È doveroso ricordare che, secondo il GDPR, una violazione dei dati (o data breach) implica che i dati – di cui l’organizzazione è responsabile – subiscano un incidente di sicurezza con conseguente violazione della riservatezza, della disponibilità o dell’integrità e costituire un rischio per i diritti e le libertà di una persona.

L’organizzazione, in base a quanto stabilito dal GDPR, deve informare – senza indebito ritardo ed entro 72 ore dopo aver preso conoscenza della violazione – l’autorità di vigilanza.

Lo scenario delle minacce informatiche

Il panorama delle minacce informatiche continua, purtroppo, a evolversi rapidamente e in modo sempre più articolato.

I cyber criminali fanno leva su una vasta gamma di strumenti – inclusi AI (Artificial Intelligence) e ML (Machine Learning) – per sviluppare tecniche di attacco sempre più sofisticate, capaci di colpire in modo sistemico le vulnerabilità delle organizzazioni e compromettere i dati su larga scala.

È doveroso ricordare che una singola violazione può generare gravi conseguenze: dall’inattività operativa alle interruzioni nelle catene di approvvigionamento, dalla risoluzione anticipata dei contratti ai danni reputazionali e di brand, fino a implicazioni normative complesse.

Inoltre, secondo un rapporto della National Cybersecurity Alliance, il 60% delle Pmi non riesce a sopravvivere nei sei mesi successivi a un incidente informatico di grave entità.

La sicurezza, di fatto, non può più essere considerata un mero strumento difensivo, ma deve diventare un elemento strategico delle performance aziendali.

È quindi fondamentale adottare misure tecniche e organizzative adeguate a prevenire la violazione dei dati, anche alla luce del crescente quadro normativo europeo in materia di privacy e protezione dei dati. Regolamenti come il GDPR, il Digital Markets Act, il Data Act e l’AI Act impongono, infatti, alle organizzazioni responsabilità sempre più stringenti nella gestione dei dati.

Strategia per la mitigazione della violazione dei dati: AAA cercasi

Una strategia di sicurezza dei dati efficace, affidabile e solida, implica alle organizzazioni di considerare determinati componenti, come quelli di seguito riportati.

Rilevamento e classificazione completi dei dati

La comprensione di quali dati un’organizzazione conserva, dove sono archiviati e quanto sono sensibili determina le misure che devono essere adottate, l’urgenza e l’ordine con cui devono essere implementate.

Inoltre, l’individuazione e la classificazione di tutti gli asset di dati forniscono a un’organizzazione informazioni dettagliate sull’intero panorama dei dati, inclusi gli obblighi normativi relativi alla sicurezza dei dati e le misure correttive che devono essere adottate.

Le organizzazioni possono avvalersi di soluzioni automatizzate di rilevamento e classificazione dei dati, in modo da classificare tutti gli asset di dati, anche in base alla loro sensibilità, agli obblighi normativi e alla rilevanza aziendale.

Inoltre, le policy di categorizzazione sono, nella maggior parte dei casi, dinamiche, sensibili al contesto e integrate con funzioni di sicurezza quali i controlli degli accessi, la Data Loss Prevention (DLP) e la crittografia che, non solo riducono l’esposizione complessiva degli asset dei dati, ma facilitano anche le attività relative alla conformità alle normative vigenti.

Robusto controllo degli accessi e gestione delle identità

Il controllo degli accessi garantisce che il personale all’interno di un’organizzazione abbia il livello appropriato di accesso alle risorse di dati necessarie.

Di fatto, in qualsiasi organizzazione, la gestione della vasta gamma di ruoli utente, delle integrazioni di terze parti e delle identità federate può essere complessa.

Pertanto, i controlli degli accessi basato sui ruoli (RBAC, Role-Based Access Control) o basati sugli attributi (ABAC, Attribute Based Access Control), garantiscono che l’esposizione dei dati alle minacce interne e agli errori umani accidentali sia minima.

Inoltre, l’autenticazione a più fattori (Multi-factor Authetication, MFA), il Single Sign-On (SSO) e la governance delle identità, garantiscono che tutti i tipi di accesso ai dati sensibili siano continuamente rivisti e monitorati, con disposizioni per la revoca di tale accesso – quando non è più necessario o nel caso in cui venga rilevata una possibile credenziale compromessa – oltre a ridurre il movimento laterale da parte dei cyber criminali, nel caso in cui vengano violati gli altri meccanismi di sicurezza di un’organizzazione, supportando al contempo tutti gli obiettivi dell’architettura zero trust.

Crittografia dei dati inattivi e in transito

La crittografia contribuisce a garantire la sicurezza dei dati, oltre ad essere un requisito normativo.

Garantisce che, se i dati di un’organizzazione dovessero essere intercettati o accessibili senza autorizzazione, rimangano illeggibili e inutilizzabili.

Inoltre, indipendentemente dal fatto che i dati siano inattivi o in transito, un’organizzazione deve disporre dei protocolli di crittografia efficaci e robusti.

Le esatte esigenze di crittografia dell’organizzazione possono essere determinate attraverso la individuazione e classificazione dei dati, fornendo un quadro chiaro di quale protocollo sarebbe più adatto a proteggere le proprie risorse di dati.

Configurazione sicura e rafforzamento dei sistemi

I cyber criminali prendono regolarmente di mira servizi “superflui”, porte di rete non protette o credenziali predefinite lasciate attive nelle configurazioni iniziali dei sistemi.

È fondamentale, quindi, rafforzare la postura di sicurezza interna disattivando tutte le funzionalità non indispensabili e applicare configurazioni sicure di riferimento, oltre ad adottare pratiche rigorose di igiene informatica e aggiornare le policy aziendali ove necessario.

Di fatto, l’adozione di approcci automatizzati per la gestione delle configurazioni può contribuire a garantire coerenza e controllo su larga scala.

Inoltre, è fondamentale eseguire verifiche e scansioni periodiche per individuare e correggere eventuali errori di configurazione, riducendo così il rischio di vulnerabilità e la possibilità che vengano sfruttate da attori malevoli.

Monitoraggio continuo e rilevamento delle minacce

Le organizzazioni devono, di fatto, evolvere da un approccio reattivo a uno proattivo nella gestione della sicurezza dei dati.

Questo passaggio è possibile solo attraverso un monitoraggio continuo che garantisce visibilità in tempo reale sulle attività degli utenti, sui flussi di dati, sul comportamento dei sistemi e sul traffico di rete.

Grazie all’impiego di soluzioni SIEM (Security Information and Event Management) e di tecnologie di rilevamento delle anomalie, è possibile individuare tempestivamente potenziali intrusioni, riducendo così il rischio che i cyber criminali provochino danni gravi o permanenti.

Le soluzioni di analisi comportamentale, inoltre, potenziano le capacità di rilevamento, analizzando i comportamenti degli utenti e generando avvisi ogni volta che si verificano deviazioni rispetto alla normalità.

È doveroso evidenziare che tali strumenti – supportati da automazione e alert intelligenti – contribuiscono, altresì, a ridurre l’affaticamento da avvisi, permettendo ai team di sicurezza di concentrarsi esclusivamente sulle minacce realmente rilevanti.

Risposta agli incidenti e piano di notifica della violazione dei dati

È fondamentale disporre di un piano strutturato di risposta agli incidenti di violazione dei dati, con dettagli completi in termini di responsabilità per ridurre al minimo i potenziali danni.

L’organizzazione dovrebbe definire i ruoli di tutti, i protocolli di comunicazione, i percorsi di escalation e, soprattutto, la procedura di notifica della violazione dei dati, oltre il processo di revisione post-incidente secondo le normative.

Pertanto, è fondamentale disporre di modelli predefiniti, flussi di lavoro di revisione legale e punti di contatto per garantire procedure di risposta più rapide e conformi.

Programmi di formazione e sensibilizzazione alla sicurezza dei dipendenti

Gli errori umani rappresentano circa il 95% di tutte le violazioni dei dati, secondo quanto rivela il report recente “The State of Human Risk” della società di cyber security Mimecast.

Questi errori umani sono causati, principalmente, da minacce interne, uso improprio delle credenziali ed errori causati dagli utenti.

Pertanto, non sorprende che i cyber criminali sfruttino tali vulnerabilità attraverso attacchi di phishing, tecniche di social engineering e furto di credenziali.

L’unico modo, realmente efficace per mitigare tali vulnerabilità, è adottare una solida strategia di formazione che preveda programmi regolari, mirati e adattabili ai rischi in continua evoluzione.

Ovvero la formazione deve essere specifica per ciascun ruolo aziendale e orientata alla sensibilizzazione del personale e alla gestione sicura dei dati, con particolare focus sull’igiene delle password, sui protocolli per il lavoro da remoto e sulla prevenzione del phishing, anche attraverso esercitazioni simulate.

Per aumentarne l’efficacia, è consigliabile utilizzare moduli di micro-learning, notifiche contestuali in tempo reale e, dove possibile, tecniche di gamification.

Gestione del rischio del fornitore

Le organizzazioni sono sempre più coinvolte con numerosi partner e fornitori per vari servizi che, indipendentemente dalle dimensioni e dalla reputazione dei fornitori, introducono vari rischi per la sicurezza e l’esposizione normativa.

Pertanto, anche in virtù di normative vigenti – quali la NIS 2 e DORA – è necessario considerare una valutazione completa del rischio fornitori e un processo di due diligence che comporta la valutazione dei controlli di sicurezza, delle certificazioni (ad esempio, SOC 2, ISO 27001) e delle pratiche di gestione dei dati, oltre a includere garanzie contrattuali in termini di clausole di notifica della violazione dei dati, di diritti di audit e di valutazioni periodiche per garantire la loro continua conformità ai requisiti sia dell’organizzazione sia a quelli normativi.

Conformità e preparazione all’audit

Normative come il GDPR, NIS 2, DORA e Data Act richiedono alle organizzazioni di dimostrare la prova dell’attuazione delle misure di protezione e delle strutture di responsabilità.

Di fatto, obblighi come la documentazione delle policy, l’implementazione dei controlli e la gestione del ciclo di vita dei dati garantiscono che le organizzazioni siano legalmente vincolate a intraprendere tutto ciò che è in loro potere e responsabilità per garantire che i dati degli utenti ricevano le pratiche di sicurezza e protezione dei dati più efficaci possibili.

È doveroso evidenziare che gli audit sono una componente cruciale per valutare la conformità di un’organizzazione ai propri obblighi, in quanto forniscono una valutazione obiettiva della situazione dell’organizzazione e identificano le aree che richiedono miglioramenti, contribuendo a rafforzare la loro fiducia dei clienti, dei partner e delle autorità di regolamentazione, oltre a rappresentare un vantaggio competitivo in mercati altamente regolamentati.

Una roadmap per l’attuazione di una strategia di sicurezza dei dati

Ecco una la roadmap per implementare con efficacia le strategie di sicurezza dei dati:

• valutazione e gap analysis;
• sviluppo di politiche e framework;
• tecnologia e selezione degli strumenti;
• distribuzione e integrazione;
• ottimizzazione e revisione continue.

Fase 1: valutazione e gap analysis

In primis, un’organizzazione deve condurre un audit completo delle proprie risorse di dati, inclusi tutti i punti di accesso e i controlli di sicurezza.

Di fatto, lo scopo dell’audit dovrebbe essere quello di identificare che tipo di dati vengono raccolti, dove sono archiviati, chi ha accesso ad essi e, soprattutto, come sono protetti.

Pertanto, uno strumento di rilevamento e classificazione dei dati può essere sfruttato per classificare tutti i tipi di dati in base a qualsiasi metrica ritenuta necessaria dall’organizzazione.

Ciò consente, altresì, di ottenere informazioni dettagliate su eventuali vulnerabilità potenziali in ambienti cloud, on-premise e SaaS.

Successivamente, è necessario condurre un’analisi delle lacune dell’attuale infrastruttura di dati dell’organizzazione con i framework pertinenti, come NIST, ISO 27001, nonché altri requisiti normativi, tra cui GDPR, NIS2, DORA e Data Act.

Ciò consente di rilevare tutte le carenze e documentare anche le lacune per stabilire le priorità di intervento e le azioni necessarie.

Fase 2: sviluppo di politiche e framework

È essenziale definire politiche di sicurezza a livello organizzativo, poiché queste regolano l’intero ciclo di vita dei dati, i.e.: dalla raccolta all’accesso, dalla trasmissione alla conservazione, fino all’utilizzo, alla condivisione ed all’eliminazione.

Inoltre, a supporto di queste politiche, devono essere sviluppati e documentati i modelli di governance degli accessi, i programmi di conservazione dei dati e le procedure di risposta agli incidenti.

Tutto ciò va condiviso con il personale coinvolto, per garantire una comprensione chiara e coerente della strategia aziendale di protezione dei dati.

Parallelamente, l’organizzazione deve definire un framework di sicurezza che permetta a persone, processi e tecnologie esistenti di operare in modo coerente con le linee guida generali per la gestione del rischio.

Si tratta di un framework scalabile e flessibile, in grado di stabilire una chiara
catena di responsabilità tra le funzioni IT, sicurezza, legale e di business, assicurando, così, un’efficace applicazione e un pieno allineamento strategico.

Fase 3: tecnologia e selezione degli strumenti

In questa fase si devono utilizzare i risultati della Fase 1 per selezionare le tecnologie e gli strumenti di sicurezza più appropriati per affrontare le lacune ed i rischi identificati.

Ciò è fondamentale anche per garantire che un’organizzazione scelga opzioni che affrontino efficacemente le sfide che deve affrontare, piuttosto che inseguire semplicemente le tendenze.

Si tratta di considerare soluzioni di:

• DLP (Data Loss Prevention);
• crittografia;
• EDR (Endpoint Detection and Response);
• SIEM (Security Information and Event Management);
• IAM (Identity and Access Management).

È doveroso evidenziare, altresì, che la selezione delle soluzioni dipenderà dalla valutazione basata su molteplici metriche quali: le capacità di integrazione, l’automazione, la visibilità e la facilità d’uso.

Inoltre, qualsiasi tecnologia selezionata dovrebbe essere scelta tenendo conto dell’attuale stack tecnologico e supportare una sicurezza incentrata sui dati, in cui l’obiettivo principale è la protezione dei singoli asset e livelli di dati, piuttosto che la semplice difesa dei parametri.

Fase 4: distribuzione e integrazione

La tecnologia, gli strumenti e le soluzioni di sicurezza selezionati devono essere implementati in modo pianificato e graduale, dando la precedenza agli asset ad alto rischio e ad alto valore.

Il “piano di implementazione” dovrebbe mirare a ridurre al minimo qualsiasi forma di interruzione operativa e, prima di qualsiasi implementazione completa, dovrebbero essere condotti test adeguati e completi.

Inoltre, i nuovi strumenti dovrebbero essere integrati all’interno dell’infrastruttura esistente in via prioritaria sia per motivi di produttività sia di visibilità unificata.

È doveroso evidenziare che, poiché la sicurezza rappresenta spesso il punto più vulnerabile nei processi di integrazione, le nuove soluzioni dovrebbero:

• supportare nativamente le API;
• consentire l’armonizzazione delle policy;
• prevedere una registrazione centralizzata per evitare frammentazioni nel processo complessivo di distribuzione.

È inoltre fondamentale coinvolgere i team interfunzionali sin dalle fasi iniziali e lungo tutto il percorso di implementazione, al fine di semplificare la gestione del cambiamento e di favorire l’adozione da parte degli utenti.

L’intero processo deve, infine, essere accuratamente documentato, sia per garantire la tracciabilità attraverso audit trail sia per agevolare future attività di scalabilità e di ottimizzazione.

Fase 5: ottimizzazione e revisione continue

La sicurezza non è, non deve mai essere considerata come un evento una tantum all’interno di un’organizzazione, bensì, un percorso sine die.

Ne consegue che il miglioramento continuo deve essere integrato direttamente nel processo di implementazione, considerando audit periodici, test di controllo e revisioni delle prestazioni che sfruttano tutte le metriche pertinenti per misurare l’efficacia degli strumenti e delle soluzioni implementati nel fornire i risultati attesi.

Tali metriche possono includere KPI – quali, il tempo medio di rilevamento (Mean Time To Detect), la velocità di applicazione delle patch e il tempo di risposta agli incidenti – misurati rispetto sia ai benchmark della concorrenza sia alle aspettative interne.

È importante evidenziare che – man mano che l’azienda si evolve – attività quali la scalabilità delle operazioni, l’adozione di nuove tecnologie o l’ingresso in nuovi mercati possono essere facilitate dal monitoraggio costante delle minacce emergenti, delle modifiche normative e dei cambiamenti operativi, oltre all’adozione degli opportuni strumenti e delle soluzioni necessari.

Le revisioni possono essere condotte trimestralmente, semestralmente o annualmente – a seconda dell’approccio dell’organizzazione alla propria infrastruttura di sicurezza dei dati – e dovrebbero coinvolgere tutti i principali responsabili interfunzionali per garantire l’allineamento e il mantenimento di una posizione di sicurezza permanentemente proattiva.

Strategia di prevenzione della violazione dei dati

Ogni azienda deve individuare la giusta combinazione di politiche e strumenti di sicurezza informatica in linea con la propria propensione al rischio, considerando che l’obiettivo è ridurre al minimo la probabilità di incidenti di sicurezza, senza compromettere la produttività.

Concludendo, solo attraverso questo equilibrio è possibile adottare una strategia di prevenzione della violazione dei dati che garantisca livelli adeguati di protezione, rapidità di risposta e agilità operativa.