Data protection day: le migliori pratiche per tutelare i dati personali e in azienda
2024-1-28 18:31:37 Author: www.cybersecurity360.it(查看原文) 阅读量:27 收藏

Giornata mondiale

Il Data Protection Day è un’iniziativa importante per sensibilizzare i cittadini sull’importanza della privacy e della protezione dei dati. Ma è anche l’occasione per spiegare alle aziende per mitigare i rischi legati allo smarrimento o furto di dati. Ecco i consigli per tutelare i dati

Pubblicato il 28 Gen 2024

Il Data protection day si celebra domenica 28 gennaio ed è l’occasione per una riflessione sul significato della tutela dei dati.

La Giornata mondiale della protezione dei dati ricorda, infatti, che la tutela dei dati personali permette la difesa della democrazia, la salvaguardia della libertà e della dignità delle persone. 

“In un mondo sempre più interconnesso, la protezione dei dati parte dall’individuo – Martina Fonzo, SOC Analyst di Swascan -. Nonostante normative come il GDPR, il Digital Services Act e l’AI Act mirino a risolvere tali problematiche, molte pratiche non etiche sfuggono ancora all’attenzione“.

Infatti “il Data Protection Day è un’iniziativa importante per sensibilizzare i cittadini sull’importanza della privacy e della protezione dei dati – conferma Pierluigi Paganini, analista di cyber security e CEO Cybhorus -.  Nell’attuale società si tende a dimenticare che la protezione dei dati personali è un diritto fondamentale dell’individuo. Spesso apprendiamo di casi in cui i nostri dati sono abusati, raccolti e detenuti senza consenso, o peggio ancora, utilizzati per influenzare il nostro comportamento”. 

Ma la giornata mondiale è anche un momento di consapevolezza dei rischi, sia economici che reputazionali, che comporta la perdita o il furto di dati per le aziende di ogni dimensione.

Infatti il recente verdetto della Corte di Giustizia Europea e i nuovi regolamenti come NIS2 e DORA mettono le imprese e le organizzazioni di fronte alla necessità di una revisione delle proprie politiche e processi di sicurezza informatica.

“È più che mai importante che le organizzazioni comprendano che la protezione e la sicurezza dei dati sono interdipendenti e non possono e non devono essere considerate separatamente – commenta Christoph Bausewein, Assistant General Counsel, Data Protection & Policy di CrowdStrike – Come dimostra la Corte di giustizia europea (CGE), che a dicembre ha emesso una sentenza di ampia portata sul risarcimento dei danni a seguito di attacchi informatici ai sensi del Regolamento generale sulla protezione dei dati (GDPR)”. Ecco i consigli per tutelare i dati per aziende e cittadini.

Data protection day: i consigli per le aziende

Per valutare e ottimizzare le proprie strategie di protezione dei dati, occorre mettere la privacy in cima alle priorità aziendali. “Le organizzazioni non dovrebbero mai dover scegliere tra privacy e sicurezza dei dati”, spiega Christian Morin, Chief Security Officer di Genetec.

Business Continuity: come conciliare costi e performance

Ma il compito è complesso, perché, come evidenzia Rubrik Zero Labs, i dati di un’organizzazione sono aumentati del 42% solo negli ultimi 18 mesi e un’organizzazione media oggi ha superato la soglia dei 24 milioni di record di dati sensibili. Il 98% ammette problemi rilevanti di visibilità dei dati e il 66% teme che il diluvio di dati superi la propria capacità di proteggerli.

Secondo Genetec, occorre ridurre la raccolta e la conservazione solo delle informazioni essenziali, minimizzando i dati archiviati. Bisogna porre limiti all’accesso ai dati sensibili, migliorando le pratiche di condivisione dei dati, come la rimozione delle informazioni di identificazione personale per difendere la privacy individuale. Per anonimizzare le informazioni personali, pur conservandone l’utilità, conviene ricorrere alla seguenti tecniche: randomizzazione, pseudonimizzazione, tokenizzazione, generalizzazione e mascheramento.

Inoltre è necessario assicurare la privacy senza compromettere le prove e garantire trasparenza e consenso dell’utente. Aiutano la scelta di un fornitore affidabile per l’archiviazione dei dati e istituire rigide linee di condotta.

“In occasione del Data Protection Day, sottolineiamo infatti l’essenziale ruolo della protezione dei dati come fondamento per aziende e individui – evidenzia Martina Emanueli, Cyber Academy di Swascan -. Oltre agli investimenti in cybersecurity, dedicare attenzione alla formazione individuale è cruciale per creare una consapevolezza diffusa sulla sicurezza digitale, contribuendo così a preservare il patrimonio informativo e la fiducia degli stakeholders in un mondo sempre più interconnesso”.

I rischi nell’era dell’AI: come mitigarli

E se la protezione dei dati è un imperativo, come dimostrano GDPR, il Digital Services Act e l’AI Act, moltre pratiche sfuggono all’attenzione. “Al giorno d’oggi l’etica dei dati e l’etica dell’IA sono strettamente legate – continua Martina Fonzo -:  risolvere le crescenti preoccupazioni sulla privacy dei dati è imperativo prima di lanciarsi completamente nell’adozione su vasta scala dell’AI”.

“Ignorare questa connessione rischia di costruire nuove infrastrutture su basi instabili. Le imprese devono infatti adottare misure standard e promuovere una cultura aziendale incentrata sulla protezione dei dati, dove l’utilizzo di password robuste, aggiornamenti software e autenticazione a più fattori risultano pratiche indispensabili. La formazione dei dipendenti in merito è essenziale, così come la responsabilità condivisa di tutti nell’assicurare la sicurezza dei dati – conclude Martina Fonzo -: si tratta di un impegno costante che richiede collaborazione al fine di garantire un ambiente online sicuro”.

Come proteggere i dati in rete

“È necessario promuovere una cultura della rete che abbia i concetti di privacy e di protezione dei dati dell’individuo come sue fondamenta, sottolinea Paganini -. Occorre spiegare come prendersi cura dei propri dati, quali sono i rischi in cui è possibile incorrere e quali le misure per tutelarsi. In azienda è importante adottare misure di sicurezza per proteggere i dati, siano esse informazioni personali che di clienti, dipendenti, e fornitori” .

“Semplici misure possono includere:

  • la formazione del personale su temi di sicurezza e protezione dei dati;
  • implementazione di politiche e procedure;
  • utilizzo di tecnologie che consentano di garantire la sicurezza e la riservatezza delle informazioni attraverso un monitoraggio continuo.

Il Data Protection Day – conclude Paganini – è un’occasione importante per comprendere quanto si è edotti su rischi e misure a tutela ed ovviamente per prendere provvedimenti atti a migliorare la propria postura di sicurezza”.

La sentenza della Corte di giustizia Ue

“La sentenza (di dicembre della Corte di giustizia europea, ndr) – continua Christoph Bausewein, Assistant General Counsel, Data Protection & Policy, CrowdStrike – riassume con forza: se i dati personali vengono rubati in un attacco informatico, le persone colpite hanno la possibilità di chiedere un risarcimento danni, a meno che l’organizzazione violata non sia in grado di dimostrare che le sue misure di sicurezza sono ragionevoli e all’avanguardia”.

“Con questa decisione, la più alta corte dell’UE rafforza i diritti dei cittadini in materia di protezione dei dati – e allo stesso tempo obbliga le autorità pubbliche e le aziende a prestare maggiore attenzione alla protezione dei dati con mezzi adeguati e al rispetto delle norme pertinenti in materia di protezione dei dati – e, indirettamente, a rivedere e migliorare continuamente la loro maturità informatica e la relativa resilienza informatica”.

La sentenza dimnostra che “le implementazioni normative in ambito GDPR hanno dunque reso il tema della protezione dei dati sempre più centrale nel business delle aziende – aggiunge Vincenzo Sgaramella, Head of PM di Swascan-. I principi di ‘privacy by design’ e ‘privacy by default’ hanno notevolmente migliorato il rispetto della confidenzialità ed il trattamento dei dati. Tuttavia, le recenti rilevazioni del GDPR Enforcement Tracker sulle sanzioni comminate alle aziende europee ci dicono che c’è ancora molta strada da percorrere”.

I regolamenti NIS2 e DORA

“Le organizzazioni che si stanno preparando per la normativa NIS2, DORA e per la resilienza informatica dell’UE – avverte Christoph Bausewein – hanno l’opportunità non solo di migliorare la sicurezza dei dati, ma anche di ridurre il rischio finanziario tenendo conto di questa nuova normativa e dei requisiti che essa impone alle organizzazioni. Sebbene la direttiva NIS2 rappresenti un passo positivo per migliorare la resistenza e la resilienza informatica delle organizzazioni e della società dell’UE, la legislazione e le imminenti leggi locali di attuazione creeranno incertezza a livello di operatori del diritto se non sarà chiaro chi rientrerà nel campo di applicazione, come prepararsi e quali azioni dovranno essere intraprese. In definitiva, la NIS2 non riguarda solo la tecnologia, ma anche le procedure e i processi”.

Data protection day: 10 tattiche per evitare le principali frodi

Dall’ultimo Retail Report realizzato da Adyen emerge che l’evoluzione delle frodi nei pagamenti è pericolosa perché le truffe sanno adattarsi in maniera intelligente da richiedere una sorveglianza costante.

Infatti il 32% dei retailer italiani ha subito un aumento dei costi a causa di frodi e chargeback. Invece il 23% degli acquirenti locali è caduto vittima di frodi nei pagamenti nel corso dell’ultimo anno.

Tuttavia è possibile implementare dieci tattiche per prevenire le tipologie di frodi che minacciano le aziende.

Per affrontare le frodi riferite alla verifica delle carte, cioè quando una carta viene “testata” per sondarne il funzionamento dopo un furto, Adyen suggerisce l’applicazione di tecnologie di analisi comportamentale per individuare i tentativi di pagamento fraudolenti, analizzare il comportamento dei clienti e adottare rapidi controlli sui rischi.

Occore anche effettuare un controllo delle tempistiche sugli ordini, in quanto crescono i tool di verifica delle carte , attraverso l’uso di bot o script, ed è possibile individuarli nel caso di numerose transazioni in un minimo lasso di tempo.

Per impedire la frode amichevole, quando un cliente compra beni su un sito di eCommerce e poi avvia una procedura di reclamo, è necessario rendere la gestione del rischio in grado di riconoscere schemi ricorrenti dei truffatori seriali, che usano varie carte e identità per condurre le procedure di chargeback. Conviene ricorrere a liste di utenti bloccati (referral lists), per ostacolare il ritorno dei clienti scorretti.

Contro il takeover fraud (ATO)

Il quinto consiglio riguarda l’implementazione di un sistema di gestione del rischio flessibile per le takeover fraud (ATO), in cui il phishing si abbina al furto di identità per consentire ai truffatori di ricreare un sito web identico all’originale per rubare credenziali.

A questo proposito, Adyen raccomanda un sistema di gestione del rischio versatile per l’ampliamento degli ambiti analizzati secondo le indicazioni dei merchant. Il sistema deve sfruttare la visualizzazione di una timeline per distinguere il normale comportamento dei clienti veri e come questo si modifica dopo un account takeover.

Inoltre è utile istituire liste di attributi affidabili e da bloccare, per consentire ai merchant lo stop degli attributi associati a eventuali frodi di triangolazione, inclusi quelli dei clienti e riferiti alle modalità di spedizione.

Gli altri suggerimenti di Adyen

Il proprio sistema di gestione del rischio deve essere personalizzato e in linea con il commercio unificato, per una comprensione a 360 gradi del ciclo di vita di un cliente, visualizzandone gli ordini precedenti per scovare frodi sui rimborsi.

Occorre poi declinare le regole di rischio in maniera personalizzata per ridurre gli scenari rischiosi, individuando singoli utenti che impiegano i dati impropriamente.

Bisogna dunque effettuare l‘aggiunta di dati contestuali, combinando controlli personalizzati del rischio  ed elenchi di blocco sulla base di questi dati per scoprire questa tipologia di transazioni.

Infine occorre introdurre regole di rischio personalizzate e indicatori mirati per scongiurare l’uso indebito delle gift card.

Data Protection Day: il Garante Privacy contro la violenza della (e nella) rete

Il 30 gennaio a Roma, presso la Sala del Refettorio di Palazzo San Macuto, il Garante per la privacy ha organizzato il Convegno dal titolo “Violenza della rete, violenza nella rete”, in occasione della 18ma Giornata europea della protezione dei dati personali, promossa dal Consiglio d’Europa con il supporto della Commissione europea e delle Autorità per la protezione dei dati personali.

“Sono passati 43 anni da quando, nel 1981, la convenzione n.108 del Consiglio d’Europa ha aperto la strada alla protezione dei dati digitali – ricorda Cristina Spagnoli, Head of GRC & Strategic Consulting – Swascan -. Un’epoca, quella, che rispetto a oggi rappresenta la ‘preistoria‘ dal punto di vista della digitalizzazione. Il Data Protection Day, istituito invece nel 2006, rafforza il focus su questo tema in un contesto come quello attuale, in cui la protezione dei dati personali, e direi dei dati in generale, è ormai imprescindibile e di fondamentale importanza per qualsiasi entità, nazione, azienda e ovviamente per ogni singolo cittadino”.

Come abilitare elevati standard di sicurezza, crittografia e monitoraggio dei dati?

Datacenter Infrastructure Management

@RIPRODUZIONE RISERVATA


文章来源: https://www.cybersecurity360.it/news/data-protection-day-le-migliori-pratiche-per-tutelare-i-dati-personali-e-in-azienda/
如有侵权请联系:admin#unsafe.sh