Cinque suggerimenti per le imprese
Mancano meno di sei mesi all’entrata in vigore del Regolamento europeo in materia di protezione dei dati personali (GDPR): è importante aver predisposto misure a rispetto della privacy e a protezione dei sempre più frequenti attacchi cyber. I Lloyd’s hanno pubblicato cinque dritte per non farsi trovare impreparati.
25 maggio 2018: a che punto sono le aziende?
Secondo un’indagine condotta da Vanson Bourne, specializzata in ricerche di mercato, e promossa dallo specialista nelle soluzioni di sicurezza di rete avanzate Watch Guard Technologies, su più di 1600 imprese in tutto il mondo (di cui 200 in Italia) il 37% non sa se debba o meno sottostare ai criteri di conformità del GDPR, con più di un quarto (28%) che crede di non essere tenuto a uniformarsi. Tra questi ultimi, uno su sette (14%) raccoglie dati personali di cittadini UE, come anche il 28% che pensa di non doversi adeguare al GDPR. L’indagine sottolinea quindi non solo una scarsa consapevolezza del rischio, ma anche confusione sul tipo di dati oggetto del regolamento.
Mentre alcune aziende sono a conoscenza del GDPR da tempo, solo un 10% ritiene che la propria azienda sia attualmente in regola. Il 44% degli intervistati ha dichiarato di non sapere quanto la propria organizzazione sia vicina alla conformità. Tra chi afferma che la propria organizzazione è interessata dai cambiamenti imposti dal GDPR (il 35% del totale degli intervistati), la maggioranza (86%) crede di avere una solida strategia di conformità in atto. Tuttavia, il 51% dei rispondenti sostiene che avrà bisogno di apportare significativi cambiamenti all’infrastruttura IT aziendale per raggiungere la compliance. Sebbene dai risultati emerga che firewall, VPN e crittografia siano le misure di sicurezza maggiormente coinvolte nelle strategie di adeguamento, solo il 18% dei rispondenti ha dichiarato che gli ambienti di prova (i cosidetti sandbox) su cui fare tutti i test avranno un ruolo nel loro piano per il GDPR.
Si stima che alle aziende che non hanno ancora predisposto gli strumenti necessari servirà una media di sette mesi per completare i requisiti. Per colmare il divario, quasi la metà (48%) delle organizzazioni intervistate chiede, o potrebbe chiedere, assistenza a una terza parte.
Le sanzioni per chi non si adeguerà entro il 25 maggio 2018 arrivano a 20 milioni di euro o fino al 4 % del fatturato totale annuo.Il gruppo NCC, esperti in sicurezza informatica, hanno stimato che le sanzioni inflitte lo scorso anno dall'Information Commissioner's Office (ICO) nei confronti di aziende del Regno Unito avrebbero potuto raggiungere addirittura 69 milioni di sterline, se il GDPR fosse già entrato in vigore.
Se non lo si è già fatto, occorre implementare da subito un piano d’azione per conformarsi al GDPR. Dai Lloyd's una serie di consigli utili per le imprese.
-
Investire nella sicurezza informatica
Le aziende che potranno dimostrare di aver intrapreso misure per proteggersi dagli attacchi cyber saranno favorite dalle autorità di regolamentazione. La maggior parte degli attacchi informatici, infatti, viola informazioni e dati sensibili al fine di estorcere denaro. Un’indagine dei Lloyd's ha svelato che il 92% degli intervistati europei ha subito una violazione dei dati negli ultimi cinque anni, confermando un’altissima diffusione degli attacchi. Attrezzarsi con procedure e strumenti adeguati per ridurre questo rischio diventa un investimento sensato e un piccolo prezzo da pagare per evitare ingenti perdite.
-
Sottoscrivere un'assicurazione cyber
Le aziende devono verificare di essere preparate per mitigare i rischi derivanti da un attacco informatico. Stipulare una polizza adeguata permette di avere a disposizione la consulenza di esperti capaci di migliorare la sicurezza dei propri sistemi informativi e delle procedure di lavoro. In caso di attacco, si è rimborsati delle perdite finanziarie e si è supportati durante il periodo di crisi. Lavorando al fianco di esperti nella sicurezza informatica, le aziende comprendono meglio i rischi da affrontare e imparano a mitigarli, per proteggere i propri dati, la propria reputazione e il proprio business.
La stipula di un’assicurazione cyber dovrebbe essere preceduta da una valutazione sistemica a livello aziendale che identifichi gli asset critici, valuti l’esposizione al rischio, stabilisca le misure di mitigazione e predisponga una policy aziendale attenta alla sicurezza nel trattamento dei dati personali.
Numerose compagnie propongono ormai polizze specifiche contro gli attacchi informatici e gli attacchi di hacking (Hacksurance), soluzioni assicurative per coprire la distruzione o perdita di dati (Furto e frode),pacchetti che rimborsano le spese legali e tecniche derivanti dalla violazione dei dati (Indagine forense), i mancati guadagni derivanti dalla interruzione o dall’eventuale mancato ripristino dell’attività (Disaster recovery), il danno di immagine e il danneggiamento del software e/o dell’hardware.
-
Notificare le violazioni responsabilmente
Il nuovo regolamento europeo impone alle aziende di riferire l’avvenuta violazione dei dati entro 72 ore, pena l'applicazione di una sanzione, in aggiunta alla multa relativa alla violazione stessa. In alcuni casi, le aziende saranno anche obbligate a contattare le persone i cui dati sono stati violati.
Stando ai dati Clusit, in media, le imprese si accorgono di essere state colpite da un attacco cyber solo dopo 140 giorni. Pochissimi denunciano gli attacchi alle autorità: il 77% delle violazioni amministrative contestate dal Garante per la protezione dei dati personali è costituito proprio dall’omessa comunicazione di data breach da parte degli operatori coinvolti ai diretti interessati.
È invece importante, proprio per tutelare credibilità e reputazione, aver implementato le procedure necessarie per individuare tempestivamente e in modo efficace una violazione dei dati personali, per denunciarla e avviare le indagini necessarie.
-
Comprendere il rischio
La minaccia cyber non riguarda solo il reparto IT, ma l'intera struttura aziendale. Tutti i soggetti coinvolti devono comprendere i potenziali rischi, come evitarli e come affrontarli nel caso le misure di protezione e prevenzione non siano bastate. E’ spesso compito dei vertici aziendali imprimere la giusta direzione all’azienda che deve mettere in sicurezza i dati in suo possesso. Sarebbe utile, in questo senso, trasmettere a tutti i livelli un’adeguata cultura del rischio.
-
Aggiornare le procedure regolarmente
I rischi seguono la continua evoluzione delle tecnologie e delle soluzioni su cui facciamo affidamento per prevenire gli incidenti informatici. Anche quando le aziende si saranno allineate al nuovo regolamento, occorrerà aggiornare periodicamente le misure di sicurezza implementate.
Sono necessarie verifiche regolari per mantenere efficaci le procedure, per continuare a essere conformi con le disposizioni e per individuare possibilità di miglioramento nella gestione del rischio.