Un’occasione per portare consapevolezza e attenzione sui temi della privacy, ma anche per fare un bilancio a un anno dall’entrata in vigore del GDPR: oggi è il quattordicesimo Data protection day, ricorrenza promossa dal Consiglio d’Europa.
La data ricorda il 28 gennaio 1981, giorno della sottoscrizione della Convenzione per la tutela delle persone fisiche con riguardo al trattamento dei dati personali.
Indice degli argomenti
L’analisi e i dati
L’Accademia italiana privacy ha presentato una riflessione sulla situazione data protection a oggi: “La sicurezza dei dati dipende sia da chi li concede, sia da chi li gestisce. Le aziende possono e devono fare molto di più per proteggere i propri sistemi, ma dall’altra parte è essenziale che gli utenti siano consapevoli di quali informazioni forniscono, a chi, per quali scopi e per quanto tempo” spiega Alessandro Papini, Presidente di Accademia Italiana Privacy. Dall’analisi del gruppo emerge che gli utenti di internet prestano ancora poca attenzione alla protezione dei dati, in particolare sui social network. Invece, le aziende sono diventate più attente al tema, grazie anche all’introduzione del GDPR.
In Italia, nel periodo di applicazione del GDPR, sono state elevate multe per 11,5 milioni di euro, e sono stati segnalati 1.886 data breach. Quest’ultimo dato è una maglia nera: l’Italia è terzultima in Europa. Al primo posto c’è l’Olanda con 40.000 segnalazioni.
Data protection e nuove tecnologie
Il Consiglio d’Europa ha rilasciato un comunicato ufficiale in cui viene precisato che “dobbiamo rimanere vigili e rivalutare costantemente i nostri strumenti al fine di fornire un’adeguata risposte alle sfide del mondo digitale e dell’informazione e della comunicazione tecnologie”.
Queste tecnologie, prosegue il Consiglio “sono sempre più invasive e intrusive nella nostra vita privata, così come lo sono gli abbaglianti sviluppi nel campo della biometria, del riconoscimento facciale e dell’intelligenza artificiale, e tecniche di profilazione sempre più sofisticate. Il caso Clearview recentemente rivelato dal New York Times, che ha permesso a questa start-up di succhiare miliardi di foto pubblicate su Internet e offrire i suoi servizi di riconoscimento facciale a varie autorità di polizia negli Stati Uniti, è solo un esempio dei tanti errori di cui dobbiamo essere testimoni giorno dopo giorno”. Un rischio, precisa il Consiglio d’Europa, per diritti umani e democrazia.
Aziende e data protection: non basta la compliance
Adenike Cosgrove, Cybersecurity Strategist, International di Proofpoint, spiega che “anche se le normative come il GDPR hanno favorito l’avvio di dibattiti e conversazioni e portato le aziende a pensare in modo diverso alla protezione, siamo solo al punto di partenza. Il fatto che un’azienda sia conforme a un regolamento non significa necessariamente che stia facendo tutto il possibile per proteggere i dati dei propri clienti”. Oltretutto, gli attacchi sono sempre più sofisticati e mirati, realizzati “utilizzando tecniche di ingegneria sociale per capitalizzare le vulnerabilità umane”.
Quindi, proteggere dalle minacce “richiede una strategia altrettanto sofisticata che salvaguardi persone, processi e tecnologia in modo costante. La compliance è spesso vista come un esercizio di check-box e può essere aperta a interpretazioni, quindi diventare conforme a normative come il GDPR non dovrebbe essere uno dei driver primari di sicurezza. La conformità è un passo importante del processo in quanto può aiutare un’azienda a scoprire i gap di protezione, ma deve essere vista solo come un punto di partenza nel cammino verso la vera protezione dei dati e la sicurezza delle informazioni”.
Le organizzazioni, “al di là di flaggare la casella relativa alla compliance devono adottare le best practice del settore, comprendere il loro profilo di rischio individuale e implementare strategie di sicurezza focalizzate sulle persone”.
Il consiglio: serve più consapevolezza
Per David Warburton, Senior Threat Research Evangelist, F5 Networks, è necessario “migliorare il posizionamento dell’azienda sulla privacy rafforzando le cyberdifese e contrastando il social engineering. Le azioni che si possono intraprendere sono molte e devono includere necessariamente dei programmi consistenti di sensibilizzazione dei dipendenti, capaci di evolversi in linea con lo sviluppo delle nuove piattaforme social e di garantire che in azienda vi sia una cultura della condivisione responsabile”.
Per Warburton “non sarà necessario prestare attenzione solo ai singoli dipendenti. Chi attacca può prendere di mira anche alcune organizzazioni specifiche, attingendo alle informazioni dei dipendenti sui siti web dell’azienda e dei sui partner. Informazioni come i registri di proprietà, i documenti depositati, le cause legali e quanto condiviso sui social media forniscono dati che possono essere utilizzati in modo dannoso, per questo ogni azienda dovrebbe rivedere periodicamente tutte le informazioni condivise sul web”.
