Gli assessment di sicurezza informatica e l’impatto sulla protezione dei dati
L’assessment di sicurezza informatica è il processo di definizione, identificazione, classificazione e prioritizzazione delle vulnerabilità nei sistemi informatici, nelle applicazioni e nelle infrastrutture di rete. Consiste in un approccio ragionato che prevede indagini non limitate all’aspetto tecnologico ma riguardanti l’interno dell’organizzazione, anche in relazione a processi e risorse.
Il suo ruolo è cruciale per garantire una valutazione di conformità di quanto implementato e sviluppato, rispettando i criteri che le leggi vigenti, le norme volontarie e gli schemi tecnici hanno definito e che l’organizzazione ha deciso di fare proprie.
Tutto questo è necessario per far sì che la sicurezza delle informazioni, gestite in un PSP digitale o in uno tradizionale attraverso una piattaforma CRM, sia quanto più possibile tutelata. Le perdite globali dovute alla criminalità informatica sono infatti molto significative, specialmente nell’ultimo anno e mezzo, dove i cambiamenti conseguenti alla pandemia hanno fatto sì che si aprissero nuove opportunità per gli attaccanti, per colpire utenti e aziende.
Sicurezza informatica: alcuni dati
Secondo il rapporto pubblicato dal Center for Strategic and International Studies e dalla società di sicurezza informatica McAfee, la crisi da Covid-19 ha fatto sì che moltissime truffe venissero attuate, sfruttando le paure dei consumatori e delle imprese, facendo leva anche sulle conseguenze organizzative dell’adozione massiva dello smart working.
Quello che accade, si legge nel rapporto, è che il panorama delle minacce negli ultimi due anni è cambiato: i criminali non prendono più di mira solo i dispositivi o utenti specifici ma intere organizzazioni, andando a danneggiare sia ecnomicamente che dal punto di vista reputazionale l’azienda stessa – attraverso una forma di riscatto – e, spesso, causando un’interruzione del normale flusso di lavoro.
Ma quali sono le ragioni che portano ad attacchi informatici e come possono essere classificati? Secondo il Data Breach Investigations Report del 2020 realizzato da Verizon, l’86% delle violazioni sono state fatte per motivi finanziari, il 10% invece per attività di spionaggio. E ancora, il 17% riguarda malware e il 22% il pishing, ovvero il tentativo di impadronirsi illegalmente dei dati personali di un utente, e di altre utili informazioni, generalmente al fine di derubarlo o di impossessarsi della sua identità.
Secondo uno studio pubblicato da Accenture, il 68% dei business leader, ritiene che i rischi correlati alla cybersecurity stiano aumentando e che di conseguenza siano necessarie attività volte a tutelare in maniera efficace le organizzazioni e i dati, in particolare nel mondo healthcare.
Nel settore sanitario, infatti, ad essere esposti a possibili attacchi informatici sono informazioni estremamente delicate, come quelle dei pazienti, per cui le regole da rispettare e gli standard di conformità sono complessi e articolati. Nel rapporto provider – cliente, infatti, sono numerosi gli audit richiesti per verificare che i processi e le tecnologie seguano le misure necessarie per garantire la sicurezza delle informazioni gestite dalle piattaforme di supporto.
Come verificare la sicurezza delle informazioni?
Tra i gli approcci più consolidati c’è sicuramente il penetration test, che ha lo scopo di testare un sistema andando a simulare dei veri e propri attacchi informatici perpetrati da un avversario, e il vunerability assessment che invece ha lo scopo di valutare le vulnerabilità presenti senza tentare di sfruttarle. In modo analogo è possibile analizzare la sicurezza fisica degli uffici e degli impianti o la resistenza agli attacchi di ingegneria sociale delle persone o dei processi.
Dunque, per mantenere costante la protezione dei dati e poter dimostrare diligenza e accountability, anche in base a quanto previsto dal GDPR, è fondamentale svolgere regolarmente gli assessment di sicurezza informatica e, se questo è vero in generale, lo è ancora di più quando si parla di piattaforme CRM che trattano dati healthcare.