Il 2018 sarà un anno fondamentale per la sicurezza informatica e per i suoi risvolti normativi.
La applicabilità del Regolamento Europeo 679/2016 che riordina a livello europeo la normativa in materia di trattamento dati personali e che introduce, almeno per l’Italia, una più moderna e attuale concezione della sicurezza dei dati personali basata sull’analisi dei rischi, e quindi sulla auto-valutazione delle aziende e delle pubbliche amministrazioni, rappresenta un passaggio chiave prospetticamente.
Le aziende e le pubbliche amministrazioni saranno costrette d’ora in poi a ragionare in ottica by-design, con l’obbligo quindi di ideare, progettare e realizzare prodotti e servizi che permettono la generazione o il trattamento di dati personali tenendo conto dei diritti degli interessati e dei problemi di sicurezza.
LA SICUREZZA È IL CORE BUSINESS
La normativa europea si inserisce in un contesto di altre normative fortemente caratterizzate dal tema del rischio e in particolare del rischio informatico e della conseguente necessità di adottare misure adeguate e quindi stabilite autonomamente dal soggetto che le deve porre in essere in base a una sua propria valutazione autonoma (si pensi per esempio alla normativa NIS, alla Eidas).
Nel contesto attuale, peraltro, caratterizzato da un aumento esponenziale del rischio informatico e degli attacchi a tutti i livelli, la sicurezza è necessariamente un tema con cui si devono fare i conti. Anche da un punto di vista degli investimenti.
In un contesto di poche risorse in cui l’imprenditore o la pubblica amministrazione tendono a focalizzarsi su ciò che rappresenta il core-business, si deve considerare che la sicurezza è il core-business.
Così come la protezione del lavoratore è centrale in ogni politica di sana imprenditoria (ma la normativa a protezione dei lavoratori è mandatoria per evitare un aumento dei già sempre troppo alti incidenti sul lavoro) così deve diventare sentire comune la centralità del tema della sicurezza informatica in ogni attività pubblica e privata.
IL VIDEO
Cybersecurity, Gabriele Faggioli (Clusit): Non è solo questione di investimenti
POLITICHE DI SNELLIMENTO DEGLI ADEMPIMENTI INUTILI
E allora ciò che servirà saranno politiche di snellimento degli adempimenti inutili, eliminazione di ogni adempimento che rappresenti retaggio di momenti storici ormai passati (si pensi alla assurdità della ancora vigenza del famigerato provvedimento sugli amministratori di sistema) puntando invece su pochi adempimenti chiari e rilevanti possibilmente in ottica di linea guida e lasciando quindi, dove possibile, all’imprenditore e alla pubblica amministrazione la scelta di come porre in essere l’obbligo introdotto (esattamente come nel GDPR).
È auspicabile quindi che da un lato le norme di raccordo che l’Italia dovrà emanare fra attuale e futura normativa risultino chiare e pragmatiche e dall’altro che vengano fatte scelte di semplificazione per quei settori di mercato e per quelle pubbliche amministrazioni per le quali il dato personale non rappresenta la centralità del business.
Da un altro punto di vista è necessario rendere i servizi esternalizzati sempre più di alto livello e sicuri per permettere l’esternalizzazione della gestione delle infrastrutture e delle applicazioni, evoluzione necessaria per permettere alle aziende e alle pubbliche amministrazioni che non hanno sufficienti risorse di farsi proteggere dai soggetti che fanno della esternalizzazione e quindi della economia di scala il proprio business e che sono quindi dotati di capacità di investimenti adeguati.
LA NECESSITÀ DI FORMAZIONE
Infine la formazione. La educazione e la sensibilità nell’utilizzo delle tecnologie deve arrivare nelle scuole primarie in modo sistematico.
La capacità di comprendere le potenzialità e i rischi delle strumentazioni che ogni giorno vengono utilizzati è essenziale. Educazione e competenza devono essere quindi patrimonio di tutti, fin dalla infanzia. Per permettere a ciascuno di noi di sapersi difendere con aumento quindi esponenziale della difesa di tutta la collettività.
