Aggiornamenti recenti Aprile 21st, 2025 9:00 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- CERT-AGID 12 – 18 aprile: nuove campagne di phishing per pagoPA e Ministero della Salute
- XorDDoS, il DDoS contro Linux evolve e continua a mietere vittime
- Migliaia di chiavi AWS usate in un attacco ransomware
- Aggiornato: Addio a CVE – il governo U.S.A. (sospende) riprende i finanziamenti per il programma
- Defender for Endpoint bloccherà gli IP sconosciuti per impedire il movimento laterale
La cyber-security dopo (e oltre) il GDPR
Con il nuovo approccio del Regolamento Generale sulla Protezione dei Dati adottare strumenti di difesa avanzati non è più un lusso, ma una necessità.
Dal 1 maggio 2018, la predisposizione di strumenti adeguati per proteggere le infrastrutture informatiche dell’azienda non è più una semplice questione di buon senso, ma un obbligo di legge. Il nuovo Regolamento Generale sulla Protezione dei Dati (GDPR), al di là delle prescrizioni relative alle informative sul trattamento dei dati rivolte agli utenti, prevede infatti l’obbligo per le aziende di proteggere i dati in maniera adeguata.
Una vera rivoluzione copernicana in termini di approccio alla cyber-security, che ha conseguenze ben più ampie rispetto al semplice obbligo di rispetto del regolamento. Una delle previsioni del GDPR, per esempio, è quella che riguarda la tempestività nella comunicazione in caso di violazione dei sistemi. Qualsiasi breach, infatti, deve necessariamente essere notificato all’autorità di controllo entro 72 ore dalla scoperta, fornendo una serie di informazioni riguardanti la portata della violazione e le misure messe in atto per ridurne l’impatto.
Al di là del rispetto dei tempi, che di per sé non solleva grandi problemi, l’obbligo di comunicazione si collega direttamente a un tema sempre più sensibile per le aziende: quello del danno reputazionale.
“Nel panorama odierno, saper gestire in maniera efficace e tempestiva una situazione di crisi collegata alla cyber-security impatta anche sull’immagine dell’azienda” spiega Carmen Palumbo di F-Secure. “Gli utenti hanno infatti una maggiore consapevolezza del valore dei loro dati e dell’importanza che i soggetti a cui li hanno affidati siano in grado di proteggerli con strumenti adeguati”.
In altre parole, di fronte a un malaugurato incidente che ha esposto i sistemi dell’azienda all’azione di un pirata informatico, il modo in cui se ne esce può avere effetti anche molto “importanti” a livello di immagine.
Per essere chiari: una cosa è annunciare di aver subito un attacco e di averlo bloccato in maniera tempestiva, fornendo informazioni dettagliate sulle modalità di attacco e sugli elementi delle infrastrutture intaccate. Un’altra è trovarsi a denunciare una violazione che è proseguita magari per settimane (se non mesi) di cui non si è nemmeno in grado di indicare con puntualità caratteristiche e conseguenze.
Se poi si sposta la prospettiva dall’utenza consumer al mondo business, il nuovo scenario legislativo introduce considerazioni decisamente più articolate e fa sì che la cyber-security diventi un vero e proprio asset aziendale.
In un mondo in cui lo scambio di informazioni tra soggetti diversi e l’uso in comune di parti di infrastruttura (per esempio a livello cloud) è una premessa per qualsiasi rapporto, garantire la presenza di strumenti di difesa adeguati diventa indispensabile.
Questo perché il famigerato “perimetro” finisce per comprendere parti di infrastrutture che sono gestite in parte o in tutto dai partner commerciali. Insomma: la capacità di proteggere i nostri dati dipende anche dalla capacità delle aziende con cui collaboriamo.
“Prima di avviare una partnership o una collaborazione con un’altra azienda è ormai indispensabile eseguire una valutazione sul livello di sicurezza dei sistemi informatici della controparte” conferma Carmen Palumbo. “Un’azienda che non offre garanzie in questo senso diventa un partner meno appetibile”.
La logica è cristallina: all’interno di un gruppo, il livello di sicurezza complessivo è determinato da quello più basso. Per mantenere gli standard che ci si propone, quindi, è necessario scegliere partner che abbiano lo stesso livello di controllo sui loro sistemi.
In altre parole: se la nostra azienda non ha strumenti adeguati per proteggere le sue infrastrutture, verrà percepita dagli eventuali partner come un pericolo. Un aspetto, questo, che nel lungo periodo potrebbe rappresentare una delle conseguenze più “pesanti” nell’applicazione del GDPR.
Condividi l'articolo
Indispensabile individuare, ma poi serve reagire
Il gruppo Turla modifica Chrome e Firefox, ma qual è il loro obiettivo?
Articoli correlati
Altro in questa categoria
Approfondimenti
-
XorDDoS, il DDoS contro Linux evolve e continua a mietere... I ricercatori di Cisco Talos hanno pubblicato una nuova... -
Slopsquatting: quando l’IA consiglia pacchetti che... La diffusione dell’IA e il progressivo miglioramento... -
Agenti di IA: un’arma potente nelle mani del... Gli agenti di IA stanno diventando sempre più capaci, in... -
PDF pericolosi: il 22% degli attacchi proviene da questi... I file PDF possono diventare molto pericolosi: stando a una... -
L’Italia è tra gli obiettivi principali del... L’Italia è tra i principali obiettivi del cybercrime...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
CERT-AGID 12 – 18 aprile: nuove campagne di phishing per... Nel corso dell’ultima settimana, il CERT-AGID ha rilevato... -
XorDDoS, il DDoS contro Linux evolve e continua a mietere... I ricercatori di Cisco Talos hanno pubblicato una nuova...
-
Migliaia di chiavi AWS usate in un attacco ransomware Alcuni ricercatori di sicurezza hanno scoperto una nuova... -
Aggiornato: Addio a CVE – il governo U.S.A.... Aggiornamento: “Il programma CVE ha un valore... -
Defender for Endpoint bloccherà gli IP sconosciuti per... Microsoft sta per rilasciare una nuova funzionalità di...
Ransomware: la serie
No posts found.
One thought on “La cyber-security dopo (e oltre) il GDPR”