Sicurezza Informatica

Temi proposti:

1. Sicurezza dei sistemi Mobile

Il Mobile oramai fa parte della nostra vita quotidiana e “regna sovrano” tanto è vero che si dice “avere l’azienda a portata di mano” e questa è veramente una grande conquista, che come tutte le grandi conquiste si porta dietro delle problematiche, una delle più importanti è la sicurezza di questi apparati.

Le aziende spesso fanno l’errore di non equipararli ai computer e quindi non vengono percepite  le molte vulnerabilità ai quali sono soggetti.

L’attività del Gruppo di Lavoro mira a far aumentare la consapevolezza delle aziende ed a fornire agli utenti soluzioni semplici ed efficaci per rendere questi strumenti sicuri.

2.   Sicurezza del Cloud

Il Cloud computing oramai è largamente utilizzato e anche le piu scettiche utilizzano spesso soluzioni in Cloud.

Le aziende traggono un enorme vantaggio dall’utilizzare soluzioni in cloud:

  • Riduzione dei costi
  • Ottimizzazione a livello organizzativo
  • Scalabilità delle soluzioni

Le aziende hanno difficoltà nel comprendere il livello di sicurezza che deve essere preteso dai fornitori dei servizi in cloud come anche il rispetto dei requisiti normativi e contrattuali e queste sono delle tematiche fondamentali affinchè il cliente non incorra in problematiche importanti.

In questo contesto l’attività del Gruppo di Lavoro mira a fornire indicazioni chiare ed esaustive sia ai clienti che ai fornitori di soluzioni in cloud per guidarle nell’erogazione e nell’utlizzo di tali servizi.

3. Data Protection

I Dati sono l’oggetto che dobbiamo proteggere e per farlo abbiamo diversi strumenti:

  • Contromisure di sicurezza tecnologiche
  • Contromisure di Sicurezza organizzative
  • Contromisure di Sicurezza fisiche

Ci sono normative di legge nazionali ed internazionali (Regolamento Generale sulla Protezione dei Dati Personali, la Coookies law, D.Lgs 231/01, SOX ecc) come anche standard internazionali che supportano le aziende nella gestione della sicurezza delle informazioni (ISO27001:2013; ISO22301:2012; ISO29100:2011; ecc.).

Il Gruppo di Lavoro si impegnerà a educare le aziende nella creazione di un sistema di gestione della sicurezza delle informazioni, a comprendere come questo si integra con gli altri sistemi di gestione e norme di legge a cui le aziende devono adempiere creando un Sistema di gestione Integrato che permetta alle medesime di risparmiare tempo e denaro e soprattutto a fare in modo che il medesimo diventi  parte della normale vita aziendale.

4. Big Data

Sentiamo parlare di Big Data continuamente, sono una enorme potenzialità non solamente in ambito commerciale, ma anche sanitario, sociale, finanziario, ecc.

Il mondo Big Data non è di facile gestione, considerando che ai Big Data possiamo associare anche il concetto di intelligenza artificiale.

Big Data però, deve essere anche sinonimo di “Sicurezza” e non solo di “Grande Opportunità”, in quanto parliamo di immense mole di dati di diversa tipologia, che vengono raccolti da fonti diverse e in modi diversi.

Teniamo inoltre in considerazione che la maggior parte delle piattaforme di Big Data sono “in cloud” per cui la Sicureza del Cloud si collega a quella dei Big Data.

Il Gruppo di Lavoro avrà come obiettivo quello di supportare sia le aziende che forniscono servizi correlati ai Big Data, come anche le aziende che usufruiscono di tale servizio nel compredere:

  • Contromisure di sicurezza da fornire/richiedere
  • SLA da definire e contrattualizzare
  • Compliance a normative di legge che è necessario implementare sia come cliente che come fornitore
  • Definire clausole contrattuali eque sia lato fornitore che lato cliente

5. Anonimizzazione

La parola anonimizzazione non piace molto alle aziende, in quanto anonimizzare ha lo stesso significato di cancellare i dati.

Odiernamente, il Nuovo Regolamento Generale sulla Protezione dei dati personali ha portato nuovamente alla ribalta la tematica dell’anonimizzazione grazie ad i nuovi principi del:

  • By Design
  • By Default
  • Data Breach

C’è un grande problema di fondo, che le aziende molto spesso credono di anonimizzare i dati ma in realtà quello che fanno è solo una pseudoanonimizzazione.

L’anonimizzazione vera e propria è quando nessuno, in nessun modo ed in nessun caso riuscirebbe a risalire all’identità del soggetto ai quali appartengono quei dati.

Il Gruppo di Lavoro avrà come obiettivo quello di definire le linee guida necessarie alle aziende per comprendere pienamente cosa sono i dati anonimi e quali quelli pseudoanonimi lavorerà sulle tecnolegie necesserie per l’anonimizzazione.

6. Crittografia

Il nuovo Regolamento Generale sulla Protezione dei Dati Personali definisce che la cifratura è una delle possibili contromisure da implementare a tutela della riservatezza dei dati personali, e lo ripete più e più volte.

Non tutte le cifrature garantiscono la riservatezza delle informazioni nello stesso modo, per cui è necessario utilizzare delle modalità di cifratura efficaci.

Persino il WP29 (Article 29 Working Party) ha scritto un parere sulla cifratura sicura, nel quale vengono descritte le tecniche che rappresentano una cifratura sicura da quelle che non lo sono.

Il Gruppo di Lavoro si occuperà innanzi tutto di sensibilizzare concretamente il mercato sul fatto che la cifratura deve entrare a far parte delle contromisure di sicurezza ordinarie a tutela dei dati aziendali e si adopererà per proporre  gli strumenti necessari per una cifratura sicura, nel rispetto di norme di legge e certificazioni internazionali.

 

Vice Presidente Responsabile: Paola Generali, Managing Director di GetSolution

Referente operativo: Daniela Grossi