17 FOCUS Sicurezza e Privacy 16/07/12 10:53 Pagina 68 S I C U R E Z Z A E P R I VA C Y Con la privacy cresce la cultura della sicurezza ✍ ANGELO COLESANTO, TECHNOLOGY CONSULTANT RSA, THE SECURITY DIVISION OF EMC UN DPS NON PIÙ OBBLIGATORIO, NON DEVE FAR PENSARE A UNA MINORE ATTENZIONE DA PORSI ALLA QUESTIONE PRIVACY, ANZI I BENEFICI DI BUSINESS CHE NE DERIVANO SONO MOLTI. luglio/agosto 2012 a recente abrogazione del DPS (Documento Programmatico di Sicurezza) ha indotto in molti la percezione che le attività connesse alla tutela della privacy abbiano perso rilevanza. Alla legge 196/03 e al relativo DPS va riconosciuto il merito di aver costretto le aziende a valutare le attività e a programmare gli interventi di tutela della privacy. Ciò ha avuto risvolti positivi anche in diversi ambiti di sicurezza. Si pensi al provvedimento del Garante Privacy per gli Amministratori di Sistema (AdS) e a come questo abbia portato all’adozione di basilari (ma spesso ignorate) best practice come quelle di avere utenze amministrative nominali e di monitorare l’attività di amministrazione. Per molti CIO o CSO italiani è stata anche l’occasione per adottare soluzioni di SIEM (Security Information and Event Management) per soddisfare esigenze di compliance. Purtroppo, in alcuni casi, questi investimenti non sono stati capitalizzati al meglio, limitandosi solo ad attuare quanto imposto dalla normativa. A distanza di qualche anno si rileva però che le aziende hanno necessità di sfruttare meglio le tecnologie, già adottate per imposizioni normative, per ottenere maggior controllo sull’azienda e riuscire a prevenire incidenti di sicurezza. L 68 antifurto&security 17 FOCUS Sicurezza e Privacy 16/07/12 10:53 Pagina 69 S I C U R E Z Z A E P R I VA C Y Questo rappresenta per RSA, che sostiene da anni la concezione della sicurezza con un approccio basato sul rischio e sul valore per il business, un chiaro segnale di evoluzione delle aziende, che sentono l’esigenza di elevare il proprio livello di maturità, portandosi da un approccio puramente tattico verso una visione più strategica della sicurezza. Appare evidente che tanto la normativa sulla privacy, quanto il DPS abbiano svolto un ruolo importante nell’introdurre in Italia una cultura di Privacy e anche di sicurezza. Le aziende hanno riconosciuto il valore aggiunto per il business, derivante dall’introduzione di misure di sicurezza che andassero a garantire le esigenze di privacy. Ma perché abolire l’obbligo di redazione del DPS? E’ presto detto. Innanzitutto, l’abolizione riguarda puntualmente la redazione del documento, ma lascia inalterata la sostanza e tutti gli altri adempimenti previsti dalla normativa. Se da un lato questo rimuove l’obbligo a un “momento di riflessione” sul tema, dall’altro lascia alle aziende la responsabilità di rispetto delle misure minime di sicurezza previste dalla L.196 e dai successivi provvedimenti. Inoltre, poiché l’emanazione di una normativa unica europea per la privacy è ormai imminente e le proposte di normativa lasciano presagire documentazione e procedure ben più onerosi del semplice DPS, le aziende dovrebbero considerare l’opportunità di continuare la redazione di un proprio documento relativo a policy di privacy e sicurezza aziendali, tralasciando eventuali appesantimenti burocratici. Il tema privacy rimane comunque una priorità in ambito normativo italiano. Dopo i più famosi provvedimenti per gli Amministratori di Sistema e per gli operatori di Telecomunicazioni, siamo ora in attesa dell’attuazione del provvedimento che riguarda gli istituti “LE AZIENDE DOVREBBERO CONSIDERARE L’OPPORTUNITÀ DI CONTINUARE LA REDAZIONE DI UN PROPRIO DOCUMENTO RELATIVO A POLICY DI PRIVACY E SICUREZZA AZIENDALI...” bancari a tutela dei dati dell’utenza. Anche interventi meno clamorosi hanno visto diverse sentenze da parte del Garante Privacy. Ad esempio le sanzioni comminate alle società di telemarketing, in seguito all’istituzione del registro delle pubbliche opposizioni, per evitare l’abuso di dati personali per scopi promozionali. Anche le società committenti sono state richiamate rimarcandone la responsabilità in quanto titolari del trattamento e costringendole a dotarsi di processi di controllo verso i propri outsourcer. Da menzionare, in ultimo, i due opuscoli che il Garante Privacy ha allegato sul tema privacy relativi all’uso di tecnologie emergenti come i dispositivi mobili e i servizi in luglio/agosto 2012 69 antifurto&security 17 FOCUS Sicurezza e Privacy 16/07/12 10:53 Pagina 70 S I C U R E Z Z A E P R I VA C Y cloud. Ancor più gli aspetti di privacy (“come è garantita la privacy?”, “cosa succede quando i dati sono gestiti in territorio estero?”,…) risultano strettamente legati alle misure di sicurezza adottate: un’azienda italiana può usare un servizio in cloud di un Provider che non rispecchia i requisiti minimi di sicurezza o che opera in uno stato estero, senza garanzie a tutela della privacy? Il messaggio che il DPS non è più necessario, non è da intendersi come una minore attenzione da porsi alla questione privacy, poiché i benefici di business derivanti dall’implementazione di una strategia di sicurezza sono evidenti. Il Garante della privacy continua la sua costante opera. Il nuovo collegio vorrà di sicuro proporre nuovi provvedimenti o continuare l’opera già intrapresa dai predecessori ( esempio mobile e cloud). Tutto ciò in attesa che la nuova normativa europea divenga operativa, imponendo agli stati membri una revisione di quella locale. La visione strategica di RSA è fortemente orientata ad un approccio alla sicurezza basato sul rischio, dove la privacy è funzione della sicurezza, dove la sicurezza è percepita come valore, a tutela non solo della privacy, ma anche della proprietà intellettuale, dell’immagine aziendale, del brand e, luglio/agosto 2012 soprattutto, delle persone. Tutti i clienti che già condividono questa filosofia, troveranno nell’offerta di RSA una suite completa di Security and Compliance Management, con soluzioni di GRC (Governance Risk and Compliance), per ottimizzare o definire policy e processi di audit e compliance, per attività complementari di SIEM ed analisi forense, di DLP e Data Protection per una maggiore tutela di dati ed informazioni. Siamo consapevoli che molte aziende non considerano ancora la sicurezza come una priorità d’investimento; in questo caso siamo pronti ad accompagnali lungo un percorso che partendo dal driver della compliance normativa, li porti verso l’adozione di interventi “necessari” e di “valore” per il loro business. Ad esempio, le soluzioni GRC di RSA, possono rappresentare, un valido strumento a supporto dell’analisi d’impatto su tecnologie e processi che le nuove normative (come per l’ambito privacy) possono determinare ed al contempo può agevolare la definizione di policy in linea con le strategie di business e semplificare i processi di audit e compliance. http://italy.rsa.com 70 antifurto&security