Cybersecurity e Protezione Dati

Cybersecurity e Protezione Dati: l’Integrazione Strategica che Garantisce la Resilienza Digitale

A cura di Fabio Zanoli

La crescente complessità normativa, come il palesarsi di minacce informatiche sempre più sofisticate, fanno sì che l’integrazione tra cybersecurity e protezione dei dati personali non rappresenti più una semplice opportunità, ma una necessità strategica.

L’implementazione di questo ecosistema di sicurezza è fondamentale per ogni organizzazione, non solo per quanto in premessa, ma per rimanere ed evolversi sul mercato. Un’azienda che non sappia garantire la sicurezza dei dati che le vengono consegnati dai propri clienti, fornitori o partner risulterà sempre meno attrattiva in un mondo che si evolve a velocità warp, sia nei contenuti, che nelle minacce.

Questa convergenza è dettata, quindi, tanto dalla natura complementare delle due discipline, quanto dall’urgenza di garantire la resilienza digitale di aziende, enti pubblici e organizzazioni di ogni settore.

Le principali normative europee, tra cui il GDPR (Regolamento Generale sulla Protezione dei Dati), la NIS2 (Direttiva sulla sicurezza delle reti e dei sistemi informativi) e il DORA (Digital Operational Resilience Act), tracciano un quadro che risulta evidente: la sicurezza informatica e la tutela della privacy devono essere affrontate in modalità congiunta, coerente e sinergica.

Due Facce della Stessa Medaglia

Sebbene si concentrino su aspetti distinti, cybersecurity e protezione dei dati personali condividono un obiettivo comune: garantire la riservatezza, l’integrità e la disponibilità delle informazioni. La cybersecurity ha come focus la protezione dell’infrastruttura digitale da attacchi esterni, vulnerabilità e minacce persistenti avanzate. La privacy, al contempo, pone al centro la centralità della persona, tutelando i dati personali da trattamenti illeciti o non proporzionati.

Insomma tutelare le persone e farlo con metodi corretti tecnicamente non è più una cosa da NERD, ma un valore aggiunto anche dal punto di vista del business.

Queste due aree si intersecano in maniera strutturale in molteplici ambiti, come ad esempio:

• La gestione degli accessi e controllo delle identità (IAM): definire, e mantenere nel tempo, in modo puntuale e attento chi può accedere a quali informazioni è essenziale per entrambe le funzioni. Un errore in questo ambito può portare sia a violazioni della sicurezza sia a trattamenti illeciti di dati personali.
• La Crittografia: se adottata come tecnica fondamentale per proteggere i dati in transito e a riposo, è uno strumento chiave tanto per la compliance privacy quanto per la sicurezza informatica.
• Audit, tracciamento e logging: queste attività risultano indispensabili per verificare il rispetto delle policy aziendali, ricostruire eventuali incidenti come per dimostrare la conformità alle normative con cui l’organizzazione deve continuamente confrontarsi.

Il GDPR, non il manuale della paper compliance, ma il cuore della protezione dei Dati

Il Regolamento UE 2016/679 (GDPR) ha rappresentato una vera e propria rivoluzione nella gestione dei dati personali. La sua portata extraterritoriale e l’approccio basato sul rischio lo rendono un pilastro nella costruzione di una cultura della privacy.

I concetti di accountability, privacy by design e privacy by default hanno imposto – lo stanno tuttora imponendo a dire il vero - un cambiamento strutturale: le modalità con cui proteggere i dati devono essere tenuta in considerazione sin dall’inizio e quindi fin dalla progettazione di un progetto, di una nuova attività aziendale, ci marketing ecc. Non può essere tenuta in considerazione solo alla fine del progetto come “misura di paper compliance”. Ne consegue che far sì che questo concetto sia chiaro a tutti i livelli dell’organizzazione migliora le performance e velocizza lo sviluppo delle attività, siano queste rivolte al pubblico che ad al mercato privato.

NIS2, verso la “cybersecurity diffusa”

La Direttiva NIS2, recepita nel nostro Paese con il D.lgs. 138/2024, amplia significativamente l’ambito di applicazione della cybersecurity, includendo anche settori ritenuti “non critici” in passato, come il commercio elettronico, i servizi postali, i fornitori di cloud, ma anche le amministrazioni pubbliche centrali. Inoltre espande la richiesta di sicurezza anche alla catena di fornitura, diffondendo così la necessità di aumentare il proprio perimetro di cybersecurity anche alla PMI, finanche alla micro aziende, in molti casi. Perché se è vero che queste non risultano impattate direttamente dalla norma, è altrettanto vero che queste riceveranno richieste di miglioramento dei loro processi e modalità di cybersecurity dai prte loro clienti.

La norma, come ben sappiamo, introduce inoltre “requisiti minimi di sicurezza” più rigorosi, che comprendono: valutazioni del rischio sistematiche e continuative, politiche di gestione della supply chain anche dal punto di vista della cybersicurezza, obblighi di reporting strutturati e di tenuta documentale degli incidenti, un miglioramento delle misure tecniche e organizzative rispetto agli attacchi informatici.

In questo scenario, le organizzazioni sono chiamate a dimostrare proattività non solo nella risposta agli incidenti, ma anche nella loro prevenzione.

La sfida dell’integrazione. Oltre i “silos organizzativi”

L’integrazione tra cybersecurity e privacy non è sempre semplice. Le due aree, spesso presidiate da team distinti – il CISO da un lato, il DPO dall’altro ad esempio – possono cadere nella trappola dei silos organizzativi, generando incoerenze e ridondanze.

Eppure, proprio la collaborazione tra i componenti di questi due staff può fare la differenza. Una strategia integrata, ovvero la progettazione e l’inserimento nei processi dell’organizzazione di questo ecosistema di sicurezza, permette di: evitare duplicazioni di strumenti e processi, condividere know-how e aggiornamenti normativi. Inoltre rende possibile la compliance a più normative simultaneamente (GDPR, NIS2, DORA, ISO 27001, ecc.), riducendo i costi ed aumenta la capacità di risposta agli incidenti, migliorando la business continuity e mettendo al riparo le organizzazioni da perdite finanziarie. Insomma, parafrasando una vecchia pubblicità: “prevenire è meglio che riemettere on line”. Costa molto meno, da qualsiasi punto di vista, sia finanziario, che organizzativo che reputazionale.

Come dirigersi verso una Governance Integrata

Una buona governance dei dati e della sicurezza parte da una visione strategica unitaria. Che implica andare a definire policy comuni, o comunque integrate e non confliggendo, tra sicurezza e protezione dati, mappare i flussi di dati e i punti di vulnerabilità comuni Mettere a budget investimenti in strumenti tecnologici interoperabili, come SIEM e DLP, ma anche piattaforme di gestione delle violazioni e dei data breach e degli incidenti informatici e, last but not last, monitorare gli asset digitali critici con continuità, prevedendo escalation e remediation condivise.

Best Practice per una Strategia Unificata

Per promuovere un approccio davvero efficace, le organizzazioni dovrebbero adottare alcune best practice operative, alcune delle quali potrebbero essere quelle che elenchiamo qui di seguito:

• Formazione continua: lavoratori e collaboratori formati rappresentano la prima linea di difesa contro errori umani e social engineering.
• Piani di continuità integrati: incident response plan e data breach notification plan devono essere coerenti tra loro.
• Automazione e orchestrazione (SOAR): integrare strumenti per ridurre il tempo di rilevamento e reazione agli incidenti.
• Collaborazione multidisciplinare: promuovere tavoli di lavoro congiunti tra IT, legale, compliance e business.
• Coinvolgimento del vertice aziendale: la sicurezza non è solo un tema tecnico, ma un tema di governance e reputazione.

Concludendo, nel contesto normativo e tecnologico attuale ed in quello che si prepara, la separazione tra privacy e cybersecurity è un approccio anacronistico. Le due discipline si alimentano a vicenda, rafforzandosi reciprocamente. L’adozione di un approccio integrato – l’ecosistema di sicurezza - consente di trasformare, nella pratica e non solo nel libro dei sogni, la compliance da obbligo a opportunità: costruire fiducia con clienti e stakeholder, migliorare l’efficienza operativa, aumentare la resilienza e rafforzare la reputazione aziendale, creare risparmi finanziari, ridurre i costi dei propri servizi e prodotti immessi sul mercato, ecc.

L’oggi della protezione digitale passa inevitabilmente dalla capacità delle organizzazioni di vedere la cybersecurity e la protezione dei dati come due elementi inseparabili, centrali in ogni strategia di innovazione, crescita e sostenibilità.