiche di sicurezza.
- Coinvolgimento e responsabilità
La consapevolezza e la formazione dei dipendenti devono essere parte integrante della cultura dell’ente locale. È importante coinvolgere attivamente i dipendenti, fornendo opportunità per fare domande, condividere esperienze e partecipare a iniziative di sensibilizzazione. Inoltre, è cruciale che l’Ente locale chiarisca le responsabilità dei dipendenti nella protezione dei dati e la necessità di seguire le politiche e le procedure di sicurezza.
- Aggiornamento costante
La sicurezza informatica è un campo in continua evoluzione, con nuove minacce e tecniche che emergono costantemente. Pertanto, è importante fornire formazione e aggiornamenti regolari ai dipendenti per tenere il passo con gli sviluppi recenti e le migliori pratiche di sicurezza. Questo può essere fatto attraverso sessioni di formazione periodiche, newsletter informative o corsi online.
Monitoraggio delle nuove tecnologie emergenti
L’evoluzione tecnologica continua a offrire nuove opportunità per gli enti locali, ma allo stesso tempo solleva nuove sfide per la sicurezza dei dati. Le tecnologie emergenti come l’intelligenza artificiale, l’Internet of Things (IoT) e il cloud computing presentano benefici significativi, ma richiedono anche un’attenzione particolare per garantire la sicurezza dei dati e proteggere la privacy degli utenti. Di seguito sono riportati alcuni aspetti importanti da considerare nell’affrontare queste sfide.
- Consapevolezza delle nuove tecnologie
Gli enti locali devono essere consapevoli delle nuove tecnologie emergenti e delle loro implicazioni per la sicurezza dei dati. È importante tenersi aggiornati sulle ultime tendenze e sviluppi tecnologici per comprendere i potenziali rischi e le misure di sicurezza necessarie. Questa consapevolezza può essere ottenuta attraverso la partecipazione a conferenze, workshop, webinar e il coinvolgimento in comunità professionali.
- Valutazione dei rischi
Prima di adottare nuove tecnologie, gli enti locali dovrebbero condurre una valutazione approfondita dei rischi associati. Ciò implica identificare i potenziali punti deboli e le vulnerabilità delle nuove tecnologie, nonché valutare gli impatti sulla sicurezza dei dati e la conformità normativa. Questa valutazione dei rischi dovrebbe coinvolgere esperti di sicurezza informatica e professionisti della privacy per garantire una valutazione completa.
- Misure di sicurezza appropriate
Sulla base della valutazione dei rischi, gli enti locali dovrebbero implementare misure di sicurezza adeguate per mitigare i potenziali rischi delle nuove tecnologie. Queste misure possono includere l’adozione di standard di sicurezza robusti, l’implementazione di crittografia dei dati, la definizione di politiche di accesso e controllo dei dati e l’utilizzo di soluzioni di sicurezza avanzate come firewall, sistemi di rilevamento delle intrusioni e soluzioni di autenticazione a più fattori.
- Governance della sicurezza delle nuove tecnologie
Gli enti locali dovrebbero sviluppare una governance solida per la sicurezza delle nuove tecnologie emergenti. Questo implica la definizione di ruoli e responsabilità chiari per la gestione della sicurezza delle nuove tecnologie, l’implementazione di processi di revisione e monitoraggio regolari e la creazione di politiche e procedure specifiche per affrontare le sfide della sicurezza associate alle nuove tecnologie.
- Collaborazione e condivisione delle informazioni
È importante che gli enti locali collaborino con altre organizzazioni, enti pubblici e privati, per condividere informazioni sulle minacce emergenti e le migliori pratiche di sicurezza legate alle nuove tecnologie. Questa condivisione di conoscenze può contribuire a un approccio più efficace per affrontare le sfide della sicurezza e mitigare i rischi associati alle tecnologie emergenti.
- Monitoraggio e aggiornamento continui
La tecnologia e le minacce alla sicurezza evolvono rapidamente, quindi è importante che gli enti locali mantengano un monitoraggio e un aggiornamento continui sulle nuove tecnologie e le relative misure di sicurezza. Ciò include la partecipazione a programmi di formazione e aggiornamento, la lettura di fonti di informazione affidabili e il coinvolgimento in comunità professionali che affrontano la sicurezza informatica e la privacy.
>> L’ARCHIVIO INTEGRALE DELLA RUBRICA DELL’AVV. LUISA DI GIACOMO.
L’AUTORE
* Luisa Di Giacomo è avvocato da oltre quindici anni, dal 2012 è consulente privacy presso diverse aziende nel nord Italia e dal 2018 ricopre l’incarico di DPO presso diverse Pubbliche Amministrazioni (Comuni, Enti di ricerca, Enti socio assistenziali) e società private. Dal 2022 fa parte del pool di consulenti esperti in Data Protection Law istituito presso l’European Data Protection Board.
Formata nell’ambito del diritto civile e commerciale, negli ultimi dieci anni si è dedicata in via esclusiva al diritto di internet, delle nuove tecnologie, della protezione dei dati personali e della cybersecurity.
Ha svolto periodi di studio e di lavoro all’estero, è docente e formatore per Maggioli spa, responsabile della sezione cybersecurity del portale diritto.it, redattrice per la Gazzetta degli Enti Locali.
Parla inglese e francese a livello madrelingua, ed ha una discreta conoscenza dello spagnolo e del portoghese.
Ama scrivere narrativa e dedicarsi all’attività di formazione in aula e online, già autrice per La Gazzetta degli Enti Locali della rubrica I martedì della cybersecurity.
Le piace definirsi Cyberavvocato.
Scrivi un commento
Accedi per poter inserire un commento