Chi è il responsabile in questi casi?
Le organizzazioni e QUINDI noi!
Bill Mew è un opinion leader di primo piano, oltre ad essere un imprenditore e un promotore dell'etica digitale.
In qualità di opinion leader, Bill si occupa principalmente dell'individuazione dell'equilibrio ideale tra la "protezione efficace" - settore nel quale viene considerato il più importante influencer al mondo per tutto ciò che attiene alla riservatezza dei dati - e "l'ottimizzazione del valore sociale ed economico" - altro settore in cui è considerato fra i massimi influencer per tutto ciò che attiene a tematiche quali la cybersecurity e la digital transformation verso il GovTech e le smart city. È spesso ospite in trasmissioni televisive e radiofoniche (BBC, RT, ecc.) come esperto di queste tematiche - e può sicuramente vantare il maggior numero di ore in onda di qualsiasi altro esperto del settore nel Regno Unito.
Come imprenditore, Bill ha fondato ed è tuttora CEO di CrisisTeam.co.uk, realtà in cui collabora con un élite di esperti in tecniche di reazione agli incidenti, normative informatiche, gestione della reputazione e influenza sociale che aiutano a ridurre le conseguenze derivanti dagli attacchi informatici.
In molte organizzazioni è diffusa l'attitudine a considerare la sicurezza informatica come qualcosa che riguarda solo il CISO, al pari della privacy, che viene ritenuta questione affidata solamente all'ufficio legale. Fino a quando non si raggiungerà un diverso grado di consapevolezza circa l'esistenza di una responsabilità collettiva in materia di sicurezza informatica e tutela della privacy, i nostri dati non saranno mai davvero al sicuro e, in caso di incidente, saremo tutti ritenuti responsabili - sia individualmente che collettivamente.
In queste organizzazioni, il management competente dimostra di non aver ancora dato sufficiente attenzione alla sicurezza informatica e alla tutela della privacy. Troppo spesso pensano che di queste attività ci si possa dimenticare, semplicemente delegandole al CISO o al DPO (Data Protection Officer). Se continuerà ad essere questo il punto di vista della dirigenza, non bisogna poi sorprendersi se questo atteggiamento permea attraverso l'organizzazione raggiungendo ogni individuo del personale che faticherà a prendere sul serio queste tematiche.
Se la decisione di acquistare drive USB, SSD o dispositivi IOT privi di funzioni di crittografia è basata esclusivamente sul prezzo, senza soffermarsi sul livello di crittografia hardware e di sicurezza connessa, allora quei dispositivi di storage privi di crittografia costituiscono una fonte di vulnerabilità informatica. Ciò espone l'intera organizzazione al rischio di un violazione dei dati.
Il personale che non rispetta le basilari regole di sicurezza informatica e non presta adeguata attenzione alle password e agli allegati mette l'intera organizzazione a rischio. I criminali informatici prendono di mira le organizzazioni con password deboli o conoscibili e usano strategie per compromettere la sicurezza delle proprie vittime. Parliamo vettore piú diffuso per i cyber-attacchi da cui hanno origine gli incidenti informatici.
Il GDPR ha stabilito che i dati personali possono essere raccolti solo previo consenso e per uno scopo dichiarato. La raccolta e la condivisione illegale dei dati espone tutti al rischio di multe salatissime e di procedimenti legali.
Le organizzazioni e QUINDI noi!
Se vedete che la vostra organizzazione sta utilizzando drive USB o SSD privi di crittografia o dispositivi IOT non sicuri, dovete farlo presente. Se notate che i vostri colleghi ignorano le basilari regole di sicurezza informatica, dovete farlo presente. Se assistete a un episodio in cui un membro dell'ufficio vendite usa i dati dei clienti in modo inappropriato, dovete farlo presente.
Per portare le persone a cambiare il proprio approccio così da prendere in adeguata considerazione la sicurezza informatica e la tutela della privacy in tutti gli ambiti dell'organizzazione, dobbiamo generare una svolta di tipo "culturale".
Ed esistono numerosi incentivi che le organizzazioni possono usare a questo scopo. È evidente che i clienti interagiscono favorevolmente con le organizzazioni che dimostrano di sapersi prendere cura dei loro dati, mentre sono riluttanti ad entrare in contatto con quelle organizzazioni che dimostrano il contrario. Il primo pensiero di tutti noi dovrebbe essere quello di conservare la fiducia dei nostri clienti ed evitare che il verificarsi di un incidente alla sicurezza informatica possa mai minare tale fiducia.
Per non parlare poi dei deterrenti che spingono le organizzazioni a prendere sul serio la protezione dei dati. Innanzitutto, il GDPR prevede una multa fino a 20 milioni di euro o al 4% del fatturato annuo – si applica l'importo maggiore – per OGNI incidente. Il costo da affrontare per sanare le conseguenze di un incidente può raggiungere l'ordine dei milioni di euro, a cui potrebbe doversi sommare il riscatto multimilionario richiesto da cyber-criminali in caso di attacchi di tipo "ransomware". Occorre poi gestire le controversie legali avviate dalle tante persone i cui dati sono stati compromessi.
E se tutte queste sanzioni gravanti sull'organizzazione non bastassero, ci sono poi le sanzioni a carico dei singoli individui. Un recente caso negli Stati Uniti ha creato un nuovo precedente in caso di attacchi informatici, in cui sono stati imputati personalmente gli amministratori insieme al responsabile della sicurezza informatica (CISO). Un report pubblicato dall'agenzia di ricerca Gartner prevede che i CEO potrebbero presto essere ritenuti personalmente responsabili in caso di cyber-attacchi.
Tutti noi, come cittadini e come clienti, ci aspettiamo che le organizzazioni proteggano i dati che affidiamo loro, e quindi, quando ci troviamo ad essere custodi di quei dati, dovremmo ricordarci di quell'aspettativa e trattare quei dati applicando gli standard di sicurezza più elevati possibile. Tutti noi - come individui e come collettività - dovremmo preoccuparci di poter essere ritenuti responsabili. Ma dovremmo allo stesso modo essere motivati a concentrarci sulla tutela dei dati, dal momento che questa è l'unica cosa giusta da fare.
#KingstonIsWithYou
Possiamo esaminare con voi i vantaggi che i drive SSD potrebbero offrire al vostro specifico ambiente di storage. Inoltre, saremo lieti di consigliarvi la tipologia di SSD più adatta a supportare i collegamenti da remoto del vostro personale e garantire la massima sicurezza di questa modalità di lavoro.
I nostri esperti sapranno illustrarvi nel dettaglio i vantaggi che i drive USB dotati di funzionalità di crittografia potrebbero offrire alla vostra organizzazione, aiutandovi a individuare il modello di drive più adatto alle vostre specifiche esigenze.