L’avvocato risponde: CYBERSECURITY….”FOR DUMMIES”
In questo brevissimo contributo, cercheremo di affrontare i concetti di cybersecurity e di sicurezza informatica e di capire perché è importante affrontarli in un’ottica di complementarietà tra componente tecnico-informatica e componente legale.
Che cos’è la cybersecurity?
Per cybersecurity si può intendere come l’insieme di pratiche e procedure idonee a garantire un livello adeguato di protezione di tutti gli asset aziendali. Gli asset aziendali da proteggere sono rappresentabili – in sintesi – dai beni materiali, dai beni immateriali e dalle persone: nel primo gruppo vi rientrano gli asset fisici; nel secondo le informazioni, distinguibili in dati personali e dati aziendali (come ad esempio, know-how. Informazioni sensibili, immagini…); nell’ultimo tutti quei soggetti il cui apporto è fondamentale per il corretto svolgimento delle attività aziendali (dipendenti, collaboratori, consulenti).
Tutti e tre questi gruppi necessitano sicuramente di protezione adeguata e diversificata in base – appunto – alla loro diversa natura.
Qual è il valore dei beni materiali, dei beni immateriali e del personale?
Le informazioni (beni immateriali) sono la componente preminente e “vitale” del patrimonio aziendale; per questo è fondamentale conoscere su quali supporti risiedono (beni materiali) e chi ed in che modo ha diritto di utilizzarle (personale). Ciascuno di questi tre elementi, assieme alle loro interazioni, deve condurre l’imprenditore ad individuare, a seconda della realtà aziendale, il sistema adeguato di controllo della loro sicurezza che sia in grado di tendere a garantire la riservatezza, l’integrità e la disponibilità delle informazioni e dei sistemi su cui risiedono e vengono elaborate e la mitigazione dei relativi rischi.
Che cos’è la governance della sicurezza?
Per governance della sicurezza possiamo intendere tutte le politiche aziendali dirette a controllare la sicurezza dei tre elementi e la loro interazione attraverso framework validati e/o certificati. La governance della sicurezza altro non è, quindi, che la cybersecurity.
È, dunque, importante notare l’accostamento della cybersecurity alla “politica aziendale”: questa valutazione implica che la stessa non può essere relegata – o degradata – a prodotto tecnoclogico: in parole povere: la cybersecurity non è solo l’antivirus o il firewall; essa è molto di più: è l’insieme dei processi, dei contratti e delle procedure diretti – in sintesi – a definire le responsabilità dei soggetti che operano sui dati e sui sistemi, a indicare quali comportamenti seguire in caso di particolari eventi (incidenti). Da questa breve disamina, risulta evidente l’apporto che uno studio legale specializzato in materia può – deve – fornire per la definizione di tutti gli aspetti contrattuali e procedurali che, assieme alle misure prettamente tecnologiche, definiscono il sistema di governance della sicurezza aziendale.
Francesco Giunti