AccediRegistrati

Perché i dati dovrebbero importare alle aziende quanto i soldi

Redazione Tot
Redazione Tot
28 settembre 2022
Sicurezza, privacy e salvaguardia dei dati personali

Molti ritengono che la cosa più importante che ogni azienda dovrebbe tutelare siano i propri asset. Sì, ovvio. Ma purtroppo spesso si sottovaluta un patrimonio “indisponibile” che nel lungo termine fa sempre la differenza. Stiamo parlando dei dati, ovvero di tutto quell'universo di informazioni che, se mal raccolte, gestite o, peggio, ignorate, possono costare ad un’azienda molto caro.

Se pensiamo, per esempio, ad un’istituzione finanziaria o della pubblica amministrazione, la protezione dei dati è ovviamente importante, poiché devono essere garantiti elevatissimi standard di sicurezza contro attività fraudolente, hacking, phishing, furti d’identità, eccetera. Ma in realtà qualsiasi azienda, dalla piccola attività a gestione familiare fino alle grandi imprese che oggi intendano stare sul mercato, in una nuova economia globale ma soprattutto pienamente digitale, devè necessariamente "pre-occuparsi" della protezione dei dati. Con l'aumento incontrollabile della quantità di dati digitali archiviati e creati, infatti, aumenta in modo direttamente proporzionale anche l'importanza della loro protezione, scongiurando tutti quei danni (devastanti) che potrebbero scaturire da possibili violazioni.

Quali dati proteggere (e come)

Ok, ma quando parliamo di dati, quali sono quelli da proteggere prima di ogni altra informazione, e come? La risposta è anche fin troppo semplice. Certamente devono essere protetti i dati interni dell’azienda (ad esempio i brevetti e le proprietà intellettuali) e, soprattutto, quelli dei propri clienti, ovvero i dati personali (nomi, indirizzi, recapiti mail e numeri telefono, coordinate bancarie, informazioni sanitarie, eccetera), poiché ovviamente se queste informazioni finissero nelle mani sbagliate potrebbero compromettere l'integrità personale, la sicurezza fisica, quella finanziaria, eccetera.

Prima di proseguire è necessario fare un piccolo inciso, anzi due, spostando per un attimo il focus dalle aziende agli utenti e - quindi - a ciascuno di noi.

Il primo inciso è che in questo articolo non parleremo di tutti quei dati che produciamo quotidianamente e che vengono raccolti “automaticamente” dalle aziende anche senza il nostro consenso espresso (o meglio, con un consenso semplice che siamo soliti concedere quasi inconsapevolmente quando clicchiamo senza neanche prestare molta attenzione “accetto” tra licenze di utilizzo e cookie).

Il secondo inciso è per chiarire un qualcosa di cui, troppo spesso, non ci preoccupiamo: noi siamo i nostri dati, sia quelli che produciamo sia, soprattutto, quelli che non a caso vengono definiti personali (o sensibili). Stiamo parlando di un qualcosa che nei prossimi anni sarà sempre più posto alla stregua di un diritto fondamentale dell’uomo. Fateci caso: quando si parla per esempio di GDPR, ovvero del regolamento europeo che disciplina la protezione dei dati personali dei cittadini dei Paesi UE, ogni azienda deve indicare espressamente nella propria Privacy Policy un “titolare del trattamento” dei dati. Sì, perché i nostri dati nel momento in cui scegliamo di comunicarli non diventano mica “dell’azienda”: glieli stiamo affidando, e l’azienda è titolata quindi soltanto a raccoglierli ed utilizzarli, nei limiti della legge, ma gli unici i proprietari di quei dati siamo noi. Tant’è che il GDPR ci riconosce anche tutta una serie di diritti riguardo l’accesso, la modifica e conservazione ai nostri dati personali. Ed ogni azienda è tenuta a garantirli. Non solo. Proprio per i motivi già accennati ogni azienda è tenuta a garantire tutta una serie di misure di sicurezza riguardo la loro raccolta, gestione, e non solo.

Già da decenni nei manuali del “buon protettore delle informazioni” si parla di tecniche e modelli di base in tema di sicurezza, e tra questi c’è un modello (di una semplicità disarmante) che ben riassume le caratteristiche essenziali di una buona infrastruttura di gestione dei dati. Il suo acronimo è CIA (e no, non c’entra nulla con l’intelligence statunitense, anche se parla probabilmente la stessa lingua). Secondo la cosiddetta “triade CIA” ogni sistema di protezione efficace se e solo se poggia su almeno tre pilastri fondamentali:

  • Riservatezza (Confidentiality), ovvero i dati possono essere utilizzati solo da operatori autorizzati con apposite credenziali personali (e con diversi livelli di autorizzazione).
  • Integrità (Integrity), ovvero tutti i dati archiviati all'interno di un'organizzazione sono ritenuti affidabili, precisi e non soggetti a modifiche ingiustificate.
  • Disponibilità (Availability), ovvero proteggere i dati non significa renderli inaccessibili. Semplicemente, quando serve accedervi questi devono essere disponibili in modo tanto sicuro quanto immediato.

In mezzo a questa “triade”, la cui osservanza comporta quotidianamente scelte, cambiamenti e innovazioni in termine di processi, strumenti, eccetera, ci stanno i nostri dati.

Poiché, come abbiamo accennato, nell’era digitale la quantità di dati disponibili continua ad espandersi ad un ritmo senza precedenti, aumenta di conseguenza anche il valore economico di questi. Ed a tutto ciò si aggiungano i rischi, per le aziende, derivanti dalla perdita di preziose relazioni commerciali a causa del mancato rispetto dei requisiti contrattuali per la protezione della privacy. Secondo un report di Forbes Insights, infatti, il 46% delle aziende avrebbe subito danni alla propria reputazione proprio a causa di una violazione della privacy.

Come dovrebbero le aziende, quindi, proteggere i dati? Non esiste certamente una sola ricetta, e neanche la bacchetta magica. Possiamo, però, provare a riassumere qui quanto consigliato più volte dagli esperti cyber security, secondo cui in un sistema di protezione ben “organizzato”, la gestione dei dati dovrebbe essere garantita attraverso:

  • Prevenzione della perdita di dati (DLP), ovvero l’insieme di strumenti e processi utilizzati per proteggere i dati da furti, perdite, usi impropri, cancellazione, eccetera.
  • Firewall, ovvero tutti quegli strumenti hardware e software utilizzati per monitorare e filtrare il traffico web in entrata ed in uscita, garantendo l’accesso ed il trasferimento dei dati solo ad utenti autorizzati.
  • Crittografia: ovvero l’alterazione del contenuto dei dati in base a un algoritmo che può essere “annullato” solo con la cosiddetta “chiave crittografica”. Altrimenti, semplicemente, i dati restano illeggibili.
  • Cancellazione dei dati, ovvero la rimozione dagli archivi di tutti quei dati non più necessari o rilevanti (che peraltro è un obbligo del GDPR).
  • Resilienza dei dati, ovvero la creazione di tutti quei meccanismi (hardware a software) per garantire la sicurezza in caso di eventi naturali o anche normali interruzioni nella fornitura di energia elettrica.
  • Backup dei dati, ovvero un piano per eseguire immediatamente copie dei dati (su drive fisici o cloud) in caso di guasto o violazione, consentendone il recupero.

Attenzione: viviamo in contesto in costante e rapida evoluzione e questi rappresentano gli strumenti minimi che ogni azienda dovrebbe adottare. Ma il consiglio migliore che si possa dare è che ogni azienda preveda di affidarsi ad un CISO (Chief Information and Security Officer), ovvero un manager interno specializzato sulla sicurezza, o anche a fornitori terzi qualificati (assolutamente vietato l’arrangiarsi e il “mio cugino” quando si parla di sicurezza dei dati e delle informazioni!).

La sicurezza non uccide l’innovazione

La tutela della privacy dovrebbe essere vista da tutte le aziende non solo come un elemento di differenziazione o qualcosa da fare perché imposto dalla legge, ma come un requisito essenziale per qualsiasi nuova tecnologia o servizio che preveda la raccolta o l’utilizzo di dati personali. Anche perché, semplicemente, gli conviene.

Chiaro che in un mondo sempre più semplificato e disintermediato, dove per accedere ad un servizio siamo spesso “costretti” a sopportare quelle antipatiche doppie e triple verifiche di autenticazione, ci sarà capitato spesso di domandarci “ma perché tutti questi passaggi?” Ecco, tra le principali sfide tecnologiche (ed anche un po’ “filosofiche”, diciamolo) da qui al 2030 una è certamente quella di riuscire a far diventare “sexy” un qualcosa di tremendamente noioso qual è la sicurezza, senza soffocarla continuamente nella culla in nome dell’innovazione. Ed anche in molte startup si ritiene che l'integrazione di controlli di sicurezza e privacy con nuove tecnologie, prodotti e servizi soffochi ogni possibile disruption. Non è così. Perché se la privacy è volutamente messa al centro di ogni innovazione di prodotto e servizio, la migliora nelle sue fondamenta e le conferisce, quindi, un enorme vantaggio competitivo. Pensiamo, giusto per tornare all’esempio delle strong authentication, a quanto la biometria abbia accorciato, facilitato e al tempo stesso reso ancor più sicuri questi processi, a partire dai pagamenti elettronici!

Per concludere, ogni azienda dovrebbe ritenere la privacy e la sicurezza come un abito mentale. Le persone nella loro veste di utenti e consumatori sono oramai abituate a standard sempre più elevati e da quasi per scontato che ogni attività commerciale e professionale con la quale entra in contatto, dal supermercato sotto casa, al rivenditore online, al professionista (avvocato, commercialista, eccetera) fino all’abbonamento alla pay tv, sia impegnata quotidianamente a proteggerla, questa privacy, dimostrando concretamente quella trasparenza e quell’affidabilità che nessuna campagna di marketing e pubblicità milionaria potranno mai riuscire a comprare. La reputazione, come la fiducia, non si compra. Si guadagna. E basta un attimo per perderla irrimediabilmente.

tot