Trattamento dati

Reg. Trib. di Benevento n. 290/20
Dir. Resp. Dott. Nazzareno Orlando

Cyber Security e GDPR: integrata è meglio

GDPR

Cyber Security e GDPR: integrata è meglio

“Il tutto è maggiore della somma delle sue parti”. Questa frase di Aristotele mi ha sempre accompagnato nelle mie esperienze professionali e personali. Sono fermamente convinto che, qualsiasi processo preso singolarmente, abbia un valore notevolmente inferiore se non integrato ed armonizzato con le altre componenti di un sistema d’insieme complesso.

Questo vale per tutto; il singolo fortissimo atleta non fa una squadra vincente, ma una squadra vincente mette in evidenza le capacità dei componenti facendone un “tutto” più forte, valorizzando le singole capacità, che, se ben integrate, creano l’insieme.

Questo anche nell’approccio alla compliance GDPR ed alla Cyber security. Non può esistere l’una senza l’altra, non può esistere disallineamento tra i comparti. Il risultato finale, e cioè la garanzia della protezione dei dati, nasce dalla giusta dose di analisi dei rischi, valutazione delle vulnerabilità, applicazione di sistemi di sicurezza e monitoraggio del tutto.Ma perché quando parliamo di Cyber security, pensiamo sempre a qualcosa di complesso ed estremamente costoso? O viceversa, approcciamo la questione con la superficialità di chi si addentra in un tunnel senza sapere questo dove vada a finire? Perché le proposte sono varie, sovradimensionate e viceversa, legate a budget striminziti o a richieste di fornitori esose e non proporzionate. In pratica, perché è un settore delicato, dove il marketing è basato sulla strategia della tensione ed i clienti, impauriti, finiscono per rimandare le scelte fino a che il databreach non blocca l’operatività e l’azienda. Non voglio fare un intervento tecnico, ma esprimere un pensiero etico. I dati di una organizzazione vanno protetti perché sono il capitale dell’impresa e perché le normative ce lo impongono, ma i provider di servizi devono intervenire sull’impresa a fronte di un’analisi onesta e tenendo conto delle probabilità di accadimenti di incidenti e dei rischi connessi.

Non c’è bisogno di installare una piattaforma SIEM, Security Information and Event Management, se l’azienda non ne ha bisogno, come non è possibile pensare che un semplice antivirus ci protegga dai malware e non ci faccia incappare in una richiesta di riscatto.

Valutare l’infrastruttura dell’azienda, i dati che tratta e come, la preparazione degli operatori, il settore in cui opera, il contesto, le possibilità d’investimento e, solo dopo tutto questo, integrare sistemi proporzionati e scalabili per garantire quello che è giusto per una compliance che non faccia paura agli imprenditori, ma che sia di supporto alla crescita della sua azienda ed alla evoluzione di una cultura della sicurezza informatica amica e non superflua.

Luigi Perrella

DPO – GDPR Advisor – It Security

CEO e Founder Start Up Data Protection – Napoli