Settembre per molti è il mese dei nuovi inizi, il vero Capodanno. Dopo la pausa estiva si riprende il lavoro pieni di buoni propositi, motivazione e desiderio di cambiamento. Ebbene, perché non sfruttare questa spinta positiva anche all’interno del nostro Ente, per migliorare le nostre procedure riguardanti la protezione dei dati e la sicurezza del perimetro informatico?
Riprendiamo la nostra rubrica periodica di DPO in pillole con un concetto chiave essenziale per la gestione della sicurezza dei dati e delle informazioni: la differenza tra cyber-sicurezza e cyber-resilienza e come declinarle entrambe in concreto all’interno dell’Ente.
Abbiamo detto più volte che l’art. 32 del Regolamento Generale per la Protezione dei Dati Personali (Reg. UE 679/2016, GDPR) stabilisce che, tra le altre cose, il titolare deve garantire la resilienza del sistema informatico.
Resilienza vuol dire capacità di un materiale di assorbire gli urti senza rompersi (è un concetto che viene usato molto spesso anche in psicologia, ed anche nel presente contesto il suo significato è metaforico e non letterale) e dunque, nella pianificazione della nostra strategia di sicurezza informatica e nella redazione delle procedure e delle misure tecniche ed organizzative essenziali, avere una buona cyber-resilienza vuol dire essere in grado di sopportare un attacco informatico senza che la normale operatività dell’Ente ne risenta. Vediamo nel dettaglio e soprattutto nella pratica come questi due concetti essenziali si intersecano e si completano tra loro.
Cybersecurity. L’obiettivo principale della strategia di cybersecurity è prevenire le minacce informatiche e difendere il sistema contro attacchi di successo. Il focus è dunque tutto sulla prevenzione, che, come sappiamo, rappresenta la nostra arma migliore contro potenziali data breach. L’approccio è pratico e concreto, si basa sull’idea di creare una sorta di muro di protezione intorno ai dati e ai sistemi (cioè intorno ai nostri asset di valore), cercando di bloccare gli attacchi o le violazioni prima che possano accadere. Pur se l’obiettivo principale è appunto quello di prevenire attacchi, fanno parte del piano di cybersecurity anche i piani di risposta agli incidenti per affrontare situazioni in cui la sicurezza è compromessa (procedura di data breach).
Cyberresilience. L’obiettivo principale della resilienza informatica, invece, è quello di ottimizzare la capacità di un’organizzazione di continuare a funzionare in modo efficace anche dopo un attacco informatico o un evento che ha messo a rischio la sicurezza. Ci troviamo nella situazione in cui la nostra strategia di prevenzione non ha funzionato (anche se abbiamo agito nel pieno del rispetto del principio di accountability, anche se abbiamo posto in essere tutte le misure tecniche ed organizzative adeguate a garantire ed essere in grado di dimostrare il corretto approccio alla sicurezza, anche in questo caso ricordiamo che il rischio zero non esiste) e dunque dobbiamo essere pronti a reagire. Il focus in questo caso è la capacità di ripristino in caso di interruzione. Ciò include piani di ripristino, backup dei dati e processi di continuità aziendale (procedura di disaster recovery) con due obiettivi: la minimizzazione del danno e la ripresa delle attività nel minor tempo possibile.
Si tratta in sintesi di due facce della medesima medaglia, entrambe attuate allo scopo ultimo di proteggere il patrimonio dell’Ente, ossia i suoi dati e la sua operatività (oltre che evitare le sanzioni del Garante per la Protezione dei Dati Personali). Nella pratica, vediamo come declinare, all’interno dell’Ente, le due strategie integrate di sicurezza e resilienza informatica.
Cybersicurezza per gli Enti Locali
Aggiornamenti Costanti. Una delle prime e più importanti misure di cybersicurezza per gli enti locali è mantenere tutti i sistemi e i software aggiornati. Le patch di sicurezza più recenti spesso correggono vulnerabilità conosciute che potrebbero essere sfruttate dagli attaccanti. Ad esempio, se un Comune utilizza un sistema di gestione dei dati dei residenti, è fondamentale assicurarsi che il software sia sempre aggiornato per proteggere le informazioni che più di tutte potrebbero far gola ai criminali informatici ed essere oggetto di attacco (ad esempio un ransomware).
Formazione e Sensibilizzazione. I dipendenti dell’ente locale devono essere consapevoli delle minacce informatiche e delle buone pratiche di sicurezza. La formazione regolare può insegnare loro come riconoscere gli attacchi di phishing, evitare di cadere in trappole online e gestire in modo sicuro le informazioni. Ad esempio, un impiegato comunale potrebbe ricevere un’e-mail fraudolenta che sembra provenire da una fonte affidabile, ma con una formazione adeguata, sarebbe in grado di riconoscerla come un tentativo di phishing e prevenire un potenziale attacco.
Accesso e Autorizzazioni Controllati. La gestione dell’accesso è cruciale per garantire che solo il personale autorizzato possa accedere a determinate informazioni o sistemi. Ad esempio, solo gli impiegati incaricati delle finanze dovrebbero avere accesso ai dati finanziari sensibili di un Comune. L’implementazione di rigorosi controlli di accesso aiuterà a prevenire abusi interni e proteggerà le informazioni critiche.
Cyberresilienza per gli Enti Locali
Backup e Ripristino dei Dati. La cyberresilienza riguarda la capacità di un’organizzazione di ripristinare rapidamente le operazioni in caso di interruzione. Elemento chiave di ciò sono il backup e il ripristino dei dati. Gli enti locali dovrebbero stabilire procedure regolari per il backup dei dati in modo che le informazioni critiche siano protette. Ad esempio, un Comune potrebbe programmare backup giornalieri dei dati finanziari, in modo che in caso di attacco ransomware o di perdita di dati, sia possibile ripristinare rapidamente tutte le informazioni.
Test di Continuità operativa. I test di continuità opertativa sono essenziali per garantire che un ente locale sia pronto a mantenere le operazioni essenziali anche in caso di interruzione grave. Questi test dovrebbero simulare scenari di crisi, ad esempio un attacco informatico o un’interruzione dell’alimentazione e valutare come l’ente risponde e recupera. Ad esempio, un test di continuità potrebbe simulare una violazione dei dati dei residenti e valutare come l’ente risponde, chi comunica con il pubblico e come vengono ripristinate le operazioni normali.
Diversificazione delle Risorse. Per aumentare la cyberresilienza, è importante diversificare le risorse digitali. Distribuendo le risorse critiche su sistemi e server diversificati, si riduce il rischio che un singolo attacco possa causare un’interruzione completa. Ad esempio, un Comune potrebbe ospitare i propri servizi online su server in diverse località geografiche per garantire la disponibilità continua anche in caso di problemi tecnici o attacchi.
Collaborazione Interistituzionale. La collaborazione con altre istituzioni governative, organismi di sicurezza e organizzazioni del settore privato è cruciale per la difesa cibernetica degli Enti locali. Scambiare informazioni sulle minacce e le migliori pratiche di sicurezza può aiutare a mantenere tutti i partner informati e preparati. Ad esempio, un Comune potrebbe partecipare a un gruppo di lavoro regionale sulla sicurezza informatica in cui condivide informazioni sugli attacchi recenti e apprende dalle esperienze di altri enti locali.
Valutazione del Rischio Continua. La minaccia cibernetica è in costante evoluzione, quindi è importante che gli Enti locali mantengano una valutazione continua del rischio informatico. Questo implica la revisione periodica delle misure di sicurezza esistenti e l’identificazione e la mitigazione delle nuove minacce man mano che emergono (GDPR e sicurezza informatica non sono adempimenti una tantum, ma richiedono continuità e costanza). Ad esempio, se si scopre che una nuova forma di malware sta prendendo piede, l’ente locale dovrebbe adottare misure aggiuntive per proteggersi da questa minaccia specifica.
Pianificazione della Comunicazione
La comunicazione è fondamentale durante e dopo un attacco informatico o un’interruzione dei servizi. Un Ente locale dovrebbe avere piani di comunicazione dettagliati pronti per informare il pubblico e le parti interessate. Questi piani dovrebbero essere progettati per mantenere la trasparenza e la fiducia del pubblico. Ad esempio, se si verifica una violazione dei dati dei residenti, l’Ente dovrebbe essere in grado di comunicare rapidamente l’accaduto, le azioni intraprese per risolverlo e le misure prese per proteggere ulteriormente i dati.
In conclusione, dando per assodato che la protezione delle informazioni cruciali ed il mantenimento dei servizi essenziali sia un obiettivo imprescindibile per tutti gli enti locali, un buon modo per gestire dal punto di vista pratico questi due aspetti è proprio quello di suddividere le procedure in due processi distinti: quello di sicurezza (preventivo) e quello di resilienza (responsivo). Trovando una sintesi accettabile tra queste due esigenze, che tenga conto di tutti gli elementi in gioco, quali il contesto in cui l’Ente opera, le dimensioni e, ultimo ma non meno importante, il budget a disposizione, l’Ente locale avrà compiuto un significativo passo avanti verso quella minimizzazione del rischio cui è necessario aspirare per la corretta gestione dei dati personali di cui l’Ente è titolare.
>> L’ARCHIVIO INTEGRALE DELLA RUBRICA DELL’AVV. LUISA DI GIACOMO.
L’AUTORE
* Luisa Di Giacomo è avvocato da oltre quindici anni, dal 2012 è consulente privacy presso diverse aziende nel nord Italia e dal 2018 ricopre l’incarico di DPO presso diverse Pubbliche Amministrazioni (Comuni, Enti di ricerca, Enti socio assistenziali) e società private. Dal 2022 fa parte del pool di consulenti esperti in Data Protection Law istituito presso l’European Data Protection Board.
Formata nell’ambito del diritto civile e commerciale, negli ultimi dieci anni si è dedicata in via esclusiva al diritto di internet, delle nuove tecnologie, della protezione dei dati personali e della cybersecurity.
Ha svolto periodi di studio e di lavoro all’estero, è docente e formatore per Maggioli spa, responsabile della sezione cybersecurity del portale diritto.it, redattrice per la Gazzetta degli Enti Locali.
Parla inglese e francese a livello madrelingua, ed ha una discreta conoscenza dello spagnolo e del portoghese.
Ama scrivere narrativa e dedicarsi all’attività di formazione in aula e online, già autrice per La Gazzetta degli Enti Locali della rubrica I martedì della cybersecurity.
Le piace definirsi Cyberavvocato.
Scrivi un commento
Accedi per poter inserire un commento