Negli ultimi anni, diversi paesi in tutto il mondo hanno adottato o inasprito le leggi sulla privacy dei dati. L’accelerazione della digitalizzazione è uno dei principali fattori che ha portato l’attenzione verso questo tema rilevante, con leggi locale e regolamenti europei come il GDPR (regolamento n.2016/679) che rappresentano la risposta alle preoccupazioni dei cittadini sulla protezione delle informazioni.
Ora più che mai, gli individui desiderano chiarezza su come vengono raccolti i propri dati – da chi e perché – e come vengono gestiti e salvaguardati in modo appropriato. La pandemia ha dato un’ulteriore forte spinta alla digitalizzazione, incrementando di fatto il volume di dati sensibili che vengono generati e scambiati, sollevando domande sull’equilibrio tra privacy personale e sforzi per mantenere la salute pubblica e l’attività economica.
Le persone hanno quindi motivo di preoccuparsi del rischio di compromissioni da parte di cyber criminali. Secondo il Ponemon Institute Cost of Insider Threats Report, il 44% delle violazioni di informazioni comporta la compromissione di dati personali dei clienti, mentre il 26% include quelle dei dipendenti con gli attacchi malevoli alla base di oltre il 50% delle violazioni di dati.
Questi incidenti hanno un impatto considerevole anche per le aziende: le violazioni che coinvolgono le informazioni personali dei clienti sono, in assoluto, le più dispendiose, con un costo stimato di 180 dollari per record, secondo la ricerca di Ponemon, mentre quelle dovute ad attacchi pericolosi costano alle aziende più di 4 milioni di dollari, in media.
Migliorare la protezione delle informazioni adottando migliori pratiche di sicurezza
Le organizzazioni sono sotto costante e crescente pressione per garantire la privacy e sicurezza dei dati, mantenere una governance adeguata e raggiungere la conformità. Da questa tensione, e dalla necessità di non compromettere il business aziendale, hanno preso forma normative sulla privacy dei dati, ad esempio il GDPR o l’Health Insurance Portability and Accountability Act (HIPAA), e altre ancora.
La protezione delle informazioni è un equilibrio delicato da raggiungere, poiché sicurezza e privacy si complementano e sovrappongono. Concentrarsi su un aspetto non può andare a scapito dell’altro. Con questo in mente, offriamo tre consigli alle organizzazioni per aiutare a garantire che la privacy dei dati e gli sforzi di governance per la protezione siano efficaci:
- Usare misure di sicurezza appropriate per le informazioni personali
Se alcune informazioni personali sono più sensibili di altre, è importante pensare alle ramificazioni nel caso in cui venissero perse o violate. Più sensibili sono i dati, più robuste devono essere le protezioni.
Ad esempio, una lista di nomi di clienti e indirizzi e-mail non richiede le stesse protezioni di sicurezza di un elenco di nomi di clienti e numeri di carte di credito. Detto questo, entrambi gli insiemi di informazioni devono essere protetti, e condivisi solo in caso di necessità. Non è certamente un’informazione che si vorrebbe fosse distribuita apertamente, specialmente all’interno di organizzazioni competitive.
- Raccogliere solo le informazioni di cui l’organizzazione ha veramente bisogno, assicurando una corretta gestione e archiviazione dei dati
Le aziende hanno spesso bisogno di raccogliere diversi tipi di dati per fornire ai clienti un servizio efficace e potrebbero includere elenchi di indirizzi, cartelle cliniche, dettagli di pagamento o di documenti d’identità, etc… La prassi migliore è di limitare la raccolta di informazioni solo agli elementi critici per il business, valutando bene quali si richiedono, e, di conseguenza, di cui si sarà responsabili. Si pensi in merito al principio di minimizzazione dei dati chiaramente espresso nel GDPR.
Lo stesso approccio ponderato alla raccolta dei dati può essere applicato anche all’elaborazione e alla conservazione. Il livello di esposizione al rischio di un’organizzazione aumenta con l’incremento del volume delle informazioni. Quindi, prima di archiviare questi dati, è opportuno considerare se sono business-critical e, in caso negativo, procedere con il loro smaltimento in modo sicuro, documentando ogni punto di contatto per essere in grado di valutare tutti i rischi.
Se l’archiviazione è invece essenziale, è fondamentale applicare le protezioni appropriate, come le misure di sicurezza fisica per i file cartacei e un server crittografato e sicuro per i file elettronici. Inoltre, è importante fare attenzione a esaminare frequentemente i dati archiviati ed eliminare tutto ciò che è obsoleto o non più necessario.
- Applicare alle informazioni personali le migliori pratiche di sicurezza
Combinando la sicurezza delle informazioni con programmi di governance dei dati che identificano, classificano e proteggono le risorse di dati critici e sensibili, le organizzazioni possono ridurre il rischio di esposizione dei dati utilizzando controlli tecnici e facendo della privacy dei dati una priorità.
Queste barriere rallenteranno qualsiasi attore minaccioso che potrebbe entrare dalla “porta principale”.
Crittografare le informazioni dei clienti e archiviarle su server interni o in ambienti cloud adeguatamente controllati, separati da qualsiasi server esterno.
Posizionare un firewall tra i server per aggiungere ostacoli e limitare il movimento laterale degli attaccanti.
Adottare le misure di sicurezza di base, come la protezione dei sistemi con password difficili da decifrare, è essenziale.
Lo stesso vale per la sicurezza delle password, applicare controlli di accesso come l’autenticazione a più fattori ai sistemi che ospitano dati personali ed evitare di rivelare dati personali su clienti, colleghi o te stesso al telefono o sui social media in modo rapido.
Stare al passo con l’evoluzione delle leggi sulla privacy dei dati
Per molte organizzazioni lungimiranti oggi, una strategia efficace per la privacy dei dati significa unire gli investimenti dedicati a cybersecurity e protezione delle informazioni, poiché una buona governance e conformità si traduce nella migliore postura di sicurezza.
Inoltre, è fondamentale per le aziende rimanere aggiornate su come le leggi sulla privacy dei dati si stanno evolvendo. Ad esempio, poiché sempre più paesi stanno allineando le loro leggi al GDPR, molte organizzazioni extraeuropee vorranno considerare di assumere una posizione proattiva per garantire conformità ai mandati del GDPR, anche se non ne hanno ancora bisogno.