La Sicurezza Informatica nell'era della Digital Transformation

La Digital Disruption che sta interessando diversi settori, tra cui il Banking e l'Insurance, impone alle imprese di considerare centrale il tema della prevenzione e della difesa della sicurezza dei dati, nota come cyber security.

Le numerose incursioni da parte di hacker all'interno delle reti aziendali e pubbliche hanno mostrato la fragilità del sistema informatico: il presidio del cyberspazio è l'elemento fondamentale per mantenere inviolate le informazioni.

Le imprese che intendono cavalcare l'onda della digitalizzazione dovranno fare i conti quindi con l'esigenza di garantire la sicurezza informatica dei dati personali dei propri clienti. Tale fattore risulta maggiormente acclarato dalla circostanza che i dati e le informazioni dei clienti costituiranno un elemento fondamentale per il business delle aziende, come ad esempio avverrà per il settore assicurativo anche per effetto del futuro recepimento della nuova Direttiva europea IDD.

Il Mercato Legato alla Sicurezza Informatica

Il mercato legato alla sicurezza informatica ha subìto un'impennata di valore nell'ultimo decennio raggiungendo, secondo le ultime stime, un valore stimato per il 2017 intorno a 120 miliardi per superare i 200 miliardi nel 2021. Di conseguenza anche gli investimenti in startup e le operazioni di M&A volte a creare sinergie per la prevenzione e tutela dei dati hanno raggiunto valori interessanti, spinti da una casistica tutt'altro che rassicurante: nel corso del 2016 circa un attacco su tre ha causato un'effettiva violazione della sicurezza, che tradotto significa che in media un'azienda ha subito due / tre intrusioni riuscite al mese, dice un recente report di Accenture. Un esempio su tutti: l'attacco a dicembre 2016 a Yahoo e il furto di oltre 1bn di account.

Altro elemento da tenere in considerazione è l'affermarsi dell'internet delle cose, c.d. IOT – Internet of Things, ovvero la connessione di dispositivi deputati al monitoraggio di informazioni personali e, spesso anche di natura biometrici; ciò porta quindi ad aumentare esponenzialmente il rischio di violazione e furto dei dati personali.

La Direttiva UE 2016/1148

Il tema è attuale ed è stato affrontato di recente a livello comunitario mediante l'emanazione della Direttiva UE 2016/1148 del Parlamento e del Consiglio del 6 luglio 2016 recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi dell'Unione c.d. Direttiva NIS. Il termine fissato per il recepimento della Direttiva è maggio del 2018.

La Direttiva impone agli Stati membri di adoperarsi al fine di rafforzare la cooperazione tra gli stessi nell'ottica di un maggiore scambio delle informazioni attraverso l'ausilio all'Agenzia europea per la sicurezza delle reti e dell'informazione (ENISA).

Secondo la Direttiva gli Stati membri devono dotarsi delle capacità tecniche e organizzative necessarie a prevenire, individuare, rispondere e attenuare i rischi e gli incidenti a carico delle reti e dei sistemi informativi. In questo contesto assume rilievo anche il monitoraggio degli incidenti mediante l'individuazione di organizzazioni deputate a ricevere tali notizie.

Di rilevante impatto risulta il considerando n. 49 laddove viene precisato che i fornitori di servizi digitali devono garantire un livello di sicurezza commisurato al grado di rischio per la sicurezza dei servizi digitali da essi forniti, data l'importanza dei loro servizi per le operazioni di altre imprese all'interno dell'Unione. Quindi gli Stati Membri dovranno adoperassi affinché i fornitori di servizi digitali individuino e adottino misure organizzative proporzionate al rischio.

Regolamento (UE) 2016/679

La Direttiva NIS non costituisce l'unico intervento a livello comunitario in materia: già il Regolamento (UE) 2016/679, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), introduce un particolare obbligo in capo al titolare del trattamento in caso di c.d. Data Breach e cioè violazione dei dati personali.

In tal caso il titolare del trattamento notifica la violazione all'autorità di controllo competente senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che risulti improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.

Si può affermare, dunque, che la Cyber Security non costituirà più un aspetto meramente tecnico e quasi "burocratico" nell'ambito dell'organizzazione aziendale ma è destinata a diventare un aspetto fondamentale nella strategia di business. Ciò avrà necessariamente un impatto rilevante sulle scelte in merito alle professionalità a cui affidare tale segmento nonché con riferimento agli investimenti che dovranno necessariamente affrontati.