









Studia grazie alle numerose risorse presenti su Docsity
Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium
Prepara i tuoi esami
Studia grazie alle numerose risorse presenti su Docsity
Prepara i tuoi esami con i documenti condivisi da studenti come te su Docsity
Trova i documenti specifici per gli esami della tua università
Preparati con lezioni e prove svolte basate sui programmi universitari!
Rispondi a reali domande d’esame e scopri la tua preparazione
Riassumi i tuoi documenti, fagli domande, convertili in quiz e mappe concettuali
Studia con prove svolte, tesine e consigli utili
Togliti ogni dubbio leggendo le risposte alle domande fatte da altri studenti come te
Esplora i documenti più scaricati per gli argomenti di studio più popolari
Ottieni i punti per scaricare
Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium
Cos'è, come funziona, legislazione.
Tipologia: Appunti
1 / 17
Questa pagina non è visibile nell’anteprima
Non perderti parti importanti!










Tre parti
sistema, all’ultimo software, quanto piuttosto al processo con cui il sistema viene gestito, dalla pianificazione, all’analisi del rischio, alla formazione del personale, quindi richiamando nuovamente la definizione della ISO sicurezza è un complesso studio, sviluppo, attuazione di strategie politiche e piani operativi con l’obiettivo di prevenire, fronteggiare e superare l’evento, cioè l’incidente informatico. → La sicurezza informatica ha l’obiettivo di salvaguardare i sistemi da potenziali rischi e violazione dei dati, mettendo in atto una serie di misure tecniche e organizzative per prevenire incidenti informatici e per reagire agli stessi in modo da ripristinare tempestivamente il sistema, quantificare i danni e rilevare eventuali responsabilità. → La sicurezza di un sistema informatico è molto legata al processo con cui il sistema viene gestito (pianificazione, analisi dei rischi, gestione dei sistemi, formazione del personale, ecc.) e limitatamente ai prodotti e alle tecnologie che vengono utilizzate. I paradigmi della sicurezza: chiarezza terminologica Con l’evoluzione della tecnologia anche i paradigmi della sicurezza informatica sono mutati e indice di questo cambiamento è anche l’introduzione di nuove espressioni, espressioni che vanno ad individuare elementi di protezione nuovi pur partendo da una base di obiettivi comuni. Mi riferisco in particolare ai termini di computer security, information security e cybersecurity che vengono talvolta utilizzati in maniera interscambiabile, come sinonimi, ma hanno un’accezione un po’ diversa, tra loro c’è qualche differenza.
relativi al paziente B e questo tipo di violazione è la violazione di due dei requisiti: sia la riservatezza dei dati del paziente B verso il paziente A che ne viene a conoscenza e viceversa il paziente B ha una violazione di disponibilità, cioè non viene a conoscenza di dati che invece sono importanti per la sua salute. Tre direttrici Ad un altro livello di astrazione la sicurezza informativa si estrinseca in 3 direttrici fondamentali:
Sistemi (server): Sono i sistemi che svolgono servizi per migliorare l’organizzazione del lavoro (mail, server print, database, applicazione) Sistemi (workstations/endpoint): Sono i sistemi che le persone usano per connettersi a altre risorse e per compiere i loro compiti Applicazioni: Programmi che risiedono su sistemi sui server e abilitano specifiche funzioni, come e- Commerce, traccia delle vendite ecc. Processi: Entità non tecnologiche che definiscono come gli strumenti tecnologici vengono utilizzati. Anche se non riguardano specificatamente la difesa un gap tra policy e processo crea una vulnerabilità Persone: da chi gestisce la sicurezza (amministratore di sistema) a tutti gli operatori.
2. Minacce, Vulnerabilità e Rischi È estremante difficile raggiungere la protezione totale del dato informatico nella società di oggi, sostanzialmente per una serie di motivi: innanzitutto i sistemi informatici che utilizziamo oggi sono sistemi molto complessi e quindi maggiormente insicuri rispetto ai sistemi che si utilizzavano fino a qualche anno fa. Mi riferisco alle vulnerabilità collegate ai dispositivi mobile che impiegano app non sempre adeguata dai gestori e che fanno circolare grandi quantità di informazioni con funzionalità avanzate o all’uso di protocolli di trasmissione come Wi-Fi e Bluetooth non riservati e quindi spesso condivisi in luoghi pubblici con altri utenti, ma anche vulnerabilità legate alle architetture di tipo cloud, o legate all’IOT dove le lacune di sicurezza vengono sfruttate dagli aggressori per introdursi attraverso oggetti di largo utilizzo, come le console giochi o i router domestici, introdursi negli ambienti domestici, nella sfera personale dell’utente, dell’utilizzatore, con l’obiettivo di impadronirsi di informazioni personali. Per raggiungere la protezione del dato, sia esso personale o professionale, abbiamo strumenti appositi tecnologicamente anche avanzati (i firewall, la cifratura, virus, software), ma da soli non sono sufficienti perché è necessario anche mettere in atto comportamenti adeguati → la persona che utilizza i sistemi deve preventivamente analizzare il rischio dei suoi comportamenti e utilizzare in maniera corretta e consapevole gli strumenti. Per mettere in atto una analisi dei rischi è necessario identificare e valutare le minacce, le vulnerabilità del sistema informatico che dobbiamo proteggere. I concetti di minaccia e vulnerabilità sono concetti basilari nell’information security. La minaccia rappresenta un’azione, accidentale o deliberata, che può portare (non necessariamente porta) alla violazione di uno o più obiettivi di sicurezza definiti (* violazione dei dati personali). «violazione dei dati personali»: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati (Art. 4 Definizioni). Non ogni minaccia si traduce in un attacco e non tutti gli attacchi riescono. La vulnerabilità è “un difetto o una debolezza nella progettazione, nell’implementazione o nel funzionamento e nella gestione che potrebbe essere sfruttato per violare la politica di sicurezza del sistema” (RFC Internet security Glossary). ISO 27000 Vulnerabilità la “debolezza di un asset o di un controllo che può essere sfruttata da una o più minacce”. Un asset è qualsiasi oggetto che abbia valore per il sistema o per l’organizzazione. Un sistema può avere più tipi di vulnerabilità, la maggior parte dei sistemi ha una o più vulnerabilità, ma questo non significa che i sistemi siano imperfetti per l’uso, ci sono vulnerabilità che vengono attivamente utilizzate e sfruttate dalle minacce e vulnerabilità che non vengono mai sfruttate. Il concetto di sicurezza informatica è strettamente legato al concetto di rischio.
Il susseguirsi di attacchi informatici, anche di grande entità, ha senza dubbio aumentato la consapevolezza della vulnerabilità di soggetti diversi come i privati, le persone, le imprese, gli enti pubblici, le istituzioni e le organizzazioni. È interessante rilevare che il rapporto del World Economic Forum del 2019 sui rischi globali ha classificato gli attacchi informatici tra i primi 10 rischi globali di maggiore impatto. Questi sono alcuni grafici presi dal rapporto sulla sicurezza informatica del CLUSIT (associazione italiana per la sicurezza informatica) che periodicamente fornisce dati riguardo ai principali attacchi informatici nel nostro paese, attacchi informatici gravi, in termini di danni economici, di reputazione o di diffusione di dati strategici, sensibili o personali. Queste grafiche si riferiscono agli ultimi 5 anni, non sono le uniche statistiche, gli unici rapporti sulla sicurezza informatica disponibile, ce ne sono svariati. Quello che è interessante mostrare, oltra alla quantificazione degli attacchi, è una analisi della tipologia degli attacchi, anche se presentare un quadro sistematico di minacce che mutano geneticamente in maniera dinamica sicuramente non è semplice. Gli aspetti più nuovi e problematici sono forse quelli legati alle cyberwar – guerre cyber e alle guerre delle informazioni, sono guerre che modificano i rapporti fra gli stati in modo non percepibile immediatamente, senza provocare un allarme particolare nell’opinione pubblica e sfruttano la simmetria tecnologica e anche una difficoltà nell’attribuire l’azione offensiva. Il controllo delle informazioni, cioè l’information welfare, non riguarda però solo l’ambito militare, ma si manifesta soprattutto in altri ambiti, questo proprio facendo leva sulla pervasività di internet e sulla sua crescente rilevanza nella formazione dell’opinione pubblica. Si manifesta in altri ambiti, per esempio nell’economia, nella politica, nella vita sociale, attraverso la diffusione di fake-news, trolls, che propagano informazioni manipolate sulla rete che poi vengono amplificate dai social network. A queste minacce se ne aggiunge un’altra che non è una vera e propria minaccia cibernetica, nel senso che non nasconde un attacco, un attaccante, ma va tenuta in considerazione, è quella del cosiddetto “capitalismo della sorveglianza”, basato sullo sfruttamento delle tecnologie digitarli volte a controllare in maniera totale le vite, le scelte, gli orientamenti politici, di consumo, degli individui sulla base dei loro interessi economici e questo messo in atto da poche multinazionali, i cosiddetti “signori dei dati” che si avvantaggiano della asimmetria informativa e della scarsa consapevolezza degli utenti della rete. Accanto a queste minacce, nella slide citato anche il machine learning o più ampiamente l’intelligenza artificiale, i sistemi di intelligenza artificiale che hanno un duplice problema: da un lato sono sistemi particolarmente vulnerabili basati su algoritmi e metodologie di progettazione che richiedono sistemi e strumenti di sicurezza un po’ diversi da quelli tradizionali, d’altro canto l’intelligenza artificiale offre anche nuovi modi per condurre i cosiddetti attacchi cyber, sfruttando
la capacità di questi sistemi di identificare vulnerabilità che potrebbero sfuggire ad un essere umano e quindi anche la capacità di realizzare malware autonomi, o di utilizzare gli stessi paradigmi del machine learning in maniera avversa. Quindi una deriva verso uno cyber-spazio dominato dall’intelligenza artificiale insicuro e instabile è sicuramente uno scenario che desta qualche preoccupazione. Altre attività in forte aumento che vengono segnalate dai rapporti sugli incidenti informatici più recenti sono le attività di spionaggio e di cyber-spionaggio o di sabotaggio che sono attività indirizzate sostanzialmente alle imprese, alle aziende, alle organizzazioni, proprio con lo scopo di acquisire informazioni industriali, commerciali, o relativi al know-how, decretando in questo modo anche il fallimento di aziende attraverso sia il furto di dati importanti, rilevanti, sia attraverso danni di immagine o danni a carattere organizzativo. Oltre a questo è sempre quantitativamente rilevante l’impatto del cybercrime che attraverso truffe on line, frodi, estorsioni, ricatti, furti di identità, colpisce in particolare facendo leva sul fattore umano che è l’anello debole della catena, sulle persone, sugli utenti, sugli utilizzatori dei sistemi, e attacchi e truffe che vengono utilizzati e portati avanti con varie forme e con varie tecniche. Tipologie di attacchi esterni Le aggressioni, gli attacchi esterni si basano sullo sfruttamento di vulnerabilità, che sono lacune di sicurezza dei sistemi informatici, attacchi in grado di sfruttare le debolezze dei programmi, attacchi in grado di sfruttare le connessioni di rete, le porte di accesso ai sistemi target, attacchi condotti attraverso i cosiddetti software malevoli (virus, trojan, spyware, ransomware, ecc.) ma anche attacchi al fattore debole della sicurezza informatica, della catena di sicurezza informatica che è l’essere umano, quindi in particolare gli attacchi di social engineering che hanno l’obiettivo di sfruttare la scarsa consapevolezza della riservatezza delle informazioni da parte dell’utente, della persona o del collaboratore di un’organizzazione. La vulnerabilità delle persone, in particolare è correlata al grado di competenza tecnica, alla percezione del rischio che esse hanno e spesso il rischio connesso ad un uso improprio di dati personali viene trascurato, mentre sono percepiti dalle persone in maniera più chiara i rischi relativi ad un ransomware, la cifratura con riscatto dei propri dati personali o ad una estorsione, meno percepito il rischio connesso all’utilizzo improprio dei dati personali, che invece ha delle conseguenze anche drammatiche, gravi, in termini di costruzione dell’identità personale, in termini di web reputation, di profilazione e anche di esposizione al cyber crimine. ➢ Attacchi in grado di sfruttare specifiche debolezze di un programma software: exploit, buffer overflow, cracking ➢ Attacchi in grado di sfruttare connessioni di rete e porte di accesso al sistema target o di intervenire sul traffico in transito: backdoor, port scanning, sniffing, keylogging, spoofing, DoS/DDooS ➢ Attacchi condotti con l’utilizzo di software malevolo: virus, trojan, spyware, ransomware ➢ Attacchi di social engineering, con l’obiettivo di sfruttare la scarsa consapevolezza della riservatezza delle informazioni apparentemente non critiche da parte del personale di un’organizzazione, per accedere ad informazioni riservate: phishing e Business E-mail Compromise, chiavette USB che veicolano Trojan, ecc. Cybersecurity e COVID Per chiudere non possiamo non fare riferimento ai molteplici tentativi di phishing, furti di credenziali, di truffe on line, che sfruttano la paura delle persone e l’esigenza di avere informazioni in merito all’emergenza sanitaria.
➢ Direttiva 90/388/CE “ Concorrenza nei mercati dei servizi di telecomunicazioni” ; In questa direzione poi si colloca la direttiva 9 7 /66/CE sul trattamento dei dati personali nel settore delle telecomunicazioni e una successiva del 2002, la 58 del 2002, che contiene un nucleo di quelle disposizioni che sono confluite poi nel codice privacy. La sicurezza informatica era incentrata sul concetto di sicurezza dei sistemi e delle reti di comunicazione. Requisiti fondamentali:
protezione dei diritti, disuguaglianze, controllo sociale, la necessità di garantire diritti di cittadinanza digitale, insomma in tutto ciò diventa essenziale che i pubblici poteri stabiliscano quelli che sono i principi e le direttrici del governo dei dati, proprio onde evitare rischi per la violazione del sistema dei diritti e delle libertà fondamentali e gravi conseguenze per la comunità, per le istituzioni, per le imprese. In questo nucleo di provvedimenti abbiamo alcune norme fondamentali, primo fra tutti il regolamento generale per la protezione dei dati personali, ma oltre a questo, o in affiancamento a questo, abbiamo una serie di norme che vanno proprio nella direzione di creare fiducia da parte degli operatori e dei consumatori, quindi un approccio globale al tema della cybersecurity anche in riferimento all’identificazione elettronica, a garantire un trattamento equo e non discriminatorio del traffico nella fornitura di servizi di accesso ad Internet, a tutti quegli strumenti giuridici e tecnici che consentono l’identificazione elettronica e lo sviluppo di trust nei servizi, nelle transazioni elettroniche del mercato interno. Assieme a questi provvedimenti che ispirano la base di questi provvedimenti abbiamo anche le linee guida dell’OCSE del 2015 e le linee impostate sulla gestione del rischio digitale per incentivare quella che è la prosperità sociale ed economica. ➢ Regolamento (UE) 2015/2120 che stabilisce misure riguardanti l’accesso a un’Internet aperta e che modifica la direttiva 2002/22/CE relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica e il regolamento (UE) n.531/2012 relativo al roaming sulle reti pubbliche di comunicazioni mobili all’interno dell’Unione: Garantire il funzionamento dell’ecosistema di Internet quale volano dell’innovazione ➢ Linee guida Ocse 2015 sulla gestione del rischio digitale per la prosperità sociale e economica ➢ Regolamento eIDAS, electronic IDentification Authentication and Signature: regolamento in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche del mercato interno. ➢ Regolamento UE 679/2016 (GDPR) → Provvedimenti orientati a creare fiducia da parte degli operatori e dei consumatori La sicurezza informatica: Approccio globale alla Cybersecurity È interessante anche dare uno sguardo un po’ più ampio a quelle iniziative legislative comunitarie che si sono concentrate sul concetto di cybersecurity nel senso ampio come governance dei rischi del cyberspazio. In questo senso alla convenzione di Budapest del 2001 sono seguite una serie di iniziative dell’UE frammentarie ma che sicuramente pongono la sicurezza informatica tra gli obiettivi centrali dell’unione, sicuramente l’istituzione dell’ENISA (Agenzia europea per la sicurezza delle informazioni e delle reti), poi anche l’istituzione della European Cybercrime Centre (EC3) di Europol, e anche non da ultimo la creazione di un gruppo di risposta agli incidenti informatici all’interno dell’UE (CERT-EU). Assistiamo però ad un vero e proprio cambio di paradigma solamente a partire dal 2013 con la Cybersecurity Strategy - “Strategia dell’Unione europea per la cybersecurity: un ciberspazio aperto e sicuro” → questa strategia adotta un approccio top/down in cui l’Unione ricorda agli stati membri che è necessario un livello di sicurezza elevato non solo allo scopo di mantenere i servizi essenziali e il funzionamento della società e dell’economia e quindi richiamiamo la strategia del digital single market, ma anche allo scopo di salvaguardare l’integrità fisica dei cittadini. Questa strategia confluisce in due provvedimenti importanti: uno è il GDPR cioè il regolamento generale per la protezione dei dati personali e parallelamente la direttiva NIS – Direttiva UE 2016/1148 recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi
personale; ma poi a discendere da questa troviamo la direttiva 95/46/CE e la Direttiva 97/66/CE e la successiva Direttiva 2002/58/CE sul “trattamento dei dati personali e sulla tutela della vita privata nel settore delle telecomunicazioni” che dispongono l’adozione di misure tecniche e organizzative appropriate al fine di garantire la protezione dei dati personali dalla distruzione accidentale o illecita, dalla perdita accidentale o dall’alterazione, dalla diffusione o dall’accesso non autorizzati, segnatamente quando il trattamento comporta trasmissioni di dati all’interno di una rete, o da qualsiasi altra forma illecita di trattamento dei dati personali (Art.17 – sicurezza del trattamento) Le misure di sicurezza hanno lo scopo di evitare, per quanto possibile, la lesione dei diritti tutelati nonché la violazione delle norme sulla modalità del trattamento, per apprestare una tutela preventiva, e non solo sanzionatoria, dei diritti stessi. In linea evolutiva con i precedenti interventi troviamo il D.lgs. 196/2003 (Codice privacy) che rivela tuttavia finalità maggiormente precettive in riferimento agli obblighi di sicurezza, troviamo infatti in questo decreto l’influsso di standard tecnici specialistici dell’ISO che a partire dal ISO/IEC 17799 del 2000 e le linee guida dell’Ocse del 2002 sulla sicurezza dei sistemi e delle reti di informazioni. In questo decreto, in particolare, sono previsti due livelli di sicurezza: le misure minime di sicurezza (art 33 e ss.) e le misure idonee e preventive di sicurezza (art. 31) finalizzate a “ ridurre al minimo […] i rischi di distruzione o perdita, anche accidentale, dei dati […], di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta ” → le misure minime sono volte ad assicurare un livello minimo di sicurezza – le misure idonee sono adottate dal titolare tenendo conto di: 1) progresso tecnico, 2) natura dei dati oggetto del trattamento, 3) specifiche caratteristiche del trattamento. Misure minime di sicurezza sono un set di misure che devono necessariamente essere adottate dal titolare del trattamento dei dati e servono, hanno lo scopo di assicurare un livello minimo di sicurezza, queste misure sono effettivamente enucleate dal codice privacy, cioè il codice privacy dispone ed elenca in maniera dettagliata e abbastanza precisa quali misure di sicurezza il titolare del trattamento deve obbligatoriamente adottare. Le misure idonee invece sono qualcosa di aggiuntivo, sono adottate dal titolare tenendo conto di una serie di fattori, cioè in particolare del progresso tecnologico, quindi degli strumenti che la tecnica mette a disposizione per proteggere i dati, dalla natura dei dati che vengono trattati e quindi oggetto del trattamento e anche dalle specifiche caratteristiche del trattamento, quindi in qualche modo connesso con i rischi insiti nel trattamento stesso. Abbiamo dunque una visione della sicurezza informatica nuova, di tipo progettuale, la sicurezza come un processo, che deve essere implementato e accompagnare lo sviluppo dei sistemi e tutta la vita del trattamento del dato, tutta la vita del dato digitale, dal momento in cui viene raccolto fino a quando viene cancellato e non è più necessario il trattamento. Queste le misure di sicurezza minime (ex art. 34 Codice privacy) che dispone come obbligatorie per il trattamento di dati personali. Sono misure molto specifiche da un punto di vista tecnico: a) Autenticazione informatica b) Adozione di procedure di gestione delle credenziali di autenticazione c) Utilizzazione di un sistema di autorizzazione d) Aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici e) Protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici f) Adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi g) Adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari
Sono comunque una serie di misure che normalmente vengono applicate, vengono ancora applicate al buon senso, per qualsiasi trattamento di dati, anche a prescindere dai dati personali che sono un po’ il cuore della sicurezza informatica. (Indicazioni specifiche sono contenute nel Disciplinare tecnico - Allegato B) Le misure di sicurezza nel GDPR Arriviamo infine al regolamento generale per la protezione dei dati personali che si discosta in parte dall’approccio delle norme precedenti introducendo un approccio sostanziale alla protezione dei dati, sempre a partire dalla considerazione che sia necessario elevare la protezione dei dati nell’ambito della società digitale allo scopo di creare un clima di fiducia che consenta lo sviluppo dell’economia digitale in tutto il mercato interno. Il regolamento europeo amplia i diritti dell’interessato in termini di diritti di rettifica, di portabilità dei dati, di diritto all’oblio e affianco a questo ampliamento dei diritti troviamo un nuovo approccio alla sicurezza informatica orientata al rischio, introduce infatti in capo al titolare l’obbligo di analisi dei rischi e anche gli obblighi di notifica dell’autorità garante e di comunicazione all’interessato nel caso in cui i dati personali siano violati e questa violazione rappresenti dei rischi per i diritti e le libertà delle persone fisiche. Questo è un punto molto importante del nuovo regolamento europeo ed è interessante notare che abbiamo un cambio di prospettiva rispetto al codice privacy infatti il regolamento non fornisce più un elenco di misure minime da adottare, ma sposta la scelta e anche la responsabilità sul titolare del trattamento che deve valutare quali misure tecniche organizzative sia opportuno mettere in atto per garantire e quindi anche essere in grado di dimostrare nel caso di verifica o di data brige che il trattamento è effettuato in modo conforme al regolamento. Questo è il cosiddetto principio di accountability, il cuore del regolamento europeo per la protezione dei dati personali che prevede proprio il passaggio da un mero adempimento dell’applicazione delle misure tecniche ad un approccio sostanziale alla protezione dei dati. Lo scopo del regolamento è tutelare il valore del dato in sé, questo anche però indipendentemente dalla tutela dei diritti dei singoli interessati. ➢ Le misure di sicurezza hanno un ruolo di particolare rilievo. ➢ I considerando 6 e 7 ribadiscono la necessità di elevare la protezione dei dati nell’ambito di una società digitale che utilizza tecnologie che consentono “ tanto alle imprese private quanto alle autorità pubbliche di utilizzare dati personali come mai in precedenza nello svolgimento della loro attività ”. ➢ L’obiettivo è creare un “ clima di fiducia che consentirà lo sviluppo dell’economia digitale in tutto il mercato interno ”. ➢ Il Regolamento cambia prospettiva rispetto al Codice privacy: non fornisce più al titolare una lista di misure da attuare ma sposta la scelta e la responsabilità su quali misure tecniche e organizzative sia opportuno adottare sul titolare del trattamento, in ragione del rischio. ➢ Lo scopo del regolamento è la tutela del valore del dato in sé, anche indipendente dalla tutela dei diritti dei singoli interessati. ➢ Particolarmente orientato ai trattamenti massivi dei dati: misure di sicurezza pensate per trattamenti massivi di dati: Pseudonomizzazione e cifrature. Articolo 32 Sicurezza del trattamento
finalità, l’ambito del trattamento e i rischi, i rischi per i diritti e le libertà delle persone. Quindi il perno, il cuore, delle scelte del titolare sta nell’analisi del rischio, nella valutazione del rischio connesse al trattamento, in ragione della natura del trattamento e dei rischi di violazione e dell’entità del danno causato da un eventuale incidente informatico o violazione dei dati. Dopodiché per garantire un livello di sicurezza adeguato al rischio il titolare e il responsabile valutano quali misure tecniche o organizzative mettere in atto. Queste misure tecniche o organizzative comprendono se del caso, tra le altre, quindi non abbiamo un elenco puntuale di misure che devono essere messe in atto, quindi di adempimenti, ma un’elencazione ampia dei punti, però questi punti in realtà comprendono un universo estremamente vasto e ampio di strumenti, di modelli operativi, di architetture e di soluzioni tecniche, cioè richiamano tutto il cuore dell’information security. Nei 4 punti solo 2 riguardano specifiche misure tecniche la pseudonimizzazione e la cifratura, sono due metodologie di protezione dei dati che sono utilizzate in particolar modo, sono particolarmente utili nel caso di trattamenti massivi dei dati e questo è un po’ l’obiettivo del GDPR, cioè proteggere il dato personale anche nei contesti big data, nei contesti di fonti di dati eterogenee espanse. Queste due tecniche sono la pseudonimizzazione e la cifratura che sono metodologie, entrambe, che di fatto puntano a rendere il dato non immediatamente intellegibile anche nel caso di violazione dei sistemi e di diffusione di dati personali: la cifratura rende il dato non comprensibile ad un terzo soggetto che non possieda le chiavi di decifratura del dato, lo trasforma non rendendolo intellegibile, la pseudonimizzazione invece è una tecnica basata sulla separazione dell’aspetto contenutistico del dato dall’identificativo, quindi nel caso in cui venga reso noto il contenuto, qualcuno riesca in qualche modo ad accedere al contenuto del dato, non riesca immediatamente ad identificare il soggetto. ATTENZIONE! È diverso dal concetto di dato anonimo, questo è un dato che non è anonimo, semplicemente separiamo gli identificatori per proteggere il contenuto del dato. Il regolamento ci indica poi che gli strumenti che devono essere adottati devono avere la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi nonché essere in grado di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di un incidente fisico o tecnico. Qui abbiamo appunto tutto il cuore dell’information security, i tre requisiti, la triade RID (riservatezza, integrità, disponibilità del dato) che sono alla base del trattamento sicuro dei dati informatici. Altro punto interessante è che il titolare deve essere in grado di modificare nel tempo l’efficacia delle misure che ha adottato, cioè di giustificare le sue scelte e verificare che le misure adottate siano efficaci e funzionanti. Per questo motivo abbiamo anche l’indicazione di adottare, di sviluppare procedure per testare e verificare e valutare correttamente l’efficacia delle misure tecniche organizzative per garantire la sicurezza del trattamento. Quindi di fatto la sicurezza tecnologica diventa una conseguenza dell’obbligo di protezione del dato, però ognuno dei requisiti poi elencati e previsti dal regolamento è possibile individuare, elencare, una serie di contromisure che, se adottate, pianificate attraverso politiche adeguate, sono in grado di proteggere il sistema anche a scopo preventivo. Requisito 1: Confidenzialità o riservatezza ➢ Violazione della confidenzialità: accidentale o non autorizzata divulgazione o accesso ai dati personali ➢ La confidenzialità deve essere assicurata sia in fase di memorizzazione, sia in fase di elaborazione, sia in fase di trasmissione. Contromisure: