di Chiara PONTI
Sicurezza delle informazioni, cybersecurity e data protection: l’importanza di una Legal & Compliance strutturata, integrata e potenziata.
Sicurezza delle Informazioni, Cybersecurity e Data Protection costituiscono i tre pilastri fondamentali per una completa gestione degli aspetti della sicurezza informatica. La stessa nuova versione della norma ISO/IEC 27001:2022 non a caso ha cambiato nome (“Information security, cybersecurity and privacy protection – Information security management systems – Requirements”).
Oggi, per un’Organizzazione a prescindere dal settore in cui opera, una corretta e completa gestione dell’information security è (un fatto) indispensabile, in un momento storico dove, la criminalità informatica imperversa, a prescindere dalle dimensioni e rinomanza della Società colpita.
Un’adeguata gestione degli aspetti legal & compliance, grazie a un background giuridico, non può che essere il giusto compendio alla sicurezza. Non considerare correttamente infatti l’ecosistema normativo e le interazioni in esso presenti, espone le aziende a rischi di deriva in certi casi persino notevoli.
Un tale approccio se presuppone da un lato una conoscenza approfondita delle normative vigenti (tra cui GDPR, Digital Service Act, Digital Governance Act, Digital Market Act, ecc), dall’altro fa sorgere l’esigenza di implementare sistemi di gestione che contemplino tanto gli aspetti normativi quanto quelli più puramente tecnici.
Ecco che l’implementazione di un modello organizzativo aziendale inclusivo di tutti gli aspetti purché calibrato sulle esigenze di business, è di fondamentale importanza non solo ai fini di un’idonea definizione dei processi impattanti sui fattori esterni e interni, ma anche per rendere possibile l’attuazione e la formalizzazione di misure tecnico-organizzative adeguate, volte a mitigare i fattori di rischio che incombono sugli asset aziendali.
Da qui, le necessarie correlazioni tra i vari framework legislativi emanati/emanandi che portano a evidenti e competitivi vantaggi di una compliance a tutto tondo permettendo di veicolare l’adozione della sicurezza informatica in una visione multidisciplinare.
La Sicurezza informatica è quindi, con tutta evidenza, un argomento di compliance quale conformità normativa con la conseguenza che i sistemi di sicurezza non posso prescindere dalle implicazioni legali.
Un attacco informatico è anche e inesorabilmente una minaccia insidiosa dal punto di vista legale: basti pensare alle richieste di riscatto, vere e proprie forme di estorsione.
Per potersi muoversi conformemente alle leggi, consentendo ad un tempo un’appropriata difesa contro un attacco informatico, occorrono soluzioni disegnate e implementate in anticipo. La prevenzione in campo cibernetico è pressoché d’obbligo, anche perché ipotetiche carenze nella sicurezza IT potrebbero comportare costi assai ingenti, ma la giusta prevenzione/preparazione per un attacco informatico non è necessaria solo per motivi economici, ma anche legali.
Per questi motivi, è d’uopo un approccio pianificato inclusivo trasversalmente negli aspetti legali/organizzativi/tecnici. Solo coloro che operano in questi tre settori con le dovute competenze potranno essere sviluppare misure efficaci. In caso contrario, difetterà sempre una visione olistica, necessaria in questi settori.
Gli attacchi alla sicurezza informatica, oggi, costituiscono una delle maggiori minacce per le aziende, e durante un attacco non c’è tempo per fare altro se non essere prontamente resilienti.
Da qui, la compliance che si pone sempre più al centro della gestione aziendale. In questo contesto, la direzione aziendale è responsabile dell’Organizzazione, affinché le normative con specifico riferimento alla protezione dei dati e alla sicurezza delle informazioni, siano rispettate e applicate. Detta interazione tra protezione dati e potenziale danno (reputazionale) richiede un’infrastruttura IT funzionante e sicura.
La Compliance “integrata” con la Sicurezza è sì un importante fattore competitivo
L’integrazione degli aspetti legali con quelli di sicurezza informatica può portare a importanti vantaggi in termini di miglioramento organizzativo. In particolare, può migliorare:
- la comunicazione e la collaborazione tra uffici: l’integrazione può aiutare a creare un’efficace comunicazione e collaborazione tra i dipartimenti coinvolti nella protezione dei dati e delle informazioni aziendali. Ciò può aiutare a garantire che i dipartimenti lavorino insieme per identificare e mitigare i rischi di sicurezza informatica e garantire la conformità normativa;
- l’efficienza e l’efficacia dell’Organizzazione: l’integrazione può aiutare a creare un approccio olistico alla protezione dei dati e alla sicurezza delle informazioni. Ciò può aiutare da un lato a ridurre il rischio di un effort duplicato e, dall’altro a garantire che l’Organizzazione sia in grado di gestire efficacemente i rischi di sicurezza informatica e le esigenze normative;
- la trasparenza e la responsabilità: l’integrazione può aiutare a creare maggiore trasparenza e responsabilità in tutta l’Organizzazione. Ciò può aiutare a garantire che tutto lo staff comprenda al meglio, l’importanza della protezione dei dati e delle informazioni nonché dei loro ruoli e responsabilità nel contesto in disamina;
- la capacità di adeguamento alle nuove normative: l’integrazione può aiutare l’Organizzazione a essere non solo (più) flessibile ma anche (più) aderente alle nuove normative sulla protezione dei dati e delle informazioni aziendali. Ciò può aiutare a garantire che l’Organizzazione sia in grado di adeguarsi rapidamente all’evoluzione normativa.
In estrema sintesi, dunque, una valida integrazione degli aspetti legal e compliance con quelli di sicurezza informatica non potrà che portare giovamento tanto in termini di maggiore efficienza, efficacia e trasparenza dell’intera Organizzazione, quanto in punto rischi così monitorati. Il tutto a vantaggio del mercato e della fiducia dei Clienti rassicurati a che i loro dati siano protetti nel modo adeguato.
Intervento di Chiara PONTI, Avvocato | Advisor Legal & Compliance
