Le strategie per assicurare un ottimo livello di sicurezza dei database: le pratiche da attuare per salvaguardare i dati sensibili.
Il 28 gennaio si celebra la Giornata della Protezione dei Dati, occasione durante la quale si può riflettere sull’importanza della privacy e della sicurezza dei dati sia per gli individui che per le aziende. Questo evento mondiale sottolinea come la corretta gestione dei dati personali sia fondamentale, non solo per la protezione della privacy, ma anche per la salvaguardia dei valori democratici, della libertà e della dignità individuale.
Salvaguardia dei dati sensibili, azione importante per individui ed aziende
In un’epoca caratterizzata da una crescente interconnessione digitale, è fondamentale dedicare parte del proprio tempo alla protezione dei dati a livello individuale. Nonostante l’esistenza di regolamenti come il GDPR, il Digital Services Act e l’AI Act, continuano ad essere attuate tante pratiche non etiche che, spesso, non si riescono a controllare.
L’iniziativa della Giornata della Protezione dei Dati sottolinea l’urgenza di sensibilizzare i cittadini e le aziende sull’importanza di salvaguardare i dati personali, riconoscendoli come un diritto fondamentale.
Le violazioni di dati, la raccolta e la detenzione non autorizzata, così come l’uso improprio delle informazioni personali, sono problematiche frequenti che minacciano la nostra privacy e possono influenzare negativamente anche il nostro comportamento.
Per le aziende, la perdita o il furto di dati non solo comporta rischi economici e legati alla reputazione, bensì solleva anche la necessità di rivedere le politiche e i processi di sicurezza informatica alla luce anche delle recenti sentenze della Corte di Giustizia Europea e dei nuovi regolamenti come il NIS2 e il DORA.
È – dunque – importante che le organizzazioni riconoscano la protezione dei dati e la sicurezza informatica come realtà interconnesse, che devono essere affrontate in modo integrato.
Tale consapevolezza è stata rafforzata dalla recente sentenza della Corte di Giustizia Europea, che ha stabilito importanti precedenti sul risarcimento dei danni derivanti da attacchi informatici, in base al Regolamento Generale sulla Protezione dei Dati (GDPR).
I consigli per le imprese per proteggere i database
Per migliorare le proprie politiche di tutela dei dati, le aziende devono dare priorità alla privacy, secondo quanto afferma Christian Morin, Chief Security Officer presso Genetec.
La sfida è, tuttavia, molto complessa: secondo quanto riportato da Rubrik Zero Labs, il volume dei dati gestiti dalle organizzazioni è cresciuto del 42% negli ultimi 18 mesi, con una media aziendale che ora conta oltre 24 milioni di record di dati sensibili. Il 98% delle aziende riconosce importanti difficoltà nella gestione della visibilità dei dati, mentre il 66% teme che l’enorme quantità di dati possa superare le capacità effettive per garantirne la protezione.
Genetec suggerisce di limitare la raccolta e conservazione dei dati al solo indispensabile e di minimizzare i volumi di dati immagazzinati.
È fondamentale restringere l’accesso ai dati sensibili e migliorare le modalità di condivisione, ad esempio eliminando le informazioni che permettono l’identificazione personale per salvaguardare la privacy. Affinché l’informazione resti utile, senza renderla anonima, si possono utilizzare tecniche quali la randomizzazione, la pseudonimizzazione, la tokenizzazione, la generalizzazione e il mascheramento.
È altresì importante garantire la privacy, assicurando trasparenza e ottenendo il consenso degli utenti. Importante è anche la scelta di fornitori di servizi di archiviazione dati affidabili e l’adozione di precise politiche aziendali.
Strategie per ridurre i rischi legati all’intelligenza artificiale
La sicurezza dei dati diventa ancora più critica nell’era dell’intelligenza artificiale, come evidenziato da regolamenti specifici, quali il GDPR, il Digital Services Act e l’AI Act. Tuttavia, molte pratiche di sicurezza rimangono sottovalutate.
“Al giorno d’oggi l’etica dei dati e l’etica dell’IA sono strettamente legate – afferma Martina Fonzo, SOC Analyst di Swascan, che aggiunge: “risolvere le crescenti preoccupazioni sulla privacy dei dati è imperativo prima di lanciarsi completamente nell’adozione su vasta scala dell’AI”.
Trascurare questa connessione può portare alla creazione di infrastrutture digitali su fondamenta precarie.
È di fondamentale importanza, dunque, che le aziende implementino standard di sicurezza consolidati e coltivino una cultura d’impresa che ponga al centro la sicurezza dei dati, attraverso l’uso di password complesse, aggiornamenti regolari del software e l’autenticazione multifattore.
Formare adeguatamente i dipendenti su queste pratiche è anche un altro aspetto base, così come lo è quello di instaurare un senso di responsabilità collettiva per tutelare la sicurezza dei dati: “Si tratta di un impegno costante che richiede collaborazione al fine di garantire un ambiente online sicuro“, sottolinea Fonzo.
Promuovere una cultura digitale basata sulla privacy e sulla sicurezza dei dati personali è fondamentale ed include diverse azioni, tra le quali possiamo annoverare le seguenti: informare gli individui su come proteggere le proprie informazioni, i potenziali rischi online e le strategie per salvaguardarsi. Per le aziende, adottare solide pratiche di sicurezza per la protezione dei dati personali, di clienti, dipendenti e fornitori, diventa imprescindibile.
Le misure da considerare per proteggere i database
Tra le misure da attuare, per raggiungere tali obiettivi, possiamo annoverare: educazione e formazione del personale riguardo la sicurezza informatica e la protezione dei dati; configurazione ed attuazione di politiche e procedure chiare; l’impiego di soluzioni tecnologiche avanzate per assicurare la sicurezza e la privacy dei dati, monitorando costantemente le informazioni:
Tecnologie di analisi comportamentale: utilizzare sistemi avanzati per rilevare pagamenti sospetti, analizzando il comportamento d’acquisto dei clienti per prevenire frodi legate alla verifica delle carte, come quelle che avvengono dopo il furto di una carta.
Controllo delle tempistiche degli ordini: monitorare la frequenza delle transazioni per identificare tentativi di frode tramite l’uso di bot o script, caratterizzati da un elevato numero di transazioni in brevi periodi.
Gestione del rischio della frode amichevole: impostare un sistema di riconoscimento dei modelli di comportamento dei truffatori seriali, che utilizzano diverse carte e identità per le richieste di chargeback, tra cui anche l’utilizzo di liste di utenti già noti per le frodi.
Sistema flessibile contro la takeover fraud: installare un sistema di gestione del rischio adattabile per contrastare le frodi di takeover (ATO), dove il phishing e il furto d’identità si combinano per clonare siti web e rubare credenziali.
Attributi affidabili e bloccabili: creare elenchi di attributi ritenuti sicuri o da bloccare per prevenire frodi di triangolazione.
