Da quando la violazione dei dati Equifax del settembre 2017 ha esposto le informazioni personali di 147 milioni di americani, e le molte altre violazioni di dati di alto profilo che sono accadute da allora, la sicurezza e la privacy dei dati sono diventate preoccupazioni pressanti a livello di consiglio.
“La debacle di Equifax è dove molti dei problemi inerenti sono davvero emersi a livello aziendale”, ha detto Aaron Shum, practice lead, Security, Privacy, Risk, and Compliance, presso Info-Tech Research Group. “È dove abbiamo scoperto il livello di incompetenza che può esistere in un’organizzazione”.
Secondo il rapporto speciale 2019 Edelman Trust Barometer: In Brands We Trust?, l’81% dei consumatori ha detto che l’affidabilità del marchio gioca un ruolo importante nelle loro decisioni di acquisto. In altre parole, le violazioni dei dati oggi non solo rappresentano un rischio bottom-line sotto forma di sanzioni, ma mettono anche a rischio il marchio e la reputazione di un’organizzazione, con un impatto diretto sulla sua capacità di attrarre nuovi clienti e mantenere quelli esistenti.
“Le aziende hanno bisogno di trattare la privacy come un problema di conformità e di rischio aziendale per ridurre le sanzioni normative e gli impatti commerciali come i danni alla reputazione e la conseguente perdita di clienti a causa di violazioni della privacy”, ha detto
Steve Durbin, amministratore delegato dell’Information Security Forum nel Regno Unito.
Più che semantica
Per molti al di fuori della comunità infosec, i termini ‘sicurezza dei dati’ e ‘privacy dei dati’ sono spesso usati in modo intercambiabile. In realtà, anche se condividono un obiettivo comune, non sono la stessa cosa, ha detto Greg Ewing, partner di cybersecurity alla Potomac Law.
“La differenza tra la privacy dei dati e la sicurezza dei dati è la differenza tra la protezione delle informazioni personali di qualcuno e le misure di sicurezza che avete in atto per proteggere tutte le informazioni della vostra azienda”, ha detto.
Con regolamenti come il California Consumer Privacy Act (CCPA) e il General Data Protection Regulation (GDPR) dell’UE ora in vigore, questa distinzione è più di una questione di semantica. Il GDPR, per esempio, impone gravi sanzioni finanziarie che possono raggiungere i miliardi di dollari per le violazioni dei dati che coinvolgono le informazioni personali identificabili (PII) dei cittadini dell’UE. Tra i 2.500 e i 7.500 dollari per record PII, anche le sanzioni per non conformità sotto il CCPA possono aggiungersi rapidamente.
Con la pandemia di COVID-19 che non mostra segni di diminuzione, sempre più persone passano più tempo online che mai. Il massiccio cambiamento nell’uso online sia prima che dopo il COVID-19, combinato con la sfiducia generale su come i grandi social media e le aziende di intrattenimento monetizzano i dati dei clienti, non sta passando inosservato ai regolatori statali. Secondo la Conferenza nazionale dei legislatori statali, le leggi sulla privacy sono ora in esame in 30 stati.
“La privacy dei dati è, in sostanza, un sottoinsieme della sicurezza dei dati di un’organizzazione”, ha detto Ewing. “La distinzione è importante perché, anche se gli strumenti utilizzati per mantenere la privacy dei dati e per garantire la sicurezza dei dati possono sovrapporsi, i due sono generalmente affrontati in modo diverso da diversi team che utilizzano strumenti diversi.”
Questa sovrapposizione può causare confusione, lasciando le aziende che si concentrano solo sulla sicurezza dei dati con la falsa impressione che, per default, anche la privacy dei dati sia protetta. Questo non è il caso. A differenza della sicurezza dei dati, che si concentra sulla protezione di tutti i dati di un’organizzazione dal furto o dalla corruzione (come durante un attacco ransomware), la privacy dei dati è più granulare. Per garantire la privacy dei dati, le organizzazioni devono capire, tracciare e controllare cose come chi è autorizzato ad accedere ai dati e dove i dati sono memorizzati – in un cloud conforme all’Health Insurance Portability and Accountability Act (HIPAA), per esempio.
Un buon esempio delle differenze tra la privacy dei dati e la sicurezza dei dati è stata la raccolta di 87 milioni di profili di utenti di Facebook da parte dell’ormai defunta società di consulenza politica Cambridge Analytica durante le elezioni presidenziali USA 2016-17, ha detto Joshua Kail, un consulente di comunicazione che ha gestito le PR lato agenzia per Cambridge Analytica fino alla sua chiusura nel maggio 2018. Anche se i dati erano sicuri, Facebook ha abusato della propria politica sulla privacy e di un decreto di consenso della FTC del 2011 riguardante l’uso dei dati degli utenti.
“È stato uno strano caso di fallimento della sicurezza dei dati da un punto di vista che fondamentalmente hanno consegnato i dati e poi sono stati utilizzati in modo inappropriato, piuttosto che un tradizionale cyberattacco maligno”, ha detto. “Per quanto riguarda la privacy dei dati, l’abbiamo persa tutti nel momento in cui ci siamo iscritti con un account. Davvero, non erano i ‘nostri dati’ ad essere usati da Cambridge, erano i dati di Facebook su di noi. Questa distinzione è dove vive il vero pericolo nelle attuali politiche sui dati”.
Kail è recentemente apparso sul podcast di TechRepublic Dynamic Developer di Bill Detwiler per discutere di privacy e diritti dei dati.
Una questione di fiducia
Mentre la privacy dei dati sta diventando più regolamentata ogni anno, è ancora una questione che, oggi, si riduce in gran parte alla fiducia, ha detto Kayne McGladrey, un membro IEEE e stratega di cybersecurity presso Ascent Solutions. Come dimostra il contraccolpo sulla scia dello scandalo Cambridge Analytica, ciò che le persone si aspettano dalle aziende con cui fanno affari è altrettanto importante quanto le leggi che regolano l’uso dei loro dati.
“Oggi la privacy dei dati riguarda principalmente il trattamento dei dati personali sulla base di leggi, regolamenti e norme sociali”, ha detto McGladrey. “Spesso questo è rappresentato da un consumatore che ignora una politica di privacy incomprensibile (che richiederebbe quasi 20 minuti per essere letta) prima di cliccare un pulsante per riconoscere il loro consenso a tale politica. La loro accettazione della politica permette all’organizzazione di gestire i loro dati in modi documentati, come usarli per mostrare loro pubblicità mirata basata sui loro interessi dedotti. Tuttavia, se quell’organizzazione vendesse quei dati personali a un’altra organizzazione per fare qualcosa di inaspettato (come usarli per sopprimere la libertà di parola protetta) senza il consenso del consumatore, questa sarebbe una violazione della privacy, sia per controllo normativo che per violazione delle norme sociali.”
Dato tutto quello che è successo negli ultimi anni – il costante tamburellare di massicce violazioni di dati e i sempre più frequenti attacchi informatici alle aziende e agli individui – non è sorprendente che le persone sentano che i loro dati non sono più al sicuro nelle mani delle aziende con cui fanno affari, o dei governi che ne ordinano la raccolta.
A causa di questa sfiducia, l’imperativo per le aziende di uscire di fronte a questi problemi non potrebbe essere maggiore, ha detto Lili Ana, Information Security Governance manager a loanDepot.
“Mentre l’industria dell’hacking cresce rapidamente e i criminali informatici diventano più ben finanziati, e mentre la trasformazione globale dei posti di lavoro digitali a domicilio continua ad essere la nuova normalità, le aziende devono agire per capire la sicurezza delle informazioni e come la privacy e la sicurezza dei dati lavorano insieme per proteggere le imprese e i consumatori”, ha detto Ana. “Investire nella salvaguardia del proprio business con un approccio proattivo è molto meno costoso dell’alternativa, che è un incidente o una violazione dei dati che non solo può distruggere un business ma può rovinare la reputazione, la credibilità e la fiducia dei consumatori”.
Vedi anche
- Le aziende con cattive pratiche di privacy sono l’80% più inclini a subire una violazione dei dati (TechRepublic)
- Le aziende spesso si affidano a processi manuali per rispettare la nuova legge sulla privacy della California (TechRepublic)
- Come usare la distribuzione avanzata di sicurezza e privacy di Whonix (TechRepublic)
- Zoom: Abbiamo mantenuto tutte le nostre promesse di sicurezza e privacy, tranne una (TechRepublic)
- I clienti non vogliono rinunciare ai loro dati a causa di preoccupazioni sulla privacy, Okta trova (TechRepublic)
- La maggior parte degli americani sono disposti a rinunciare alla privacy dei dati personali per combattere la diffusione del COVID-19 (TechRepublic)