Immagine di mani che digitano su un laptop, con icone proiettate su uno schermo virtuale con immagini sfocate di un ufficio sullo sfondo

Come garantire la sicurezza in un mondo digitalizzato

#KingstonCognate presenta Tomasz Surdyk

Foto di Tomasz Surdyk

Esperto di sicurezza informatica, cybersecurity e dati personali.

Con i suoi 24 anni di esperienza nella sicurezza IT del settore amministrativo, Tomasz è una figura di spicco in materia di sicurezza informatica, cybersecurity e dati personali. In passato, Tomasz ha ispezionato sistemi ICT e reti che elaborano informazioni riservate e dati personali in ambienti governativi. Tomasz possiede nulla osta di sicurezza per NATO e UE.

Da diversi anni Tomasz è titolare di un'azienda specializzata nell'implementazione di soluzioni di sicurezza finalizzate ad accrescere la sicurezza di dati aziendali e dati personali. Tra i suoi compiti rientrava anche l'esecuzione di audit per enti pubblici e privati di numerosi paesi UE. Inoltre, è un consulente esperto in materia di dati personali, sicurezza delle informazioni, furto d'identità, cybersecurity e segretezza bancaria. Tomasz è stato uno dei primi esperti a implementare soluzioni di protezione dati per la polizia polacca.

Il punto sui progressi di digitalizzazione e sicurezza

Il costante progresso nel settore della digitalizzazione ha sortito un notevole impatto sulla sicurezza delle informazioni elaborate nel mondo digitale. La digitalizzazione non significa solo sviluppo tecnologico, ma è anche associata a vari tipi di minacce che riguardano entità pubbliche e commerciali. Il suo avvento apre le porte agli hacker, i quali traggono vantaggio dai punti deboli dei sistemi delle infrastrutture IT per scopi maligni, causando notevoli danni commerciali e reputazionali alle organizzazioni. Nel 2020 il 64% delle organizzazioni è stata vittima di almeno un caso di minacce informatiche. Come è possibile contrastare tali minacce in maniera efficace? Quali contromisure è possibile adottare?

L’importanza delle competenze nell’ambito della sicurezza informatica

Un aspetto importante relativo alla sicurezza informatica è rappresentato dalla scarsità di esperti in specializzati in sicurezza. Più specificamente, il settore scarseggia in termini figure professionali e investimenti in ambito di sicurezza delle infrastrutture IT. Secondo il rapporto "Cybersecurity Barometer", il 58% delle aziende intervistate, ha ammesso che la pandemia ha incrementato il rischio di attacchi informatici. Tuttavia, solo il 23% di queste ha incrementato i budget dedicati alla sicurezza in tale ambito.*

Tali fattori hanno un impatto significativo in termini di fallimenti nel contrasto delle minacce informatiche e dei relativi rischi per le organizzazioni. Nonostante i continui rapporti relativi a violazioni dei dati e minacce informatiche nelle news, il settore della sicurezza IT non sembra rappresentare una priorità per circa il 60% delle aziende. Pertanto, non deve sorprendere che gli esperti di sicurezza IT siano una risorsa sottoutilizzata dalla maggior parte delle aziende. Spesso, si verificano situazioni in cui i team IT non dispongono delle competenze necessarie a implementare strategie di sicurezza adeguate. L’assenza di supervisione degli esperti e l’uso di strumenti necessari a prevenire gli attacchi, apre le porte a vulnerabilità di carattere più ampio nei sistemi IT. Appare chiaro che i dipendenti non stanno ricevendo sufficiente formazione in termini di best practice sulla sicurezza informatica e pertanto la loro consapevolezza sulle minacce informatiche è minima.

Il ruolo chiave della protezione dei dati

Un’altra area dell’infrastruttura IT che spesso viene dimenticata, è quella associata alla supervisione mediante responsabili della protezione dati nel settore dell’elaborazione dei dati personali. Le mansioni dei responsabili protezione dati sono state integrate nei regolamenti del Parlamento Europeo e del Consiglio UE. Si tratta di un ruolo importante nell’ambito della sicurezza dei sistemi IT, in quanto i responsabili protezione dati sono responsabili della formulazione delle valutazioni di rischio delle operazioni di elaborazione dei dati. Essi devono anche tenere in considerazione natura, portata e scopi.

Reporting delle violazioni

Molte organizzazioni non notificano le violazioni relative agli attacchi informatici, alle perdite o furti di dati. La mancanza di rapporti è dovuta al timore di essere considerati responsabili in base ai regolamenti, come il GDPR (General Data Protection Regulation). Le organizzazioni che inviano i rapporti sono sempre preoccupate del rischio di poter ricevere sanzioni finanziarie onerose, unitamente a richieste di risarcimenti, nonché dei rischi associate alla perdita di reputazione per le aziende.

Assenza di investimenti negli strumenti IT adatti

Considerando i maggiori rischi che caratterizzano l’attuale panorama, la sicurezza IT dovrebbe essere in cima alla lista delle priorità, specialmente in considerazione dell’elevata quantità di dati elaborati e archiviati. Tuttavia, l’attuale livello di investimenti negli strumenti necessari a prevenire le perdite di dati è ancora insufficiente. Nonostante i progressi tecnologici nell'ambito della protezione dei dati, numerose organizzazioni non si sono adattate a ciò che è disponibile e non sono equipaggiate con le soluzioni più recenti.

Un esempio frequente consiste nel dotare i dipendenti di drive USB non crittografati per archiviare e trasferire dati sensibili. Si tratta di una strategia rischiosa, spesso dettata da esigenze di risparmio. In caso di perdite o furti di dati, l’accesso ai dati non è protetto da alcuna misura preventiva. Tale perdita può portare non solo a violazioni dei dati aziendali, ma anche danneggiare la reputazione delle aziende e portare a enormi perdite finanziarie e cause legali.

Durante gli ultimi anni, si sono verificati svariati casi di perdite di supporti di storage andati persi. Uno degli esempi più recenti, in Polonia, riguarda un incidente associato alla perdita di un dispositivo USB non crittografato da parte di un ufficiale giudiziario. Successivamente, l’ufficio per la protezione dei dati personali ha appurato che l’incidente è stato causato dall'assenza di adeguate misure tecniche e organizzative. Tale omissione indica che il livello di sicurezza adottato non corrispondeva al livello di rischio associato all'elaborazione di dati su un drive USB non crittografato, con la conseguente perdita di dati.

Investire in drive USB crittografati è una strategia prudente relativamente economica se si considera il livello di protezione offerto anche nei casi estremi di perdita del dispositivo. Non solo si dispone di uno strumento di lavoro versatile, ma anche di una soluzione di sicurezza solida e sicura, che protegge i dati rendendoli inaccessibili da parte di qualunque persona non autorizzata.

#KingstonIsWithYou

Icona del servizio "Chiedi a un esperto" di Kingston sul chipset di una scheda a circuiti

Chiedete a un esperto

La definizione della soluzione più adeguata richiede un'approfondita conoscenza degli obiettivi di sicurezza dei progetti. Lasciatevi guidare dagli esperti Kingston.

Chiedete a un esperto

Prodotti correlati

Articoli correlati