Madrid, 28 settembre 2023. Nel dinamico mondo imprenditoriale di oggi, la sicurezza dei dati è una preoccupazione che non può essere sottovalutata. La pandemia ha favorito l’adozione di massa di dispositivi connessi, portando a un aumento significativo degli attacchi informatici. Studi recenti indicano un nuovo attacco informatico ogni 39 secondi.
Il furto o la violazione di credenziali è all’origine di quasi la metà delle violazioni di sicurezza segnalate nella prima metà dell’anno. In questo nuovo contesto le aziende devono affrontare questo problema in modo pratico ed efficiente.
La sicurezza, una priorità corporativa
La sicurezza non è solo una preoccupazione, ma è diventata un’esigenza prevalente per le organizzazioni. Le conseguenze di una violazione della sicurezza dei dati possono mettere a dura prova le attività delle aziende, i loro clienti e la loro reputazione. Pertanto, i rischi che si corrono quando si implementano o meno misure in grado di rilevare o ridurre tali minacce devono essere attentamente calibrati. Il costante aumento di attacchi ransomware o phishing dimostra quanto sia cruciale per le aziende rivalutare continuamente le proprie strategie di sicurezza.
Uno dei cavalli di battaglia delle aziende è proprio determinare se le risorse destinate alla sicurezza dei dati sono sufficienti. Ciò implica una costante analisi dei rischi e la necessità di sensibilizzare l’alta direzione sull’importanza della sicurezza nella loro lista di priorità.
La gestione della sicurezza non ricade unicamente nell’area Tecnologia, ma coinvolge diverse aree aziendali. In caso di ‘data Breach’ è necessario seguire un processo completo e coordinato che si compone di quattro fasi: Pianificazione, Gestione, Notifica e Risoluzione, come stabilito nella II Guida [pratica] per la gestione delle violazioni dei dati personali recentemente pubblicata, che Javier Lomas, DPO del Gruppo Codere, ha coordinato personalmente per l’ISMS Forum e il Data Privacy Institute.
Secondo Javier Lomas, DPO del Gruppo Codere: “Non tutte le violazioni di sicurezza sono una violazione dei dati, ma ogni violazione dei dati personali è una violazione di sicurezza. Il Regolamento generale (europeo) sulla protezione dei dati, o GDPR, richiede una pianificazione, piani e registrazioni meticolosi da parte delle aziende in relazione alle violazioni della sicurezza. Pertanto, la nostra capacità di risposta per ridurre al minimo l’impatto e le possibili sanzioni deve essere molto rapida, poiché la normativa spagnola prevede 72 ore per l’identificazione e la notifica all’Agenzia per la protezione dei dati”.
La velocità è fondamentale nell’affrontare le violazioni di sicurezza, il che sottolinea l’importanza di un coordinamento interno efficace e di un lavoro collaborativo per linitare gli effetti e applicare i protocolli appropriati.
Le tre linee di difesa per una protezione integrale
Come abbiamo visto, la sicurezza non può essere improvvisata quando si verifica una violazione. Pertanto, è fondamentale mantenere aggiornate le procedure e adattarle a ciascuna tipologia di violazione. Molte aziende, tra cui Codere, adottano un modello di protezione che si basa su tre linee di difesa per un maggiore controllo:
- Prima linea: include i responsabili della protezione dei dati in aree quali operazioni, legale, marketing, acquisti e risorse umane, nonché coloro che implementano e bloccano le minacce, come il team IT e l’ISMS (Information Security Management System).
- Seconda Linea: Costituita dall’area compliance del DPO, che consiglia e supervisiona la prima linea su come rispettare la protezione dei dati.
- Terza linea: Costituita dall’area Internal Audit, incaricata di verificare se la prima linea ha attuato le misure raccomandate dalla seconda.
Promuovere la “consapevolezza”
La sicurezza contro gli attacchi non richiede solo barriere tecnologiche, ma anche una solida cultura aziendale che comprenda la sicurezza come responsabilità di tutti. Per questo motivo è fondamentale che tutti i membri dell’organizzazione conoscano e adottino le migliori pratiche nell’utilizzo di apparecchiature e sistemi, oltre a ricevere formazione su campagne di sensibilizzazione sulla privacy, sulla sicurezza e sulle normative interne.
Le aree Cybersecurity e Data Protection di Codere insistono proprio su questo aspetto, per evitare che la somma di piccole disattenzioni quotidiane, come aprire un’email malevola o cliccare su un link sconosciuto, apra la porta ad attività fraudolente.
Sviluppo di un quadro globale
Codere opera in aree geografiche come Spagna e Italia, che condividono un quadro europeo comune per la protezione dei dati, anche se con sfumature diverse. Tuttavia, in America Latina, la regolamentazione è meno uniforme ed è spesso regolata da normative locali meno approfondite. Pertanto, il Gruppo Codere adotta una posizione globale per armonizzare gli standard di conformità, unificare i criteri e aumentare la consapevolezza interna sulle questioni di sicurezza.
Nell’ambito di questa strategia, è in corso una revisione approfondita delle politiche di ogni paese attraverso assessments, per identificare i requisiti normativi, garantire la conformità e nominare i responsabili all’interno dell’organizzazione. Questo duro lavoro rafforza la protezione dell’azienda e prepara il terreno per un’azione più coordinata a livello di gruppo nel futuro.
