17 FOCUS Sicurezza e Privacy 16/07/12 10:53 Pagina 68
S I C U R E Z Z A E P R I VA C Y
Con la privacy
cresce la cultura
della sicurezza
✍
ANGELO COLESANTO,
TECHNOLOGY CONSULTANT
RSA, THE SECURITY DIVISION OF EMC
UN DPS NON PIÙ
OBBLIGATORIO, NON DEVE
FAR PENSARE A UNA MINORE
ATTENZIONE DA PORSI ALLA
QUESTIONE PRIVACY, ANZI I
BENEFICI DI BUSINESS CHE NE
DERIVANO SONO MOLTI.
luglio/agosto 2012
a recente abrogazione del DPS (Documento Programmatico di Sicurezza)
ha indotto in molti la percezione
che le attività connesse alla tutela della
privacy abbiano perso rilevanza. Alla legge
196/03 e al relativo DPS va riconosciuto il
merito di aver costretto le aziende a valutare
le attività e a programmare gli interventi di
tutela della privacy. Ciò ha avuto risvolti positivi anche in diversi ambiti di sicurezza.
Si pensi al provvedimento del Garante
Privacy per gli Amministratori di Sistema
(AdS) e a come questo abbia portato all’adozione di basilari (ma spesso ignorate) best
practice come quelle di avere utenze amministrative nominali e di monitorare l’attività di amministrazione. Per molti CIO o
CSO italiani è stata anche l’occasione per
adottare soluzioni di SIEM (Security Information and Event Management) per soddisfare esigenze di compliance.
Purtroppo, in alcuni casi, questi investimenti
non sono stati capitalizzati al meglio, limitandosi solo ad attuare quanto imposto dalla
normativa. A distanza di qualche anno si
rileva però che le aziende hanno necessità
di sfruttare meglio le tecnologie, già adottate per imposizioni normative, per ottenere
maggior controllo sull’azienda e riuscire a
prevenire incidenti di sicurezza.
L
68
antifurto&security
17 FOCUS Sicurezza e Privacy 16/07/12 10:53 Pagina 69
S I C U R E Z Z A E P R I VA C Y
Questo rappresenta per RSA, che sostiene
da anni la concezione della sicurezza con
un approccio basato sul rischio e sul valore
per il business, un chiaro segnale di evoluzione delle aziende, che sentono l’esigenza
di elevare il proprio livello di maturità, portandosi da un approccio puramente tattico verso
una visione più strategica della sicurezza.
Appare evidente che tanto la normativa sulla
privacy, quanto il DPS abbiano svolto un
ruolo importante nell’introdurre in Italia una
cultura di Privacy e anche di sicurezza.
Le aziende hanno riconosciuto il valore
aggiunto per il business, derivante dall’introduzione di misure di sicurezza che andassero a garantire le esigenze di privacy.
Ma perché abolire l’obbligo di redazione del
DPS? E’ presto detto. Innanzitutto, l’abolizione riguarda puntualmente la redazione
del documento, ma lascia inalterata la
sostanza e tutti gli altri adempimenti previsti dalla normativa. Se da un lato questo
rimuove l’obbligo a un “momento di riflessione” sul tema, dall’altro lascia alle aziende
la responsabilità di rispetto delle misure
minime di sicurezza previste dalla L.196 e
dai successivi provvedimenti.
Inoltre, poiché l’emanazione di una normativa unica europea per la privacy è ormai
imminente e le proposte di normativa
lasciano presagire documentazione e procedure ben più onerosi del semplice DPS,
le aziende dovrebbero considerare l’opportunità di continuare la redazione di un
proprio documento relativo a policy di privacy
e sicurezza aziendali, tralasciando eventuali appesantimenti burocratici.
Il tema privacy rimane comunque una priorità in ambito normativo italiano. Dopo i più
famosi provvedimenti per gli Amministratori
di Sistema e per gli operatori di Telecomunicazioni, siamo ora in attesa dell’attuazione
del provvedimento che riguarda gli istituti
“LE AZIENDE DOVREBBERO
CONSIDERARE
L’OPPORTUNITÀ DI
CONTINUARE LA
REDAZIONE DI UN PROPRIO
DOCUMENTO RELATIVO A
POLICY DI PRIVACY E
SICUREZZA AZIENDALI...”
bancari a tutela dei dati dell’utenza. Anche
interventi meno clamorosi hanno visto
diverse sentenze da parte del Garante
Privacy.
Ad esempio le sanzioni comminate alle
società di telemarketing, in seguito all’istituzione del registro delle pubbliche opposizioni, per evitare l’abuso di dati personali per
scopi promozionali. Anche le società committenti sono state richiamate rimarcandone
la responsabilità in quanto titolari del trattamento e costringendole a dotarsi di
processi di controllo verso i propri outsourcer.
Da menzionare, in ultimo, i due opuscoli
che il Garante Privacy ha allegato sul tema
privacy relativi all’uso di tecnologie emergenti come i dispositivi mobili e i servizi in
luglio/agosto 2012
69
antifurto&security
17 FOCUS Sicurezza e Privacy 16/07/12 10:53 Pagina 70
S I C U R E Z Z A E P R I VA C Y
cloud. Ancor più gli aspetti di privacy (“come
è garantita la privacy?”, “cosa succede
quando i dati sono gestiti in territorio
estero?”,…) risultano strettamente legati alle
misure di sicurezza adottate: un’azienda
italiana può usare un servizio in cloud di
un Provider che non rispecchia i requisiti
minimi di sicurezza o che opera in uno stato
estero, senza garanzie a tutela della privacy?
Il messaggio che il DPS non è più necessario, non è da intendersi come una minore
attenzione da porsi alla questione privacy,
poiché i benefici di business derivanti dall’implementazione di una strategia di sicurezza
sono evidenti. Il Garante della privacy continua la sua costante opera. Il nuovo collegio
vorrà di sicuro proporre nuovi provvedimenti
o continuare l’opera già intrapresa dai predecessori ( esempio mobile e cloud). Tutto ciò
in attesa che la nuova normativa europea divenga operativa, imponendo agli
stati membri una revisione di quella locale.
La visione strategica di RSA è fortemente
orientata ad un approccio alla sicurezza
basato sul rischio, dove la privacy è funzione
della sicurezza, dove la sicurezza è percepita come valore, a tutela non solo della
privacy, ma anche della proprietà intellettuale, dell’immagine aziendale, del brand e,
luglio/agosto 2012
soprattutto, delle persone.
Tutti i clienti che già condividono questa filosofia, troveranno nell’offerta di RSA una suite
completa di Security and Compliance Management, con soluzioni di GRC (Governance
Risk and Compliance), per ottimizzare o
definire policy e processi di audit e
compliance, per attività complementari di
SIEM ed analisi forense, di DLP e Data
Protection per una maggiore tutela di dati
ed informazioni.
Siamo consapevoli che molte aziende non
considerano ancora la sicurezza come una
priorità d’investimento; in questo caso siamo
pronti ad accompagnali lungo un percorso
che partendo dal driver della compliance
normativa, li porti verso l’adozione di interventi
“necessari” e di “valore” per il loro business.
Ad esempio, le soluzioni GRC di RSA, possono
rappresentare, un valido strumento a
supporto dell’analisi d’impatto su tecnologie e processi che le nuove normative (come
per l’ambito privacy) possono determinare
ed al contempo può agevolare la definizione
di policy in linea con le strategie di business e semplificare i processi di audit e
compliance.
http://italy.rsa.com
70
antifurto&security
Scarica

Con la privacy cresce la cultura della sicurezza