Home Portale BitMat Portale Evidenza PA e GDPR: il settore pubblico deve aggiornare le best practice

PA e GDPR: il settore pubblico deve aggiornare le best practice

-

Tempo di lettura: 4 minuti

A quasi due anni dalla sua introduzione, il GDPR è ancora al centro di molte discussioni. Governance, storage a sicurezza dei dati continuano a essere gestiti in modo non adeguato dalle aziende europee, che pagano multe salate per ogni eventuale violazione. Le autorità hanno il potere di imporre un’ammenda che può raggiungere il valore più alto tra 20 milioni di euro o il 4% del fatturato globale annuo. Ciò significa che una singola violazione può causare gravi danni finanziari. Il rapporto Federprivacy ha rivelato che le authority per la privacy europee nel 2019 hanno comminato 410 milioni di sanzioni, con l’Italia al primo posto per numero, ma non per importo. L’attenzione dei media si è concentrata in gran parte sulle sanzioni comminate ad aziende private come Google, che ha ricevuto una multa di 50 milioni di euro nel gennaio 2019, e Marriott, con 110 milioni di euro per una violazione del 2018. Ma il settore pubblico è da sempre un bersaglio degli hacker. In base ai dati Federprivacy, nel 2019 il 48% delle ingiunzioni del Garante della privacy è stato a carico di enti della PA, in particolare scuole ed enti locali, mentre il 52% a carico di privati.

Si tratta di organizzazioni che dovrebbero essere tra le più affidabili, mentre purtroppo le statistiche che le riguardano sono molto preoccupanti. Le violazioni dei dati nel settore pubblico derivano da numerose fonti e la maggior parte delle sanzioni possono essere attribuite al massiccio aumento degli attacchi informatici di successo degli ultimi anni. In Italia, le università occupano la posizione più bassa, tra gli uffici pubblici, sul fronte della sicurezza informatica, con 50 istituti su 71 che dichiarano di aver subìto un attacco hacker. A seguire le Regioni, i ministeri, gli ospedali e le città metropolitane.

Tenendo in considerazione tutti questi elementi, quali sono i costi reali che derivano da un livello troppo basso di sicurezza e governance dei dati nel settore pubblico? È ora di rinfrescare la memoria delle istituzioni?

Molto più di una semplice multa

Multe e difficoltà concrete causate da un attacco informatico, come il dover ricorrere a funzionalità o risorse offline, non sono gli unici effetti collaterali da prevedere. Un attacco IT riuscito, come qualsiasi infezione, si traduce in una marea di sintomi che possono colpire un’azienda in modo smisurato, sia nel settore privato che in quello pubblico.

Le ripercussioni finanziare rappresentano la preoccupazione principale, non solo per la sanzione, ma anche per il risarcimento che dovrà essere accordato agli utenti coinvolti nella violazione e per le spese di analisi dell’incidente di sicurezza. Le attività di auditing IT possono essere molto dispendiose, e a volte è necessario coinvolgere terze parti per risolvere la situazione.

Anche riconquistare la fiducia di utenti e parti coinvolte non è semplice, quando una violazione diventa un fatto di cronaca. Dopo tutto, se i dati vengono divulgati e persi da chi in teoria ne dovrebbe fare tesoro, come la pubblica amministrazione, i cittadini non potranno accettarlo con leggerezza, e la loro fiducia nelle istituzioni ne risentirebbe. Se le minacce IT non sono monitorate e la sicurezza e la gestione dei dati non vengono riconosciute come priorità, le multe di massa per il GDPR resteranno l’ultima delle preoccupazioni del settore pubblico.

È ora di aggiungere una nuova ed efficace misura di sicurezza

Oggi, è fondamentale dotarsi di misure di sicurezza IT più efficaci, ma può essere difficile capire da dove iniziare. Di norma, qualsiasi strategia di protezione proattiva dovrebbe sempre iniziare con l’identificazione e l’adozione di adeguate misure di salvaguardia delle risorse aziendali più critiche. Gli enti governativi, ad esempio, hanno accesso a enormi quantità di informazioni di identificazione personale che richiedono quindi una protezione rigorosa.

Gli aggressori si muovono sempre più velocemente rispetto alle tecnologie difensive e inevitabilmente troveranno il modo di aggirarle e di infiltrarsi nei sistemi aziendali per accedere a dati preziosi.

Per questo è importante implementare tecnologie di Privileged Access Management (PAM), in grado di controllare in modo proattivo gli accessi e i privilegi amministrativi associati a persone o macchine e limitarli solo ai dati necessari. In caso di data breach, un’azienda è in grado di identificare e isolare in modo automatico le aree colpite all’interno della rete, assicurando l’accesso ai dati situati in altri luoghi sicuri.

La compromissione delle credenziali privilegiate è un’attività utilizzata praticamente in tutti gli attacchi mirati, per cui la gestione proattiva di credenziali e privilegi, diventa essenziale per proteggere il settore pubblico.

A cura di John Hurst, Public Sector Sales Director, CyberArk

Redazione BitMAThttps://www.bitmat.it/
BitMAT Edizioni è una casa editrice che ha sede a Milano con una copertura a 360° per quanto riguarda la comunicazione rivolta agli specialisti dell'lnformation & Communication Technology.
  • Newsletter

    Iscriviti alla Newsletter per ricevere gli aggiornamenti dai portali di BitMAT Edizioni.

  • I più letti

    futuro delle criptovalute

    Criptovalute: l’ultima novità sono i conti di risparmio in Stable coin

    Ormai non sono più un settore emergente ma una realtà finanziaria alquanto affermata, oltre che un mezzo di pagamento largamente accettato online e in...
    Spese pre-natalizie: sarà boom di acquisti online

    Spese pre-natalizie: sarà boom di acquisti online

    Vendite ai massimi storici, le grandi aziende avranno una capacità di spedizione limitata
    Lavoro flessibile, adottare una infrastruttura IT ibrida

    Lavoro flessibile, adottare una infrastruttura IT ibrida

    L’Hybrid Cloud consente di sfruttare tutti i vantaggi di un modello ancora poco diffuso
    Master in Data Science

    Al via il Master in Data Science & AI sponsorizzato da Groupama Assicurazioni

    Selezionati, tra gli oltre 1000 candidati provenienti da tutta Italia, i 21 partecipanti al Master in Data Science & AI, organizzato da Talent Garden e interamente finanziato da Groupama Assicurazioni, in collaborazione con Softlab
    IAmTheKing: il "capo famiglia" del malware SlothfulMediaP

    IAmTheKing: il “capo famiglia” del malware SlothfulMedia

    Il gruppo potrebbe essere supportato da un governo per raccogliere informazioni da soggetti di alto profilo