Polimatica Progetti S.r.l.

Data Governance Act

Enrico Munaro — Wed, 19 Jun 2024 14:52:21 +0000

Le nuove tecnologie hanno rivoluzionato l’economia e la società, impattando ogni aspetto della vita quotidiana. Risulta quindi essenziale ridurre il divario digitale promuovendo una partecipazione più ampia, inclusa quella delle imprese, delle Pubbliche Amministrazioni, delle PMI e delle start-up. Per raggiungere questo obiettivo, Il 16 maggio 2022 il Consiglio dell’Unione europea ha approvato il Data Governance Act (di seguito, DGA), uno strumento multidisciplinare che è diventato pienamente applicabile dal 23 settembre 2023.

Lo scopo del DGA

Il DGA mira a istituire un mercato europeo dei dati indipendente dal loro luogo fisico di conservazione all’interno dell’Unione.

Si vuole quindi:

agevolare la condivisione dei dati in modo sicuro e affidabile tra settori pubblici e privati, stimolando l’innovazione e migliorando la competitività delle imprese europee;
garantire un ambiente favorevole e di fiducia tra gli individui e le imprese;
elaborare un quadro per la governance dei dati, riducendone la complessità, definendo norme e standard per la gestione, l’accesso, la condivisione e l’utilizzo delle informazioni.

Il contenuto del DGA

L’atto legislativo stabilisce requisiti trasparenti e responsabili per la gestione dei dati, inclusi gli obblighi di monitoraggio per le organizzazioni che gestiscono dati sensibili, nonché quelli di facilitare la cooperazione tra gli Stati membri, ai quali sarà lasciato impregiudicato tutto il complesso di competenze in materia di sicurezza pubblica, difesa e sicurezza nazionale.

Al fine di garantire un trattamento dei dati più rispettoso della vita privata, sarà ottimale utilizzare tecniche quali l’anonimizzazione, la generalizzazione, l’utilizzo dei dati sintetici e tutto il necessario per garantire maggiore sicurezza agli interessati.

Il Data Governance Act non si occupa di quei dati detenuti dagli enti pubblici soggetti al riutilizzo, in applicazione del D. Lgs. 8 novembre 2021, n. 200, relativo all’apertura dei dati e al riutilizzo delle informazioni del settore pubblico.

Vengono esclusi dal campo di applicazione del DGA tutti quei dati che non sono accessibili per motivi di riservatezza commerciale o statistica, così come quelli contenuti in opere o altri materiali su cui terzi detengono i diritti di proprietà intellettuale. Questi possono essere condivisi con terzi solo se specificamente autorizzati dalla legge europea o nazionale, o altresì con il consenso del titolare dei diritti.

I soggetti coinvolti

Il DGA non è concepito come un regolamento per stabilire una nuova base legale per il trattamento dei dati personali, né come una modifica dell’attuale normativa, tanto che, in caso di conflitto, è previsto che il diritto pertinente sulla protezione dei dati personali abbia la precedenza.

Vengono lasciati impregiudicati per gli enti pubblici gli obblighi più specifici riguardo al riutilizzo dei dati e il relativo consenso, oltre che il libero accesso ai documenti ufficiali e alla loro conseguente divulgazione, purché sia garantita un’opportuna analisi degli ambienti di trattamento dei dati e se il fine della protezione dei diritti e gli interessi dei terzi venga rispettato.

Con il fine di garantire un facile accesso ai dati per la ricerca scientifica e di innovazione di interesse pubblico, gli enti pubblici dovrebbero:

adottare procedure amministrative semplificate;
standardizzare le procedure di raccolta dei dati e metadati;
consentire l’integrazione di dati provenienti da diverse fonti pubbliche, quando necessario.

Molteplici sono gli obiettivi rilevanti per quanto riguarda il benessere sociale, come l’assistenza sanitaria o la lotta ai cambiamenti climatici, ma si evidenzia anche il sostegno alla ricerca scientifica come un importante obiettivo di interesse generale. Viene raccomandato di adottare un modulo europeo di consenso per l’altruismo dei dati in un quadro di condivisione volontaria di dati, per promuovere la fiducia e garantire maggiore certezza giuridica. Inoltre, si richiede anche di istituire disposizioni sulle sanzioni efficaci, proporzionate e dissuasive e di adottare misure necessarie per garantire la loro applicazione. Eventuali contrasti tra le norme sulle sanzioni potrebbero creare distorsioni nella concorrenza all’interno del mercato unico digitale e quindi si promuove il fatto che tali norme debbano essere armonizzate tra di loro.

In definitiva, il Data Governance Act ha come obiettivo lo sviluppo di strumenti affidabili per quanto concerne la condivisione dei dati, soprattutto con la prospettiva di creare un vantaggio per la società.

Il DGA Prevede pratiche migliori rispetto a prima, specialmente in merito alla sfera della mediazione dei dati, l’utilizzo degli stessi e le norme da applicare, oltre che la promozione della fiducia e sicurezza nei flussi internazionali dei dati, assicurando che questi ultimi siano mantenuti protetti in base al diritto dell’UE corrente.

Dott.ssa Maria Teresa Torelli

L'articolo Data Governance Act proviene da Polimatica Progetti S.r.l..

Salutiamo il nuovo anno

Enrico Munaro — Thu, 29 Dec 2022 15:37:17 +0000

Siamo giunti al termine di quest’anno particolarmente ricco di novità e di fatti significativi che hanno riguardato la sicurezza dei dati. Abbiamo infatti assistito nel nostro Paese a una crescita preoccupante delle violazioni ai dati personali (data breach) che hanno coinvolto organizzazioni pubbliche e private, spesso causate da attacchi informatici ma, il più delle volte, imputabili a insufficiente adozione di misure di sicurezza adeguate e a disattenzione e scarsa consapevolezza da parte degli operatori.

Per ridurre i rischi che si verifichino data breach è possibile agire contemporaneamente su diverse linee d’intervento: rinforzare i processi di trattamento con procedure semplici ma efficaci (indispensabile per consolidare l’accountability dei titolari), migliorare la postura di sicurezza informatica per prevenire minacce alla business continuity delle organizzazioni e, ultimo ma non meno importante, favorire la consapevolezza degli operatori mediante la formazione continua.

Polimatica Progetti ha sempre cercato di coniugare gli aspetti della conformità normativa con quelli della sicurezza informatica, e ci vantiamo di esserci riusciti! Era infatti evidente, già più di vent’anni fa, dove ci avrebbe portato la tecnologia e a quali minacce ci avrebbe esposto.
Di sicuro, l’entrata in vigore del GDPR nel 2018 ha soltanto confermato la bontà della nostra metodologia di approccio alla protezione dei dati, orientata fin dall’inizio (e cioè da più di vent’anni!) ad affrontare questa tematica da ogni angolazione e prospettiva: rispetto delle normative, ottimizzazione dei processi e conseguente riduzione dei costi, miglioramento della postura di sicurezza, difesa della reputazione e dell’immagine nei confronti degli utenti (cittadini, aziende) e degli stakeholder.

Per il 2023 abbiamo in serbo ancora più novità per i nostri clienti: nuove soluzioni per migliorare la sicurezza dei dati e dei processi di trattamento e, soprattutto, un anno di esperienza in più per la tutela di chi ci darà fiducia! Infatti, nel 2023 Polimatica Progetti spegnerà le sue prime 25 candeline, 25 anni dedicati ad occuparci di protezione dei dati e sicurezza delle informazioni nella meravigliosa città di Ferrara!

Lo staff di Polimatica Progetti ringrazia gli amici, i clienti e i partner che fin qui ci hanno accompagnato, e augura un felice e prospero anno nuovo a tutti!

L'articolo Salutiamo il nuovo anno proviene da Polimatica Progetti S.r.l..

Piano ispettivo del Garante

Enrico Munaro — Thu, 03 Feb 2022 11:33:24 +0000

Pubblicato il piano ispettivo del Garante Privacy del primo semestre 2022

Dalla newsletter del Garante Privacy di fine gennaio si apprende che, limitatamente al primo semestre 2022, il piano ispettivo prevederà due tipi di accertamenti da parte dell’Autorità:

1) accertamenti in riferimento a profili di interesse generale per categorie di interessati nell’ambito di:

trattamenti di dati personali nei confronti di “fornitori di database”;
trattamento di dati personali svolti da piattaforme e siti web in ordine alla corretta gestione dei cookies;
trattamento di dati personali nel settore della c.d. “videosorveglianza”;
trattamento di dati da parte di siti di incontri; operatori dell’ambito della c.d. data monetization e da parte di produttori e distributori di smart toys;
algoritmi e intelligenza artificiale in ambito pubblico e privato;

2) accertamenti nei confronti di soggetti pubblici e privati, al fine di verificare l’osservanza delle disposizioni in materia di protezione dei dati personali, con particolare riferimento alla corretta individuazione dei Titolari e dei Responsabili del trattamento, anche in relazione all’utilizzo di App e altri applicativi informatici; attenzione particolare sarà riservata all’acquisizione di informazioni e dati personali da parte di App istallate sugli smartphone e alla verifica sul corretto trattamento dei dati da parte di App diverse da Verifica C19.

È opportuno ricordare che l’Ufficio del Garante potrà in ogni caso svolgere ulteriori attività istruttorie di carattere ispettivo d’ufficio, ovvero, in relazione a segnalazioni o reclami proposti.

Se ritieni opportuno effettuare dei controlli per verificare il grado di conformità alla normativa, i nostri professionisti sono a disposizione.

CONTATTACI

L'articolo Piano ispettivo del Garante proviene da Polimatica Progetti S.r.l..

In vigore le linee guida sui cookie

Enrico Munaro — Mon, 10 Jan 2022 10:25:51 +0000

Da oggi 10 gennaio entrano ufficialmente in vigore le linee guida sui cookie e sugli altri sistemi di tracciamento, introdotte dal Garante Privacy il 10 giugno 2021.

Lo scopo di questo provvedimento è quello di adeguare il precedente del 2014 al contesto attuale che ha visto l’utilizzo di nuove tecnologie sempre più pervasive e l’entrata in vigore del Regolamento europeo per la protezione dei dati personali.

Invitiamo a consultare l’infografica opportunamente predisposta dal Garante Privacy per riassumere i contenuti del nuovo provvedimento.

Ogni proprietario di sito web dovrà aggiornare e personalizzare le proprie cookie policy sulla base di queste nuove regole.

Il team di Polimatica Progetti è a disposizione per qualunque necessità in merito all’applicazione delle linee guida.

Contattateci

L'articolo In vigore le linee guida sui cookie proviene da Polimatica Progetti S.r.l..

Pandemia da ransomware

Enrico Munaro — Tue, 02 Nov 2021 17:22:23 +0000

Quasi tutti i giorni si sente parlare di attacchi ransomware ai danni di ogni tipo di organizzazione. In Italia solo negli ultimi mesi ci sono stati almeno 5 attacchi eclatanti: il Comune di Brescia, il caso della Regione Lazio, il Gruppo Maggioli, la SIAE, la famosa azienda “delle patatine” San Carlo, e da ultimo l’Unione di Comuni “Terre di Pianura” assieme ai Comuni di Budrio e Castenaso.

Oramai la frequenza con cui avvengono questi attacchi dovrebbe far preoccupare anche chi non deve gestire dei datacenter e, paradossalmente, anche chi non ha un computer.

Come agiscono gli attaccanti?

I gruppi criminali per colpire con i ransomware utilizzano dei metodi di attacco tanto semplici quanto efficaci: mail di phishing, applicazioni non protette o non aggiornate. Sfruttando delle tecniche di social engineering o delle vulnerabilità, quindi, riescono prima ad esfiltrare i dati dagli archivi della vittima e poi a cifrare tutti i dati presenti nei server. A questo punto parte il primo tentativo di estorsione: se mi paghi il riscatto ti consegno le chiavi per togliere la cifratura. Da un po’ di tempo però si è aggiunto un secondo tipo di estorsione, che si attua con la minaccia di pubblicare online i dati esfiltrati in precedenza, se la vittima non paga.

Quali sono le conseguenze per la vittima?

Quando gli attacchi ransomware vanno a segno portano con sé conseguenze anche molto pesanti in termini di operatività, di reputazione e danno economico. Oltre ai disservizi facilmente immaginabili da chiunque e alle conseguenze appena citate, la vittima si potrebbe trovare in uno dei possibili ma frequenti scenari, a seconda del fatto che siano stati adottati o meno alcuni strumenti organizzativi e difensivi.

Gli scenari appena descritti rappresentano degli esempi estremi, che utilizziamo per sensibilizzare sul tema, ma costituiscono nella realtà dei fatti le situazioni più frequenti.

Quali sono le conseguenze per gli interessati?

Supponiamo che la vittima sia un Ente pubblico; ne consegue che gli interessati siano i cittadini, i dipendenti, e ogni altro individuo che collabora con l’Ente. Se per la vittima diretta subire attacchi informatici equivale a passare un ’48, non ci si deve dimenticare delle vittime indirette, ovvero degli interessati.

Se i servizi dell’Ente non vengono erogati, i cittadini potranno soffrire notevoli disagi, ad esempio: potrebbe non essere possibile pagare con il POS; potrebbe non essere possibile esaudire le richieste di accesso agli atti; le richieste di visione dei filmati inerenti all’attività di Polizia Locale non verrebbero soddisfatte.

Semplici azioni come prelevare un libro dalla biblioteca comunale, o restituirlo, potrebbero essere impossibili.

Se invece fossero i servizi di un ospedale o un pronto soccorso a venire meno? Negli Stati Uniti, e anche in Germania senza andare troppo distante, è già scappato il morto perché alcuni sistemi erano offline a seguito di attacchi informatici.

Tutto ciò sembra surreale, ma invece è pura e semplice realtà. Questi eventi non accadono più soltanto oltreoceano o alle multinazionali, ma da tempo ormai sono giunti nei nostri Comuni e nei nostri ospedali.

È giunto il momento di prendere coscienza della portata di questi incidenti ed agire per rimettere in sicurezza le infrastrutture prima che sia troppo tardi, perché, se vogliamo che il Paese sia resiliente ai cambiamenti e metta in atto la tanto decantata trasformazione digitale, è necessario che ogni singola organizzazione, pubblica e privata, piccola o grande, sia in grado di resistere agli attacchi cyber e riesca a mitigarne gli effetti.

Le politiche di cyber defense si possono implementare, poiché esistono sia gli strumenti sia i professionisti, ma solo con un effettivo gioco di squadra tra tutti i componenti delle organizzazioni si potranno raggiungere gli obiettivi fissati: come in una barca, tutti devono remare nella stessa direzione.

Enrico Munaro

Consulente in materia di privacy e sicurezza informatica

Polimatica Progetti S.r.l. – Progetto Priv@cy

Delegato Federprivacy Verona

L'articolo Pandemia da ransomware proviene da Polimatica Progetti S.r.l..

Nuove linee guida sui cookie

Enrico Munaro — Wed, 14 Jul 2021 17:26:43 +0000

Cookie: dal Garante privacy nuove Linee guida a tutela degli utenti

Lo scorso 10 giugno il Garante per la protezione dei dati personali ha approvato le nuove Linee guida sui cookie, al fine di rafforzare il potere di decisione degli utenti riguardo all’uso dei loro dati personali quando navigano on line.

L’aggiornamento delle Linee guida è dovuto a numerosi fattori: dal lungo intervallo di tempo trascorso della precedente pubblicazione (2014), dalle novità normative frattanto intervenute e al monitoraggio che, anche per il tramite dei numerosi reclami, segnalazioni e richieste di pareri, l’Autorità ha effettuato sulla concreta e talvolta non corretta implementazione delle regole menzionate nonché alla sempre crescente diffusione di nuove tecnologie particolarmente pervasive.

Il meccanismo di acquisizione del consenso on line dovrà innanzitutto garantire che, per impostazione predefinita (privacy by default / by design), al momento del primo accesso ad un sito web, nessun cookie o altro strumento diverso da quelli tecnici venga posizionato all’interno del dispositivo dell’utente, né venga utilizzata altra tecnica di tracciamento attiva (ad esempio, cookie di terze parti) o passiva (ad esempio, il fingerprinting).

Di seguito riportiamo una sintesi dei principali contenuti delle nuove Linee guida sui cookie.

Informativa

Nel rispetto del GDPR, l’informativa agli utenti dovrà indicare anche gli eventuali altri soggetti destinatari dei dati personali e i tempi di conservazione delle informazioni. La stessa potrà essere resa anche su più canali e con diverse modalità (ad esempio, con pop up, video, interazioni vocali).

Resta confermato l’obbligo della sola informativa per i cookie tecnici, anche inserita nell’informativa generale. Il Garante raccomanda poi che i cookie analytics, usati per valutare l’efficacia di un servizio, siano utilizzati solo a scopi statistici.

Consenso

Per i cookie di profilazione rimane la necessità del consenso da richiedere attraverso un banner ben distinguibile sulla pagina web, attraverso il quale dovrà anche essere offerta agli utenti la possibilità di proseguire la navigazione senza essere in alcun modo tracciati, ad esempio chiudendo il banner cliccando sulla tipica X da inserire in alto a destra.

Riguardo in particolare allo scrolling, il Garante precisa che il semplice spostamento in basso del cursore (scroll down) non rappresenta una idonea manifestazione del consenso. I titolari dei siti (publisher) dovranno eventualmente inserire lo scrolling in un processo più articolato nel quale l’utente sia in grado di generare un evento, registrabile e documentabile presso il server del sito, che possa essere qualificato come azione positiva idonea a manifestare in maniera inequivoca la volontà di prestare un consenso al trattamento.

Riguardo al cookie wall, sistema che vincola gli utenti all’espressione del consenso, il Garante chiarisce che questo meccanismo è da ritenersi illegittimo, salva l’ipotesi, da verificare caso per caso, nella quale il titolare del sito consenta comunque agli utenti l’accesso a contenuti o servizi equivalenti senza richiesta di consenso all’uso dei cookie o di altri tracciatori.

È importante sottolineare che i titolari dei siti web avranno 6 mesi di tempo per adeguarsi ai principi contenuti nelle Linee guida, e Polimatica Progetti è a disposizione per fornire supporto per controllare il grado di adeguamento del vostro sito.

L'articolo Nuove linee guida sui cookie proviene da Polimatica Progetti S.r.l..

Webinar Smart Learning

Enrico Munaro — Mon, 31 May 2021 18:52:55 +0000

SMART LEARNING – La formazione intelligente per difendersi da incidenti e attacchi informatici e sopravvivere al GDPR

Il fattore umano è l’anello debole della sicurezza e della conformità dei trattamenti dei dati per qualunque organizzazione, pubblica o privata. Conoscere le minacce in grado di compromettere il proprio business è un requisito essenziale per chiunque voglia attuare politiche di protezione dei dati efficaci. Lasciare ai soli addetti ai lavori il compito di contrastarle è una scelta che espone a rischi elevati di subire attacchi, frodi, data breach.

Tutti, dal Direttore allo stagista, devono fare la loro parte e porre in essere comportamenti consapevoli e virtuosi. Infatti, è sufficiente un clic sull’e-mail sbagliata per scatenare conseguenze devastanti e di esempi ne vediamo ogni giorno: dal blocco dei servizi al blocco della produttività, dai danni economici ai danni reputazionali.

Per aiutare le organizzazioni in questa sfida sono stati sviluppati dei percorsi formativi in materia di Cyber Security e Protezione dei Dati, in grado di adattarsi a ogni tipologia di azienda, pubblica o privata. Ne parliamo con i nostri esperti.

L’appuntamento è fissato il giorno 17 giugno 2021 alle ore 15.00 con piattaforma GoToWebinar

ISCRIVITI AL WEBINAR

Programma:

15.00 – Cyber Security Awareness: riconoscere i pericoli è un’esigenza per tutti.

Enrico Munaro, Consulente in materia di Privacy e Sicurezza Informatica, Ethical Hacker certificato

15.20 – Applicando School: formazione e-learning per le aziende, per la scuola, la PA, la sanità.

Dott. Luciano Corino, Consulente privacy e DPO

15.40 – Pillole formative per una formazione continua.

Dott. Vanni De Rossi, Consulente di Direzione e Privacy Officer Certificato TUV.

16.00 – Domande e risposte

Il webinar e i relatori saranno introdotti e presentati dall’ing. Paolo Raimondi, Project Manager e Privacy Officer certificato TUV. A conclusione degli interventi sarà possibile formulare alcune domande ai relatori.

Il webinar è organizzato da Polimatica Progetti S.r.l. in collaborazione con Applicando S.r.l. e DRV Consulting S.r.l.

ISCRIVITI AL WEBINAR

L'articolo Webinar Smart Learning proviene da Polimatica Progetti S.r.l..

E se per collegarsi alla rete aziendale servisse il tampone negativo…

Enrico Munaro — Mon, 10 May 2021 14:23:29 +0000

E se prima di collegarsi alla rete aziendale servisse il tampone negativo del computer, quanti lavorerebbero in “smart working”? Il titolo è volutamente provocatorio, deciso ad attirare l’attenzione su questo tema importantissimo ma sottovalutato dai più. Al pari del tampone molecolare per l’uomo, infatti, è possibile certificare se, in un dato momento, i vostri sistemi informativi sono ritenuti idonei a permettere il tanto nominato “smart working”. Al contrario, per coerenza, converrebbe continuare a parlare di telelavoro, con tutti i suoi rischi.

È relativamente facile, infatti, intrufolarsi all’interno di un’azienda (sul piano digitale) sfruttando le vulnerabilità dei sistemi di autenticazione; di fatto, questo è uno dei metodi più sfruttati dai criminali informatici per sottrarre dati aziendali di ogni tipo. Altra pratica molto diffusa consiste nell’inoculare nella rete ogni tipo di malware, tra i quali i tanto temuti ransomware, che crittografando tutti i dati, bloccano la continuità operativa dell’azienda e “invitando” la vittima a pagare un riscatto per riprenderne il possesso. Oltretutto negli ultimi tempi, per aumentare la pressione sulla vittima, gli hacker ancor prima di bloccare i sistemi esfiltrano i dati per aggiungere un ulteriore ricatto: se l’azienda non paga, quei dati saranno oggetto di diffusione! Con tutte le conseguenze del caso: danni economici, ripercussioni sul business e, non da ultimi, danni di immagine e di reputazione.

Non per instillare dubbi nel lettore, bensì per fugarli: ma come si fa a dimostrare che la nostra infrastruttura informatica sia compliant al GDPR (tutti dovremmo esserlo) e, se siamo una Pubblica Amministrazione, a raggiungere gli obiettivi del piano triennale per l’informatica di AGID? Gli strumenti per rispettare questi obblighi ci sono, richiedono poco impegno in termini di investimento, ma molto impegno per ottenere un livello adeguato di consapevolezza.

Polimatica Progetti negli anni si è resa conto del problema, pertanto ha confezionato molteplici soluzioni per soddisfare i propri clienti, partendo dall’offerta di percorsi formativi, progettati per adattarsi ad ogni esigenza del cliente, proseguendo con metodi per individuare i nervi scoperti delle infrastrutture informatiche, e terminando con strumenti in grado di bloccare sul nascere ogni tentativo di furto di informazioni.

Le chiacchiere quindi stanno a zero. Tutelate la vostra organizzazione, il vostro business e i vostri servizi, in fin dei conti senza i dati di clienti ed utenti nessuno lavorerebbe. Non è però soltanto una questione economica, ma anche di rispetto verso gli altri e, perché no, di reputazione: investite nella sicurezza e sarete ricompensati con la fiducia dei vostri clienti.

Enrico Munaro

Consulente in materia di privacy e sicurezza informatica

Polimatica Progetti S.r.l. – Progetto Priv@cy

Delegato Federprivacy Verona

L'articolo E se per collegarsi alla rete aziendale servisse il tampone negativo… proviene da Polimatica Progetti S.r.l..

Cloud o non cloud, questo è il dilemma

Enrico Munaro — Fri, 02 Apr 2021 15:50:47 +0000

A tre anni dall’entrata in vigore ufficiale del Regolamento UE 679/2016 (GDPR) è evidente che tutta l’attenzione verso questo tema è sfumata. La maggior parte delle organizzazioni ha sistemato alla “bene meglio” i primi documenti per “essere a posto col GDPR”. Tutta l’importanza che questo Regolamento porta con sé sembra effimera, come quasi tutte le cose moderne oserei dire. L’impressione che ho avuto dal mio punto di osservazione è che nel bel Paese in questi ultimi tempi manchi qualcosa, manchi la lungimiranza, la pianificazione di lungo periodo, la consapevolezza di chi siamo e dove vogliamo andare. E questa miopia, sono abbastanza certo che abbia colpito in primis le Istituzioni.

Di certo la pandemia, che ovviamente fa sentire il suo peso, ha forzato i lavoratori a svolgere le proprie mansioni spesso all’esterno delle organizzazioni, costringendo le imprese e gli enti pubblici fare salti acrobatici per rendere ciò possibile. Infatti, le organizzazioni hanno spinto con forza l’adozione di nuovi strumenti o tecnologie, pur non avendo le conoscenze o il personale idoneo a gestirli; sto pensando proprio al cloud. Dopo aver letto le conclusioni del Rapporto Clusit 2021, di recente pubblicazione, rimango abbastanza perplesso se lo confronto con gli obiettivi del Piano Triennale 2020-2022 per l’informatica nella Pubblica Amministrazione (PA).

Nel piano triennale di AGID ci sono alcuni obiettivi ben definiti, che dovrebbero dettare i tempi e fungere da guida per gli enti della PA nel percorso di rinnovamento digitale. Questo primo elemento preso da solo lo ritengo assolutamente positivo, perché tutti sanno che quando non c’è una scadenza imposta per un determinato obiettivo nessuno fa niente. Ho posto l’attenzione in particolar modo su un dato, ovviamente inerente al cloud. Infatti, il primo mantra che si evince da tale documento è “cloud first”, cioè gli enti appartenenti alla pubblica amministrazione devono ammodernare le proprie strutture, e nel farlo devono prediligere la migrazione dei propri servizi nel cloud; a tal fine AgID ha addirittura predisposto un albo di fornitori qualificati per garantire agli enti un certo grado di qualità.

Analizzando i dati statistici presenti nel Rapporto Clusit del 2021 invece, il tema del cloud è affrontato, ovviamente, sotto l’aspetto della sicurezza. Vorrei prendere come riferimento di base il dato del 2019, anno nel quale il 48% degli intervistati aveva ammesso di avere spostato o aveva pianificato di spostare i dati “business critical” in locale per migliorare la sicurezza dei dati.

Notiamo che, nonostante l’impulso generalizzato all’adozione del cloud, a causa della necessità di supportare lo smart working, nel 2020 questo dato ha subito un incremento significativo che l’ha visto salire fino al 62%. In pratica, non tutte le organizzazioni erano contente delle loro infrastrutture cloud. È doveroso precisare che questa analisi è stata condotta su un campione di aziende di piccole, medie e grandi dimensioni, e che queste ultime sono state le più propense in quella direzione.

Questo singolare processo di unclouding o de-clouding, che vede il rientro delle informazioni dalle piattaforme cloud verso i server aziendali, è da considerarsi un vero e proprio termometro riguardo al livello di complessità intrinseco nel cloud; oltretutto il dato è in controtendenza rispetto alle organizzazioni appartenenti alla piccola e media impresa.

A sostegno di tale scelta le grandi aziende hanno fornito ulteriori giustificazioni, riscontrate però anche presso le PMI, riassumibili prevalentemente in problemi di mantenimento dei servizi in cloud: la carenza di personale qualificato nel 52% dei casi, la mancanza di competenze in materia di sicurezza cloud nel 44% e la mancanza di budget nel 47%.

Per cercare di dare un senso a questi dati apparentemente sorprendenti mi sono posto alcune domande, ma l’unica a cui ho trovato una risposta oggettiva, o quasi, è la seguente: che cos’hanno le grandi aziende che le medio-piccole non hanno?

È risultato abbastanza semplice individuare alcuni primi tratti distintivi: gli ampi volumi di fatturato, la presenza di CISO (Chief Information Security Officer) o i CIO (Chief Information Officer) con uno staff in grado di rilevare prontamente gli eventuali problemi di sicurezza. Probabilmente anche la dotazione di strumenti di analisi e classificazione dei dati incide sugli indicatori che supportano la scelta di riportare i dati in locale.

Un ulteriore elemento di diversità potrebbe essere l’adozione di una figura quale il DPO (Data Protection Officer), che aiuta le organizzazioni a tenere alta l’attenzione e la sensibilità sul tema della sicurezza dei dati.

Il GDPR ha reso quest’ultima figura obbligatoria per gli enti pubblici (dai quali, purtroppo, viene vista il più delle volte soltanto come una casella da riempire nell’organigramma) e per alcune categorie di aziende private. Adottare tale figura rappresenta un presidio fondamentale per la protezione dei dati del quale anche aziende non obbligate dal GDPR dovrebbero considerare di dotarsi.

Di informazioni utili per iniziare a fare degli approfondimenti sul tema della sicurezza nel cloud ora se ne trovano, però al momento non sono sufficienti per portare evidenze tali che ci permettano di arrivare a delle conclusioni importanti. Di sicuro c’è, invece, che le grandi aziende hanno da sempre dimostrato di essere tra le prime a compiere quelle scelte che a distanza di anni, pochi o tanti, sono state seguite dalle medie e piccole imprese.

Pertanto, nonostante sia estremamente complicato trovare la quadra in presenza di tante variabili in gioco, penso che anche la scelta delle istituzioni centrali di forzare gli enti pubblici a migrare ed esternalizzare in cloud i propri servizi e i propri dati, lasci ampio spazio a dubbi e incertezze.

Sappiamo, infatti, che quando un’organizzazione scarsamente dotata di risorse (personale competente, denaro e tempo) viene obbligata a compiere certi passi, la stessa si ritroverà quasi sempre ad effettuare scelte dettate da poca consapevolezza e dalla fretta, che si sa essere cattiva consigliera.

Sarebbe davvero curioso fare un salto nel futuro e vedere, anche solo fra cinque anni, quante altre aziende avranno compiuto la stessa scelta delle grandi aziende che ad oggi hanno deciso di rimuovere i dati critici dal cloud.

Enrico Munaro

Consulente in materia di privacy e sicurezza informatica

Polimatica Progetti S.r.l. – Progetto Priv@cy

L'articolo Cloud o non cloud, questo è il dilemma proviene da Polimatica Progetti S.r.l..

Gli attacchi informatici

Enrico Munaro — Mon, 22 Feb 2021 15:31:50 +0000

Tutte le persone con cui parliamo di temi correlati al nostro lavoro utilizzano sistematicamente le stesse parole, neanche si fossero messe d’accordo: “al giorno d’oggi davvero non si può stare al sicuro, coi computer sanno tutto!”.

E sistematicamente ci rendiamo conto che quella è diventata una frase di circostanza che rimanda a una sorta di rassegnazione e accettazione. Da una parte sembra positivo il fatto che queste persone riconoscano che c’è un problema, dall’altra non è che facciano poi tanti sforzi per rimediare a questa condizione di perpetua insicurezza riguardo all’ambiente digitale.

Altra frase tipica, forse la più gettonata, è la seguente: “ma cosa vuoi che mi succeda, vendo pezzi di ferro, gli hacker hanno molte aziende più grandi e importanti della mia da attaccare”.

Beh, probabilmente è vero, ma hai tenuto conto del fatto che buona parte dei problemi è legato alle persone all’interno dell’azienda stessa?! Hai provveduto a tutelare il tuo business da problemi di questo tipo? Se si verifica un incidente informatico, che magari ti blocca i computer, sei in grado di continuare nelle normali attività? Se qualcuno ruba i progetti dei tuoi prodotti te ne accorgi? Sai in che modo lavorano i tuoi fornitori? Hai mai pensato che un hacker potrebbe usarti come “ponte” per attaccare il suo vero bersaglio e che quest’ultimo potrebbe accusare te di averlo attaccato?

Le domande di questo tipo non si limitano certo qui, ma è un buon inizio per far riflettere le persone, e la regola d’oro a nostro avviso è questa che segue. Un attacco si concretizza quando un attaccante ha dei motivi, conosce vulnerabilità e metodi. Se non riesci ad identificare questi tre elementi nella tua organizzazione ti consigliamo di contattarci per effettuare una valutazione della tua infrastruttura. Ti aiuteremo a identificare le vulnerabilità e i metodi. Per quanto riguarda i motivi, beh, ci siamo presi la briga di preparare un video dimostrativo che illustri come una persona con dei motivi può scovare le tue vulnerabilità e scegliere il giusto modo per colpirti.

Enrico Munaro

Consulente in materia di privacy e sicurezza informatica

Polimatica Progetti S.r.l. – Progetto Priv@cy

L'articolo Gli attacchi informatici proviene da Polimatica Progetti S.r.l..