Differenti approcci alla protezione e sicurezza dei dati

 Approcci per la sicurezza e la protezione dei dati.

Gli approcci alla sicurezza e protezione dei dati si suddividono in due filoni principali che si discostano quasi simmetricamente tra loro partendo da considerazioni che sono quasi opposte: minimalisti e massimalisti. Analizzeremo nel dettaglio le differenti opinioni e proposte di minimalisti e massimalisti riguardo la protezione dei dati.

Le posizioni minimaliste:

• Nulla è successo nel passato, perché dovrebbe succedere qualcosa in futuro?
• L’azienda non ha nulla da nascondere.
• Il sistema in uso è sicuro e sarà automaticamente sicuro.
• Non ci sono cose sicure in assoluto.
• L’azienda ha l’assoluta fiducia nei suoi utenti e amministratori.

Come conseguenza, queste aziende hanno sistemi minimi di sicurezza; questo potrebbe avere effetti negativi sui profitti.

            Le posizioni massimaliste:

• Gli approcci delle aziende sono specificamente per l’alta sicurezza e la protezione dei dati.
• I responsabili alla sicurezza devono approvare tutti i progetti più importanti per iscritto.
• Esiste una lista di regole che determinano il comportamento: approcci per operare sui computer, per incrementare la sicurezza, per l’archiviazione e la cancellazione dei dati.
• Tutti gli utenti seguono una regolare formazione sul significato e l’applicazione della sicurezza e la protezione dei dati.
• Sono regolarmente svolti check per garantire che tutto sia osservato sulla sicurezza.
• Enti interni ed esterni controllano regolarmente il sistema; l’azienda cerca di essere certificata.
• Esistono sistemi di sicurezza che possono essere cambiati solo dai direttori.
• Le trasmissioni di dati verso terzi richiedono l’autorizzazione delle persone preposte.

Nella realtà pratica puri massimalisti non esistono, i minimalisti sono invece più diffusi perché mancano le leggi e le corrette informazioni sui criteri di sicurezza.

Prima di proseguire sulle considerazioni degli approcci, occorre spiegare le linee guida della sicurezza e protezione dei dati:

• Di sicuro non c’è nulla. Non c’è nulla di assoluto sulla sicurezza nell’area IT.

I responsabili della sicurezza possono solo considerare i rischi e stimare i danni, quindi porre delle barriere più alte possibili. I danni stimati includono sia quelli materiali che non: ad esempio, un danno di immagine per l’azienda non può essere trascurato.

Esistono situazioni di rischio ignorate dai manager per i costi troppo elevati suggeriti dagli addetti alla sicurezza (in genere, in funzione del valore dell’asset da proteggere).

• La direzione è responsabile.

L’autorità, l’azienda, la direzione decide sul proprio livello di sicurezza. Il risk assessment è basato sull’esperienza dell’azienda. Un’azienda che ha un piccolo numero di dipendenti lavora con sistemi e criteri di sicurezza differenti rispetto a una affermata linea aerea multinazionale; quest’ultima deve considerare la sicurezza come un elemento vitale che gli permette di continuare ad operare. Una piccola azienda raggiunge un buon livello di sicurezza con una politica restrittiva di accesso.

• La funzionalità non deve compromettere la sicurezza.

Il pericolo per la perdita di profitto spinge l’azienda ad implementare velocemente nuove attività; in queste nuove funzioni la sicurezza e la protezione dei dati hanno spesso un posto secondario: saranno trattate dopo l’avvio della produzione e saranno una componente abbastanza onerosa per l’azienda.

• I dipendenti sono un grosso rischio per la sicurezza.

I dipendenti non accettano volentieri una serie di regole che, solitamente, vengono lette e facilmente dimenticate in breve tempo. L’approccio latino è, come mentalità, differente da quello anglosassone. In Germania, ad esempio, ai dipendenti viene imposto già nei contratti di osservare una certa confidenzialità. Se alcuni dipendenti non sono a conoscenza dei loro obblighi, vengono subito informati tramite il loro file personale.

Gli obblighi possono diventare un alibi: gli obblighi di protezione della privacy dei dati possono diventare un salvagente per l’azienda che fallisce lo sviluppo degli standard di sicurezza. La sicurezza è una delle parti più importanti per il successo dell’azienda. Il management deve diffondere e incentivare la sicurezza attraverso una politica che riflette la sua importanza. In una azienda che opera ad alti livelli, deve essere creato un uniforme e alto livello di sicurezza e protezione dei dati, raggiunto attraverso l’uso di approcci europei come linee guida comuni.

Tutti i dipendenti dell’azienda devono collaborare a sviluppare la sicurezza ed essere incoraggiati a riferire ogni problema o suggerimento riguardo ad essa, cosicché ci sia un continuo flusso di informazioni sull’argomento.

• Senso di responsabilità dei dipendenti.

Il senso di responsabilità del dipendente e la sua coscienza controlla l’intensità delle regole e dei controlli in ciascuna sede.

Affinché ci sia un alto livello di sicurezza, alcune aree richiedono delle leggi, delle regole, delle linee guida ed altre condizioni; è di rilevante importanza che queste regole siano continuamente sviluppate per restare coerenti con l’evoluzione aziendale.

Ogni buon dirigente sa che ciascun dipendente ha bisogno delle sue libertà, la quantità di tale libertà sarà direttamente proporzionale ai risultati. I dipendenti hanno bisogno di una lista di regole che descrivono come comunicare con i loro computer o come svolgere il proprio lavoro nel dettaglio.

• Coordinazione del personale addetto alla sicurezza.

Il personale di sicurezza deve essere in grado di lavorare a fianco dei dipendenti. Si raccomanda che siano stabiliti una serie di responsabilità e processi senza ambiguità. Una giusta collaborazione può incentivare il potere creativo.

È consigliabile prestabilire alcuni momenti d’incontro per riportare i problemi e le esperienze direttamente al management. A tali incontri devono essere presenti:

• responsabile dell’amministrazione;
• rappresentanti dei dipendenti;
• ufficio protezione dati;
• IT manager;
• security manager;
• rappresentante HR;
• certificatori;

• Misure di sviluppo per prevenire attacchi da terzi.

È interesse di una azienda o gruppo di aziende che non vi sia un flusso di informazioni dei risultati e dei dati personali all’esterno dell’azienda. La direzione si aspetta che i direttori IT garantiscano la protezione contro pericoli esterni all’azienda. Un’efficiente informazione alla direzione deve avvenire attraverso il gruppo; le limitazioni in questo campo possono risultare competitivamente svantaggiose, occorre un giusto compromesso. In accordo con i suggerimenti di una commissione europea, i contratti possono offrire delle regole per salvaguardare lo scambio di dati interno anche se concerne dati personali.

Esiste una distinzione generale tra  dati puramente interni, dati di pubblico accesso e dati di gruppo. Il maggiore pericolo è identificato nella circolazione dei dati dell’azienda verso terzi esterni. Le informazioni possono circolare quando accessibili esternamente o internamente, intenzionalmente o non, dagli utenti del sistema interno. Questi utenti costituiscono un ampio spettro:

• dipendenti dell’azienda;
• gruppo di dipendenti;
• partner;
• clienti (con permesso);
• tecnici di manutenzione;
• personale in formazione;

• Superare la discrepanza tra potenziali pericoli e dati di fatto.

Finché non sussiste nessuna violazione alla sicurezza, solo ciò che si conosce è a rischio. Per un osservatore esterno e, a volte, per la direzione stessa, i sistemi con poche o nessuna misura di sicurezza sono considerati sicuri. Come può una azienda analizzare i rischi se nessuna violazione della sicurezza è avvenuta? I danni non ancora avvenuti non possono essere calcolati e dal punto di vista dei costi di mercato sono visti come casi individuali e quindi non accettati; qualche situazione non è nemmeno conosciuta in quanto le vittime mirano a proteggere la loro reputazione per questioni di immagine. I responsabili della sicurezza talvolta diventano notoriamente pessimisti e “paranoici”, questo contribuisce a far si che nessuno sia disposto ad autorizzare fondi per misure che appaiono non necessarie o esagerate e che non si traducono direttamente in un successo commerciale.

Nel 1986, il decimo congresso sulla protezione dei dati formulò il seguente commento: “è estremamente probabile che nessuna altra potenziale area pericolosa mostri una marcata differenza tra pericoli previsti e pericoli attuali come la sicurezza dei dati”. Se si paragonasse questa area con quello che accade nel traffico, al lavoro e a casa si vedrebbe che nessuna misura di sicurezza presa può essere sufficiente.

• Garantire la proporzionalità tra le misure di sicurezza.

Gli sforzi per implementare le misure di sicurezza tecniche e organizzative in un’azienda devono essere in ragionevole proporzione con il desiderato livello di protezione.

Il personale di sicurezza deve sempre garantire che una crescita incrementale nella sicurezza giustifichi gli sforzi necessari per speciali misure di sicurezza.

Il personale di sicurezza affronta sempre un problema: deve fare le sue richieste alla direzione che ragiona in termini di costi reali e non può calcolare i costi di un danno immaginario.

La protezione dei dati costa denaro e non contribuisce direttamente ed in brevi termini al profitto della compagnia.

Queste conclusioni empiriche non possono sviare l’azienda dall’adottare le misure richieste per la protezione dei dati. Nessuno richiede l’assoluta protezione di tutti i dati. Le misure adottate dipendono dalla categoria dei dati da proteggere. La necessaria protezione dei dati richiesta nelle comunicazioni pubbliche differisce da quella richiesta per le più delicate informazioni mediche (informazioni sensibili).

• Le regolamentazioni sulla sicurezza impropriamente implementate possono essere in disuso.

I dettagli delle pubblicazioni di informazioni sulla sicurezza possono essere usati per scoprire punti di attacco: potrebbero essere rese note eventuali vulnerabilità. Tali informazioni includono la protezione di dati, l’ispezione e gli approcci alla sicurezza con descrizioni dettagliate dell’organizzazione, dei registri degli IT system, dei file, delle pianificazioni, delle pianificazioni di dati e delle descrizioni estese dei programmi di sicurezza.

Ad esempio, se gli approcci sulla sicurezza SAP fossero resi noti all’azienda prima di essere implementati, i lettori potrebbero fare molto più che valutare il livello di sicurezza e la responsabilità da parte della direzione nel svilupparla.

La pubblicazione dell’informazione sulla sicurezza può anche essere inclusa come parte del concetto di sicurezza totale e solo dopo potrebbero essere implementate le misure di sicurezza richieste.

• Uso di assicurazioni di qualità come misure addizionali alla sicurezza.

La pressione per rimanere competitivi e attuali potrebbe implicare l’adozione delle stesse misure di sicurezza utilizzate per il software precedentemente in  uso anche se queste potrebbero non essere sufficienti per la nuova versione correntemente in uso. Questo è un problema che sussiste per i software, per i database, i sistemi operativi e per la rete. Questi sistemi sono sotto costanti evoluzioni e cambiamenti a causa delle implementazioni di nuove funzioni, delle correzioni di errori e delle modifiche apportate.

• Comprensione delle motivazioni dei consulenti.

Le decisioni prese derivano da regole, forme, mezzi, seminari e incontri nell’area della sicurezza e protezione dei dati. Le leggi sono aperte a diverse interpretazioni, le decisioni prese devono essere concrete e pratiche. I suggerimenti di consulenti esterni non sempre aiutano nella pratica: in alcuni casi sono anche controproducenti. Pessimi consulenti possono indirizzare le risorse di una azienda in direzioni sbagliate.