I fattori che mettono a rischio la sicurezza dei dati informatici sono soprattutto 3 e corrispondono alla cosiddetta triade CIA (Confidentiality, Integrity and Availability), dalla cui compresenza dipende una protezione ai sistemi proporzionata ed efficace. Il Regolamento UE 2016/679 o GDPR (General Data Protection Regulation) raccomanda esplicitamente, all’art. 32, che siano messe «in atto misure tecniche e organizzative atte a garantire un livello di sicurezza adeguato al rischio». In assenza di queste misure, non soltanto le organizzazioni prestano il fianco a potenziali minacce, ma possono incorrere in sanzioni molto onerose, così come previsto dal GDPR. Il quale, sempre nell’art. 32, prescrive che le misure di cui sopra debbano avere «la capacità di assicurare su base permanente la riservatezza (confidentiality nella versione inglese), l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento».
1. Che cosa succede se non si garantisce la confidenzialità dei dati
Il primo fattore che rende vulnerabili i sistemi è la mancanza di confidenzialità o riservatezza dei dati. In altri termini, è il loro uso improprio o non autorizzato, che può avvenire in seguito a un attacco di hacker o a un errore umano causato dal personale interno dell’azienda. Nel primo caso, si va dall’usurpazione di identità a forme di intercettazione che prendono di mira router, gateway e server di rete (l’esempio classico è la clonazione della carta di credito adoperata durante l’attività di e-commerce), fino alla sottrazione di password d’accesso. Nel caso, invece, di errori accidentali e non voluti, questi sono generati da regole scorrette di autenticazione o dalla libera disponibilità di device di terze parti. Per assicurare la confidenzialità è opportuno attenersi a quei criteri di pseudonimizzazione e cifratura richiamati dal GDPR, nonché a un controllo rigoroso degli accessi e alla criptazione delle comunicazioni quando i dati sono in transito.
2. Come preservare l’integrità dei dati con la tecnologia Blockchain
Il secondo fattore che comporta un rischio per la sicurezza dei dati è la violazione della loro integrità, cioè la modifica o la cancellazione di natura dolosa o colposa. È un pericolo a cui si è costantemente esposti, al quale si può far fronte sia con software di Intrusion Detection per prevenire e neutralizzare i cyber attack, sia con un apposito addestramento degli utenti che dispongono di diversi livelli di accesso in azienda. Ai fini della conservazione dell’integrità e della sicurezza dei dati, alcune soluzioni recenti adottano la tecnologia Blockchain e il suo modello di crittografia diffusa. Gestire, infatti, negli attuali scenari l’identità digitale richiede che siano presidiati in contemporanea una pluralità di sistemi (on premise, cloud, multi-cloud), gli stessi sui quali i dati vengono scambiati quotidianamente. Motivo per il quale le soluzioni Blockchain stanno trovando particolare applicazione in settori quali quello bancario e assicurativo, particolarmente “sensibili” al tema della sicurezza dei dati.
3. Disaster Recovery e Business Continuity contro l’indisponibilità dei dati
Il terzo fattore, infine, che può mettere a repentaglio la sicurezza dei dati è l’incapacità o la difficoltà, per usare le parole del GDPR, «di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico». Tale “indisponibilità”, cioè l’impossibilità di accedere alle risorse a cui si ricorre abitualmente, può essere originata da azioni malevole, come attacchi DoS (Denial of Service) o DDos (Distributed Denial of Service), ma anche da incidenti, quali terremoti, inondazioni e incendi. A questi si aggiungono i guasti di software e hardware o la rimozione accidentale di dati provocata per sbaglio. L’unico modo per rispondere efficacemente al rischio di indisponibilità è quello di dotarsi di infrastrutture di rete che garantiscano la ridondanza tra i sistemi. A patto, ovviamente, che si siano predisposte attività non soltanto di classico back up, ma soprattutto di Disaster Recovery e Business Continuity. Una sicurezza dei dati davvero completa, infatti, richiede che essi siano attingibili sempre e ininterrottamente.
