Il fil rouge del Cyber & Privacy Forum di Verona è stato la sinergie fra le funzioni di garanzia di data protection, quali sono i professionisti della privacy e emblematicamente i DPO, e della sicurezza informatica, quali i sysadmin e il CISO.
Il GDPR richiede alle organizzazioni di adottare misure tecniche e organizzative appropriate, tra cui anche politiche e procedure, per proteggere i dati personali che trattano. La Norma ISO/IEC 27001 “Sistemi di gestione della sicurezza dell'informazione – Requisiti” fornisce una serie di requisiti per ridurre la perdita di riservatezza, integrità e disponibilità. Tale standard si basa su un framework di requisiti, controlli ed analisi del rischio. In questo articolo si vuole comprendere quali sono i principali elementi in comune e le differenze tra il GDPR e lo standard sulla sicurezza delle informazioni.
Come deve agire il DPO nelle strategie di sicurezza, tenendo conto delle ulteriori funzioni che inevitabilmente sono coinvolte nella stessa? Di certo non può chiedersi che agisca come one-man band ed estenda (o spesso, improvvisi) il proprio campo d’azione a tematiche così complesse come la sicurezza delle informazioni ed attendersi che tale azione possa essere efficace.
L’80% delle aziende non ha ancora impostato criteri per l’uso delle password, lasciando quindi liberi i propri dipendenti di sceglierne una a propria discrezione senza problemi di sintassi, lunghezza o altri parametri sui caratteri da utilizzare. A rivelarlo è il report ”Acronis Cyberthreats Report 2020”. La ricerca evidenzia che tra il 15 e il 20% delle password utilizzate negli ambienti di business include il nome dell’azienda, un banale espediente che ne semplifica l’individuazione da parte di pirati informatici e altri soggetti non autorizzati.
Su 300 domande ammissibili ricevute, l’ENISA (European Union Agency for Cybersecurity) ha selezionato 26 esperti “ad personam” per formare il nuovo Advisory Group, composto da esperti del settore, del mondo accademico, delle imprese e dei gruppi di consumatori, nonché dai nuovi membri nominati.
Secondo un rapporto dell’Agenzia dell’Unione Europea per la cybersicurezza (Enisa) è probabile che le istituzioni europee subiranno interruzioni a causa degli attacchi informatici nel prossimo futuro.
Il 17 ottobre la Commissione UE ha approvato un importante atto di esecuzione in tema di cybersicurezza, tuttavia, in molti Paesi membri dell'Unione si registra una significativa carenza di competenze nel settore, con una domanda di esperti che supera di gran lunga l'offerta.
Il 27 dicembre 2022 è stata pubblicata sulla Gazzetta Ufficiale dell’Unione Europea la Direttiva UE 2022/2555, nota come Direttiva NIS 2, con l’obiettivo di migliorare la capacità di prevenzione, risposta e resilienza agli incidenti di cybersecurity di operatori definiti come “Essenziali” e “Importanti”, che forniscono beni e/o servizi di specifica rilevanza per la collettività.
L’odierno dinamismo delle aziende è caratterizzato da un notevole aumento delle minacce informatiche. Il problema riguarda sia le PMI sia le multinazionali, poiché tali rischi sono anche frutto della congiuntura creatasi su scala internazionale: l’emergenza sanitaria e l’affermazione di scenari riconducibili al cyberwarfare.
L'integrazione tra privacy e cybersecurity è fondamentale per garantire la protezione dei dati nell'era dell'intelligenza artificiale (IA), in cui la raccolta, l'elaborazione e l'uso dei dati sono sempre più diffusi e complessi.
