Gestione Cyber Risk

La gestione del RISCHIO legato alle minacce di attacchi cyber, insieme all’implementazione di un sistema di resilienza a tali aggressioni, rappresentano un servizio fondamentale per ogni ente che utilizzi strumenti informatici ed offra un servizio/venda un prodotto tramite web.

Ovviamente, tale affermazione è tanto più vera quanto più l’attività è caratterizzata dall’utilizzo del web, dei social e dei dispositivi informatici.

In ragione della natura eterogenea ed al continuo sviluppo tecnologico, risulta impossibile eliminare completamente il CYBER RISK da una attività: ciò che una realtà può fare è adottare misure organizzative e tecniche adeguate rispetto al proprio livello di rischio.

L’attività di auditing, l’analisi dei flussi, la valutazione dei rischi, l’adozione di misure tecniche all’avanguardia e la redazione di modelli organizzativi/policy aziendali costituiscono, da un lato, gli strumenti più efficaci per realizzare un’attività di prevenzione; dall’altro, consentono all’ente di avere a propria disposizione un “metodo” già predeterminato da utilizzare per affrontare l’evento “patologico” laddove lo stesso si verifichi, così da gestirlo efficacemente e velocemente, limitandone gli effetti e garantendo la c.d. BUSINESS CONTINUITY.

Cyber4_Consulenza_Legale_1000x1000_mari-helin-ilSnKT1IMxE-unsplash
Cyber4_Formazione_e_Divulgazione_Formazione_Manager_right_1200x1000_cowomen-pd5FVvQ9-aY-unsplash

Figure Professionali

Sicurezza Informatica e Compliance

Proprio in ragione di ciò, la questione della sicurezza informatica e della compliance sono diventati temi sempre più centrali per ogni realtà e ciò, necessariamente, comporta la necessità di affidarsi a professionisti del settore, che siano in grado di coordinare tra loro le varie normative in vigore (L.231/2001, GDPR, Statuto dei lavoratori, etc) e le diverse figure professionali, interne ed esterne, che sono coinvolte nella gestione del cyber risk:

  • Top Management;
  • Ufficio IT;
  • DPO (Data Protection Officier);
  • Ufficio Comunicazione;
  • Ufficio Legal;
  • Ufficio Compliance;
  • Responsabile Safety & Security;
  • Autorità Istituzionali;
  • Stakeholders;
  • Assicurazioni.

L’importanza di una corretta gestione del cyber risk si auto-evidenzia laddove si considerino le numerose e significative conseguenze negative di un attacco cibernetico:

  • Danno reputazionale;
  • Interruzione del business;
  • Perdite economiche e finanziarie;
  • Contenziosi e richieste risarcitorie;
  • La possibilità di perdita e diffusione di notizie riservate;
  • Attività di accertamento istituzionali e relative sanzioni economiche ed interdittive;
  • Implicazioni di Data Protection (privacy dei dipendenti e dei clienti);
  • Sottrazione di segreti commerciali e know how;
  • Riduzione del valore delle Proprietà Intellettuali;
  • Adempimenti e procedure obbligatorie post-incidente.
Cyber4_Consulenza_Legale_1200x1000_scott-graham-OQMZwNd3ThU-unsplash
Cyber4_Consulenza_Legale_1200x1000_charles-forerunner-3fPXt37X6UQ-unsplash

Ma non è tutto.

Una corretta gestione del cyber risk non si limita ad evitare/ridurre il rischio di importanti e significative conseguenze, quali, ad esempio, la sottrazione di informazioni critiche, la responsabilità civili/penali legate all’utilizzo improprio/illecito di dati personali e l’erogazione di sanzioni disciplinari/economiche, ma consente anche un miglioramento.

L’analisi dei flussi di dati e lo studio dei processi di gestione/archiviazione degli stessi può essere, infatti, un’occasione per apportare significative migliorie ai propri processi interni, consentendo di incrementare la propria efficienza, la propria competitività e, quindi, il proprio successo.

Il Cyber Risk e la protezione dei dati personali

Risulta innegabile che il tema del cyber risk sia fortemente intrecciato con la materia della protezione dei dati personali.

I punti di contatto sono davvero molti, ma è indubbio che i principali siano:

  1. l’esigenza di proteggere i dati personali dei propri dipendenti al fine di evitare azioni e responsabilità;
  2. la necessità di tutelare i dati di contatto dei propri clienti e fornitori, sia per ragioni di privacy in senso stretto, sia per ragioni di tutela dell’immagine/reputazione della propria realtà, sia per tutelare il proprio business (si pensi alle conseguenze economiche della sottrazione del database clienti da parte di un competitor);
  3. il bisogno di acquisire e trattare i dati dei propri dipendenti in modo corretto, così da essere legittimati ad utilizzare le informazioni acquisite anche a fini disciplinari.
Cyber4_Cybersecurity_GDPR_LPD_right_1000x1000-
Cyber4_Cybersecurity_GDPR_LPD_left_1_1000x1000_miguelangel-miquelena-Rc-4YdHRrOs-unsplash

Per realizzare queste tre macro-finalità, è necessario che l’attività della propria realtà sia pensata, strutturata e gestita in conformità ai principi fondamentali vigenti in materia di dati personali.

Tra questi certamente, vi sono:

  • la liceità;
  • la proporzionalità;
  • l’esattezza;
  • la specificità del consenso, che per essere valido deve essere libero e informato;
  • il principio di accountability, ovvero il principio in base al quale il titolare dei dati deve essere in grado di rendicontare e motivare le scelte adottate nella gestione/prevenzione del rischio privacy legato alla propria attività.

Analisi e Pianificazione: la chiave di volta

A riguardo, è bene precisare che i principi sopra elencati costituiscono l’architrave sia della Legge federale svizzera sulla protezione dei dati (LPD), specie post-riforma 2017, sia del Reg. UE n. 2019/679, meglio conosciuto come GDPR: alla luce di ciò la nostra realtà ha a propria disposizione il know-how necessario a fornire consulenza/assistenza rispetto all’adeguamento di entrambe le normative.

Proprio con riferimento alle attività di adeguamento, ci preme chiarire sin d’ora, in conformità ai principi di trasparenza e correttezza professionale che contraddistingue il nostro operato, un punto: l’adeguamento sotto il profilo privacy comporta degli adempimenti che si sostanziano, principalmente, nella mappatura dei flussi di dati e nella redazione di policy procedimentali di trattamento. Tale circostanza non deve essere scambiata per una “riduzione” di libertà/flessibilità e, quindi, di efficienza.

In realtà, è proprio il contrario!

Mappare il flusso dei dati e redigere delle policy di processo aiuta a rendere maggiormente performanti i propri processi interni, provvedendo ad eliminare attività superflue, calendarizzare in modo puntuale attività spesso funzionali al business, si pensi alle compagne marketing, e ad allocare le risorse, umane e finanziarie, in modo più consapevole.

Cyber4_Cybersecurity_GDPR_LPD_left_1000x1000_krakenimages-376KN_ISplE-unsplash