Cyber Critical Perimeter: presidiare l’intero perimetro aziendale dal rischio perdita di denaro e reputazione

Cos’è il Cyber Critical Perimeter
Cybersecurity e Cyber Data Protection sono due aree interconnesse e complementari della sicurezza informatica che formano ciò che viene detto “Cyber Critical Perimeter” o perimetro cybercritico. Insieme, proteggono efficacemente l’azienda da una vasta gamma di minacce con la stessa missione: evitare all’azienda perdita di denaro e di reputazione.
La differenza tra le due è nell’approccio alle regole di difesa del dato (e quindi di difesa dell’azienda stessa), e lavorano su livelli differenti della pila di sicurezza delle informazioni. La cybersecurity è centrata sulle policy di accesso al dato mentre la cyber data protection sulle regole di utilizzo.
La cybersecurity si concentra sulla protezione delle reti e dei sistemi con una logica ON/OFF sull’accesso alle informazioni: una stessa informazione o è bloccata oppure è accessibile a chi può accedervi, indipendentemente dall’utilizzo che ne farà.
La cyber data protection ha un approccio alla sicurezza orientato allo scopo: la stessa informazione può essere concessa per un utilizzo ma non per un altro. Ad esempio, non basta avere accesso alla mail di un cliente per poterla utilizzare; è necessario averne i Consensi, espliciti (ovvero basati sulla base giuridica del Consenso) o impliciti (basati su altre basi giuridiche come pre/contrattuale o legittimo interesse) e riuscire a dimostrare la legittimità del possesso (prova di genuinità).

La Cyber Data Protection integra il “cerchio di fiducia” verso il cliente andando a presidiare un’area che altrimenti risulterebbe scoperta
Ma chi è il vero proprietario del dato? Differenza tra Cybersecurity e Cyber Data Protection
Mentre la cybersecurity opera come se tutti i dati all’interno del perimetro aziendale fossero di proprietà dell’azienda che può disporne come crede, la cyber data protection invece considera i dati appartenenti ai clienti che affidano all’azienda il ruolo di tutore legale delle loro informazioni. Questa responsabilità viene descritta meglio in inglese che definisce l’azienda come “Data controller” piuttosto che con la sfortunata traduzione “Titolare del trattamento” che potrebbe suggerire erroneamente all’azienda di essere proprietaria dei dati, quanto invece la titolarità è solamente sui trattamenti. L’unico vero titolare dei propri dati personali rimane il cittadino.
Certo, non tutti i dati ricadono all’interno del perimetro della cyber data protection ma solo quelli “personali”, ovvero le informazioni che, direttamente ed indirettamente, permettono di individuare un cittadino, oltre a quelle che gli appartengono. Incluse tutte le informazioni sulla profilazione.
Con la Cyber Data Protection l’azienda legittima il possesso dei dati
Mentre la cybersecurity di fatto non impone vincoli all’azienda sull’utilizzo dei dati che possiede (per la cybersecurity l’unico proprietario del dato è l’azienda stessa), per la cyber data protection il dato personale è del cliente e l’azienda è tenuta a giustificare e legittimare la conservazione e l’utilizzo di ogni dato personale. Questo per l’azienda significa essere in grado di dimostrare attraverso prove concrete e tangibili la liceità di tutta la filiera del dato personale, dalla raccolta, alla conservazione, all’elaborazione fino alla cancellazione di ogni singolo dato per ogni singolo cliente.
Grazie alla Cyber Data Protection l’azienda può dimostrare la propria legittimità in tutta la filiera del dato.
Nonostante molte aziende considerino il GDPR ancora una formalità (almeno fino alla resa dei conti), cybersecurity e cyber data protection sono in realtà due aree di sicurezza informatica strettamente correlate tra loro con molti punti di convergenza ed integrazione:
1. Protezione dei dati: la cybersecurity e la cyber data protection si concentrano entrambe sulla protezione dei dati da accessi non autorizzati, danni, smarrimento o furto con lo scopo di tutelare l’azienda da perdita di denaro e di reputazione.
2. Identificazione dei dati: Entrambe le aree, seppur con significato diverso, richiedono la conoscenza dei dati “sensibili” dell’azienda per poterli censire, proteggere e limitarne non solo l’accesso (cybersecurity) ma anche l’utilizzo in base ai vincoli di legittimità (cyber data protection).
3. Prevenzione delle violazioni: sia la cybersecurity che la cyber data protection si concentrano sulla prevenzione di violazioni dei dati, tramite attività di monitoraggio, identificazione delle vulnerabilità e miglioramento della sicurezza. Anche qui con diversi significati di “violazione” che per la cybersecurity rimane centrata sulle policy di accesso mentre per la cyber data protection è legata alla liceità di utilizzo del dato ed al Regolamento europeo.
4. Accesso ai dati: cybersecurity e cyber data protection si occupano entrambe della gestione dell’accesso ai dati e dei controlli di sicurezza necessari per prevenire accessi non autorizzati; nel primo caso le policy di accesso sono stabilite dall’azienda, invece nel secondo caso risultano molto più granulari perché legate ai singoli clienti, all’informativa sulla privacy che hanno visionato ed ai consensi (impliciti ed espliciti) concessi.
5. Conformità normativa: entrambe le aree sono in grado di aiutare le aziende a conformarsi alle normative ma mentre per la cybersecurity non c’è una norma universale, la cyber data protection deve sottostare al Regolamento europeo oltre ad altri come il CCPA (California Consumer Protection Act).
6. Identificazione delle vulnerabilità: cybersecurity e cyber data protection si occupano entrambe dell’identificazione e della gestione delle vulnerabilità dei sistemi e dei dati; per la seconda le criticità riguardano anche l’utilizzo illecito da parte dell’azienda (spesso in buona fede) dei dati senza consenso o “scaduti”, ovvero successivi al periodo di data retention.
7. Controllo degli accessi: la cybersecurity e la cyber data protection richiedono entrambe la gestione dei controlli di accesso per prevenire l’accesso non autorizzato ai dati e ai sistemi; in più le policy della cyber data protection prevedono un livello in più per considerare tra le regole di accesso anche la finalità del trattamento.
8. Monitoraggio degli eventi: entrambe le aree richiedono il monitoraggio degli eventi che, per la cyber data protection, possono includere includono quelli sui trattamenti effettuati sui dati (ad esempio l’invio delle newsletter o le attività di profilazione) in modo da verificarle la legittimità e le possibili criticità prima che si manifestino.
9. Controllo degli endpoint: la cybersecurity e la cyber data protection si concentrano entrambe sul controllo degli endpoint, ovvero dei dispositivi utilizzati per accedere ai dati con la differenza che la prima è centrata sulle autorizzazioni di accesso mentre la seconda sulla validità della raccolta dei dati personali con anche la prova di Genuinità, in modo che l’azienda riesca a certificare la legittimità dei trattamenti svolti in caso di contestazioni, denunce o ispezioni.
10. Analisi dei rischi: La cybersecurity e la cyber data protection richiedono l’analisi dei rischi per identificare le minacce e le vulnerabilità ma mentre la prima è concentrata sui sistemi informatici, la seconda ha il focus anche sui processi.
11. Continuità aziendale: sia la cybersecurity che la cyber data protection si concentrano sulla continuità aziendale, per garantire che l’azienda possa continuare a operare in caso di incidenti; va considerato che per il GDPR l’onere della prova è in capo all’azienda e di conseguenza la cyber data protection si basa sulla prova di legittimità che, se viene persa (o non viene raccolta correttamente sin dall’inizio), non è più ricostruibile. Questa criticità fa dei Consensi, con le relative prove, una delle informazioni più critiche e preziose che l’azienda deve proteggere.
12. Privacy by design: anche per la cybersecurity è richiesta la privacy by design, ovvero la considerazione della privacy fin dalla fase di progettazione dei sistemi e dei servizi. In questo modo, si può prevenire la raccolta, l’utilizzo o la diffusione non autorizzata dei dati sensibili dell’azienda. Una buona architettura di cyber data protection offre all’azienda una piattaforma su cui capitalizzare in maniera efficace, semplice ed economica la privacy by design dei sistemi e processi attuali e futuri.
13. Condivisione dei dati: sia la cybersecurity che la cyber data protection richiedono attenzione alla condivisione dei dati tra diverse organizzazioni. Oltre alle problematiche di trasferimento extra UE dei dati, per la seconda nel processo di legittimazione della comunicazione dei dati a terzi viene coinvolto anche il cittadino attraverso l’informativa (con la raccolta della prova di presa visione) ed eventualmente il suo consenso, ad esempio se le finalità riguardano il marketing.
14. Compliance dei fornitori: la cybersecurity e la cyber data protection richiedono la compliance dei fornitori, ovvero la verifica che i fornitori di servizi terzi che accedono ai dati dell’azienda rispettino i requisiti di sicurezza e privacy. Per la cyber data protection la totale responsabilità della compliance dei fornitori è in capo all’azienda che ha l’obbligo di vigilare e nominare “responsabili esterno al trattamento” i fornitori che tratteranno per suo conto dati personali. La cybersecurity si concentra sulla sicurezza della catena di fornitura per prevenire gli attacchi informatici che potrebbero essere effettuati attraverso i fornitori, ad esempio attraverso la compromissione dei loro sistemi informatici. La cyber data protection, d’altra parte, si concentra sulla conformità alla normativa sulla privacy e alla sicurezza dei dati da parte dei fornitori.
15. La reportistica: la cybersecurity è orientata alla rilevazione degli eventi di sicurezza e all’identificazione di eventuali attacchi informatici con metriche finalizzate all’identificazione e alla mitigazione dei rischi di sicurezza. La reportistica della cyber data protection si concentra sulla conformità alla normativa sulla privacy e sulla gestione dei dati personali degli utenti. Le metriche per la cyber data protection sono orientate a misurare la conformità dei trattamenti aziendali, la liceità delle raccolte, la difendibilità, cliente per cliente, in caso di contestazioni, l’accuratezza dei dati personali e dei consensi. La reportistica della cyber data protection viene utilizzata per garantire la conformità alle normative sulla privacy e per dimostrare agli utenti e alle autorità di vigilanza che l’azienda sta gestendo correttamente i loro dati personali.
In sintesi, entrambe le aree si occupano della protezione dei dati ma mentre la cybersecurity si concentra sulla gestione dei rischi di sicurezza informatica, la cyber data protection si concentra sulla conformità alla normativa e sulla legittimità di utilizzo da parte dell’azienda.
Presidiare tutto il perimetro Cyber Critical

Per proteggere adeguatamente i propri dati è necessario presidiare tutto il perimetro cybercritico. Ma mentre per la cybersecurity le aziende hanno abbandonato da tempo sistemi fai-da-te per affidarsi a soluzioni altamente specializzate, per la cyber data protection l’utilizzo di strumenti non specifici è ancora molto frequente, come ad esempio l’utilizzo del CRM anche per gestire la privacy dei propri clienti.
Il CRM (come qualsiasi altro strumento non specifico per la cyber data protection) è stato progettato per sfruttare i dati personali, non per proteggerli.
Le soluzioni software specifiche per la cyber data protection sono in grado di garantire una reale tutela da contestazioni, denunce ed ispezioni rispetto ai software generici.
Ma la Cyber Data protection non è un tool ma un processo ed affidarsi a partner specializzati nella tutela e gestione dei dati offre all’azienda una maggiore protezione e sicurezza, consentendole di concentrarsi sul proprio business in maniera efficiente e soprattutto legale.
Conclusioni
In sintesi, la cyber data protection è altrettanto importante della cybersecurity per la protezione dei dati e quindi la tutela dell’azienda. Presidiare tutto il perimetro di criticità cyber significa utilizzare soluzioni specifiche, moderne e certificate sia per la cybersecurity che per la cyber data protection. La protezione dei dati nei processi quotidiani richiede una strategia completa e specifica, molto diversa da quanto si possa fare “in casa” senza l’ausilio di partner specializzati.