14 Nov Sicurezza come business – ICT Legal Consulting (ICTLC) partecipa alla conferenza dell’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (ENISA)

Background

Lunedì 8 ottobre, il founding partner di ICT Legal Consulting – ICTLC, Prof. Paolo Balboni, è stato relatore ad Atene, Grecia, in occasione di una conferenza dell’Agenzia dell’Unione Europea per la Sicurezza delle Reti e dell’Informazione (“ENISA”), organizzata insieme alla Digital SME Alliance (“Alleanza delle PMI digitali”) e all’Autorità greca garante per la protezione dei dati personali (“HDPA”), sul tema della Sicurezza del Trattamento dei Dati Personali. L’ENISA è un centro di competenza per la sicurezza informatica in Europa che lavora a stretto contatto con gli Stati membri e diverse organizzazioni del settore privato per fornire consulenze e soluzioni. Nel corso della giornata, molti esperti hanno condiviso suggerimenti, nonché la loro esperienza di adeguamento al regolamento generale sulla protezione dei dati (“GDPR”), con un focus speciale sulle piccole e medie imprese (“PMI”). Di seguito riassumiamo i loro preziosi contributi.

Questioni principali

Il direttore dell’unità Data security and Standardisation (“Sicurezza dei dati e Standardizzazione”) presso l’Agenzia dell’Unione Europea per la Sicurezza delle Reti e dell’Informazione (“ENISA” o “l’Agenzia”), Andreas Mitrakas, ha sottolineato l’importanza di creare un quadro di protezione dei dati commisurato ai rischi percepiti – quindi, un metodo che ponga al centro un approccio basato sul rischio. Mitrakas ha inoltre – con riferimento alle PMI – sottolineato l’efficacia dell’adesione a codici di condotta o certificazioni, come mezzo per dimostrare la propria conformità al regolamento. La Digital SME Alliance può, in modo analogo, essere interessante per le PMI in quanto rappresenta la più grande rete di PMI in Europa, che ha creato un ecosistema in grado di sviluppare certificazioni per le PMI, le cosiddette “Small Business Standards” (“SBS”), che possono risultare più vantaggiose per le PMI e che implementano il GDPR per settori.

Il Prof. Paolo Balboni (founding partner di ICT Legal Consulting) ha presentato un quadro complessivo degli strumenti selezionati e best practices disponibili sul mercato che consentono alle PMI di conformarsi al GDPR, partendo dal principio della protezione dei dati fin dalla progettazione e per impostazione predefinita, quale principio che coinvolge tutte le fasi di un’attività di trattamento – la liceità e la correttezza del trattamento, la trasparenza nei confronti dell’interessato, la raccolta di dati personali per finalità specifiche, esplicite e legittime, la minimizzazione, l’accuratezza, l’integrità e la riservatezza dei dati personali, nonché l’appropriata limitazione della conservazione. Affinché un’impresa possa garantire di aver adottato tutte le misure necessarie per conformarsi alla normativa, l’Information Commissioner’s Office – l’autorità britannica garante per la protezione dei dati (“ICO”) ha creato il Data Protection Self-Assessment Toolkit. Inoltre, l’autorità greca per la protezione dei dati ha elaborato una guida di preparazione in 10 fasi, la Commission Nationale de l’Informatique et des Libertés (“CNIL”) una guida per i responsabili del trattamento, mentre l’autorità italiana per la protezione dei dati (“Garante”), ha pubblicato una guida per l’applicazione del GDPR.  Questi strumenti forniscono una guida preliminare alle aziende che agiscono sia come titolari del trattamento che come responsabili del trattamento.

In seguito, Giuseppe D’Acquisto, funzionario direttivo del Garante italiano, ha presentato un nuovo modello di sicurezza, con il titolo “la sicurezza integrata nell’impresa”, dove la sicurezza, invece di essere considerata come una minaccia alle esigenze aziendali, viene affrontata come un aspetto fondamentale del fare impresa. Il dott. D’Acquisto ha evidenziato  che in effetti, circa il 70% delle PMI non ha la possibilità di negoziare i contratti con i propri fornitori di sicurezza, il che si traduce di fatto in un’incapacità  – come titolari del trattamento – di prevedere malfunzionamenti e rischi di qualsiasi tipo. Tuttavia, le PMI sono anche invitate a seguire l’approccio basato sul rischio per identificare i rischi per la sicurezza che sono disposte ad affrontare, per poi scegliere i fornitori di servizi adeguati in base ai loro obiettivi di sicurezza. Pertanto,  D’Acquisto ha fatto presente che quando le misure di sicurezza sono fondate sull’approccio basato sul rischio e utilizzate come aspetto centrale per fare business, i relativi costi si riducono mentre la conformità alla normativa risulterà personalizzata e più efficiente. Infine, il dott. D’Acquisto ha fatto riferimento al fatto che l’ENISA sta lavorando ad un progetto di pseudonimizzazione che potrebbe rivelarsi molto utile nel prossimo futuro.

Il Dr. Prokopios Drogkaris, esperto di Sicurezza delle Reti e dell’Informazione in ENISA, ha ribadito che quando si parla di sicurezza non esiste un’unica soluzione universale (“one-size-fits-all”) e ha fornito un’utile panoramica delle linee guida di ENISA, come il Manuale sulla sicurezza del trattamento dei dati personali e le Linee guida per le PMI sulla sicurezza del trattamento dei dati personali.

Una prospettiva più tecnica è stata presentata da George Patsis, CEO di Obrela Security Industries, che ha spiegato brevemente come un’azienda possa passare dalla prevenzione alla resilienza. Il Dr. Patsis ha accennato che la probabilità che si verifichi una violazione dei dati equivale a 1, nel senso che ad un certo punto della vita di un’azienda si verificherà un incidente di violazione dei dati (i cd. “data breach”). Perciò, si passa dalla vecchia domanda “come possiamo prevenire una violazione dei dati?”, alla domanda “come possiamo creare un ambiente resiliente per gestire le violazioni dei dati in modo più efficace?”. Il modo per farlo è gestire la propria esposizione al rischio, in primo luogo attraverso l’identificazione della propria “superficie di attacco”; questo termine sta ad indicare le opportunità presentate ad una potenziale violazione dei dati, come ad esempio siti interni di memorizzazione, e destinatari esterni di dati personali (fornitori, partner, rivenditori). Fatto ciò, diventa una questione di cyber resilienza: ridurre, correggere (o patching) ed incrementare la consapevolezza della superficie di attacco.

L’ultimo tema toccato durante la conferenza è stato il principio della protezione dei dati fin dalla progettazione e per impostazione predefinita, o come Athena Bourka, esperta di sicurezza delle reti e dell’informazione dell’ENISA l’ha definita: “think privacy – design privacy”. La sig.ra Bourka ha presentato la strategia in 8 passi, seguendo le linee guida dell’ENISA sulla privacy e la protezione dei dati fin dalla progettazione; 1) minimizzare, 2) nascondere, 3) separare, 4) aggregare, 5) informare, 6) controllare, 7) applicare e 8) dimostrare. Dopo aver seguito questo piano di progettazione con riferimento a tutte le attività di trattamento o a progetti ancora da realizzare, l’interrogativo da porsi è quello sulla scelta delle misure appropriate per controllare il rischio in questione. Tuttavia, la cosa importante è rendere la privacy un aspetto rilevante nella progettazione di qualsiasi prodotto, servizio o progetto all’interno di un’azienda.

Implicazioni pratiche

1. Deve essere elaborato un quadro di conformità alla normativa in materia di protezione dei dati fondato su un approccio basato sul rischio: le imprese dovrebbero valutare i rischi inerenti alle proprie attività di trattamento e implementare un sistema di misure per attenuare tali rischi;
2. L’adesione a codici di condotta o certificazioni è un metodo efficace per dimostrare la conformità: le imprese possono individuare certificazioni o codici di condotta applicabili al tipo di attività di trattamento che svolgono e chiedere che vengano approvati da parte degli organismi di certificazione;
3. Le PMI sono inoltre tenute a seguire l’approccio basato sul rischio per diventare consapevoli dei rischi per la sicurezza dei dati che sono disposte ad affrontare, e quindi selezionare i fornitori di servizi adeguati in base ai loro obiettivi di sicurezza;
4. Nel lungo termine, un’impresa dovrebbe puntare alla resilienza: passare dalla prevenzione alla resilienza può essere un compito difficile, ma sarà il metodo più efficace per gestire i data breach e i rischi per la sicurezza informatica in generale;
5. Le aziende dovrebbero “pensare la privacy – progettare la privacy”: la privacy dovrebbe essere implementata fin dalle prime fasi di progettazione di progetti, processi nonché di nuovi beni e servizi.