Privacy dei dati, violazioni, il loro impatto e le discipline necessarie per migliorare la tua postura cyber-resiliente

0
Letto 3.146 volte
Dirk Schrader (CISSP/CISM)
Global VP of Marketing
NNT – New Net Technologies now part of Netwrix

Per molti, la sicurezza informatica è ancora vista come un costo e non come un fattore abilitante della resilienza aziendale. Il rovescio della medaglia è che – secondo recenti ricerche di IBM e Ponemon – un’organizzazione preparata ad un attacco informatico e a una violazione dei dati dovrà sopportare un impatto drasticamente inferiore, due milioni di dollari in media in meno rispetto alle aziende impreparate. Vediamo quali sono le tre discipline che possono aiutare la tua azienda ad essere ben preparata.

Negli ultimi cinque anni, è possibile fare un elenco “impressionante” di violazioni dei dati di rilievo. Tra questi, solo per citarne alcuni, ci sono:

  • Equifax, esposti i dati di credito di oltre 147 milioni di cittadini;
  • Uber, compromessi i nomi, gli indirizzi e-mail e i numeri di telefono di 50 milioni di clienti;
  • Marriott, in cui gli hacker hanno avuto accesso alle informazioni personali di 500 milioni di ospiti(si noti che Marriott ha dovuto annunciare un’altra grande violazione pochi anni dopo);
  • Capital One, con 105 milioni di record dei clienti interessati;
  • la nostra ricerca nel Health Care sector, che ha scoperto milioni di cartelle cliniche in oltre 160 installazioni non protette.

Naturalmente, questo elenco è in qualche modo casuale e ci sono molti altri casi, grandi e piccoli, che possono essere nominati nel contesto di dove queste organizzazioni si trovano per quanto riguarda le discipline necessarie per migliorare la resilienza informatica, oltre alla possibilità di prevenire, rilevare, rispondere e recuperare da un attacco informatico o da una violazione dei dati.

Gli utenti e i consumatori finali tendono ad avere un atteggiamento di negligenza nei confronti dei propri dati, con la nozione di “Non ho nulla da nascondere”, “Non mi succederà” o “Cosa possono fare comunque con i miei dati?”.

La risposta all’ultima domanda, a quanto pare è “molto” se  e vero che i dati sono letterlamente il “nuovo petrolio” per i modelli di business digitalizzati e se un’azienda non sta facendo del suo meglio per proteggerli da furto, copiatura e criptazione per un riscatto.

Ecco la tua prima disciplina, sapere quali dati hai, quale valore hanno per la tua organizzazione, quanto sono sensibili quei dati per coloro che te li hanno dati. Se hai raccolto milioni di nomi, indirizzi e altri dati personali individuali, un singolo record potrebbe non essere considerato di valore per te, ma lo sarà per la persona o l’organizzazione che te l’ha dato.

La disciplina in questo settore si traduce in fiducia dei consumatori. Se i clienti che ti affidano i loro dati sono consapevoli che mantieni una governance robusta e disciplinata (e sei trasparente su di essa dove necessario per motivi di conformità) quando si tratta di protezione dei dati, non solo ti fa guadagnare fiducia, ma ovviamente riduce il potenziale di interruzioni e danni in linea con la criticità di ogni processo che supporta le varie funzioni aziendali.

Ecco la seconda disciplina: non smettere di scavare in profondità in quei processi interni e raccogliere quante più informazioni possibili sui sistemi in uso e su come supportano ogni fase. I dettagli devono includere ma non essere limitati a: Lo stato di ciascuno, quanto sono vulnerabili, la frequenza con cui si verificano cambiamenti imprevisti. Ciò costruirà una base solida e necessaria per proteggere completamente i processi aziendali.

La resilienza informatica riguarda il raggiungimento e il mantenimento dello status di un’azienda in modo che possa essere in grado di sopportare un attacco, rimanere a galla, mantenere l’operatività, anche se limitata – e per superare gli attacchi informatici. La “Sicurezza IT” per comprendere i processi aziendali, ha necessità di sapere su cosa si basa l’azienda per generare il proprio valore aggiunto, al fine di fornire una protezione misurata e adatta allo scopo, alle risorse e ai processi critici, contestualmente altre risorse potrebbero ricevere una protezione minore. In questo accetta che si verifichino incidenti e che la preparazione deve coinvolgere non solo l’IT, ma tutti i dipartimenti.

Quanto sopra riflette la terza disciplina. La sicurezza IT funzionerà con altri responsabili del reparto per capire cosa li guida, come vengono misurati e come l’IT può aiutarli a raggiungere i propri obiettivi in un normale funzionamento e quale sarebbe l’impatto se l’IT non fosse disponibile per qualche motivo.

Naturalmente, un comitato può facilitare tale cooperazione, incoraggiandola e sponsorizzarla, ma soprattutto fissando gli obiettivi giusti.

Come risultato di queste tre discipline IT e IT Security saranno visti come un abilitatore aziendale, in grado di individuare e lanciare iniziative che migliorano il business nel suo complesso, non solo un singolo sistema o qualcosa isolato all’interno dell’organizzazione. Migliorare i sistemi e i processi aziendali, esaminando tutti gli aspetti del business al fine di creare resilienza, creare sistemi cyber resilienti e flussi di lavoro dei dati che supportano i processi aziendali vitali di un’azienda e ne assicurano la generazione di valore. E l’impatto positivo non si ferma qui. Essere diligenti all’interno di queste tre discipline migliorerà la tua conformità continua, la tua capacità di aderire a normative e standard come PCI-DSS, CCPA o GDPR.

Mostreranno ai tuoi clienti che prendi davvero sul serio la loro privacy dei dati e la tua sicurezza informatica.

SecureOps™ e NNT’s Change Tracker sono elementi vitali in queste tre discipline in quanto ti aiuteranno a prevenire, rilevare e rispondere a una violazione dei dati.