Il commento di Adenike Cosgrove, cybersecurity strategist, international di Proofpoint:
“Il Data Privacy Day offre alle organizzazioni un momento importante per riflettere se stanno facendo davvero abbastanza per proteggere i dati dei loro clienti dalle minacce IT. Anche se le normative sulla sicurezza delle informazioni, come il GDPR, hanno favorito l’avvio di dibattiti e conversazioni e portato le aziende a pensare in modo diverso alla protezione, siamo solo al punto di partenza. Il fatto che un’azienda sia conforme a un regolamento non significa necessariamente che stia facendo tutto il possibile per proteggere i dati dei propri clienti. Ad esempio, secondo il GDPR, il principio di integrità e riservatezza stabilisce che le organizzazioni debbano attuare “adeguati controlli di sicurezza” per salvaguardare i dati personali. Tuttavia, il regolamento non definisce cosa significhi realmente “adeguato”. Un’organizzazione potrebbe sostenere che l’implementazione di un antivirus di base e di corsi di formazione annuali sulla sicurezza dei dati per il personale siano “adeguati”. Questo può essere tecnicamente conforme alle normative, ma è davvero sufficiente a mantenere i dati al sicuro da attacchi dolosi e violazioni? Il panorama attuale delle minacce informatiche è cambiato radicalmente, con aggressori malintenzionati che privilegiano attacchi sofisticati e mirati perpetratiutilizzando tecniche di ingegneria sociale per capitalizzare le vulnerabilità umane. In breve, una sicurezza “adeguata” non è sufficiente. Proteggere dalle minacce richiede una strategia altrettanto sofisticata che salvaguardi persone, processi e tecnologia in modo costante. La compliance è spesso vista come un esercizio di check-box e può essere aperta a interpretazioni, quindi diventare conforme a normative come il GDPR non dovrebbe essere uno dei driver primari di sicurezza. La conformità è un passo importante del processo in quanto può aiutare un’azienda a scoprire i gap di protezione, ma deve essere vista solo come un punto di partenza nel cammino verso la vera protezione dei dati e la sicurezza delle informazioni. Al di là di “flaggare” la casella relativa alla compliance, le organizzazioni devono adottare le best practice del settore, comprendere il loro profilo di rischio individuale e implementare strategie di sicurezza focalizzate sulle persone”.
