Input per voi

Menu
Notizie

In che modo Input for You gestisce i dati riservati?

isabelle gilles
  1. Casa|
  2. Notizie|
  3. Come gestisce Input for You ...

Quando le organizzazioni affidano i loro documenti e dati a Input for You, affidano anche le loro informazioni più sensibili: dati dei clienti, dati finanziari, cartelle cliniche, documenti HR, contratti e così via. La domanda logica è: come si fa a garantire che questi dati rimangano sicuri e riservati?

Abbiamo posto questa domanda a Pierre De Landsheere, responsabile esterno della sicurezza di Input for You. Pierre fornisce consulenza all'azienda in materia di sicurezza delle informazioni, privacy e certificazione da oltre dieci anni.

Input for You: “Pierre, per cominciare, qual è la tua opinione generale sul modo in cui Input for You gestisce i dati riservati?”.”

Pierre De Landsheere: “In generale, ci sono due aspetti che devono sempre andare di pari passo: la politica e la pratica.

La politica è dire ciò che si intende fare. La pratica è fare ciò che si è detto di fare. Non è possibile offrire una sicurezza o una riservatezza delle informazioni seria se una di queste due cose manca o se non sono allineate.

Noi di Input for You ci siamo organizzati in base allo standard ISO 27001 per la sicurezza delle informazioni. Ciò significa che abbiamo implementato un Sistema di Gestione della Sicurezza delle Informazioni (ISMS). Questo sistema tutela tutti gli aspetti importanti, come la sicurezza delle informazioni, la conformità, la privacy, la sicurezza dei dati e la gestione del rischio.

Una volta all'anno, un revisore esterno accreditato verifica se la nostra politica soddisfa tutti i requisiti dello standard ISO. Si tratta di un controllo indipendente di tutta la nostra politica. E poi inizia la parte più importante: garantire che ciò che è sulla carta venga messo in pratica ogni giorno.

Un input per voi: “Come si traduce concretamente questa politica nelle nostre operazioni quotidiane e nel modo in cui gestiamo i dati dei nostri clienti?'.”

Pierre De Landsheere: “Ci sono diversi livelli coinvolti: organizzazione, tecnologia e principi.

Un principio importante è il lavoro basato sul rischio. Identifichiamo i rischi e adottiamo misure per ridurli il più possibile. Ciò può riguardare misure tecniche, processi, ma anche scelte infrastrutturali.

Ad esempio, limitiamo consapevolmente la parte delle nostre operazioni visibile su Internet. Quanto più piccola è la superficie di attacco, tanto minore è la possibilità che qualcuno si introduca dove non dovrebbe.

Un altro principio è il mantenimento del controllo. Input for You acquista il proprio hardware, utilizza le proprie apparecchiature e gestisce tutto in proprio per quanto possibile. Per quanto possibile, gestiamo internamente l'archiviazione, l'elaborazione e la trasmissione dei dati dei clienti. Questo ci permette di avere il massimo controllo su ciò che accade a quei dati.

Infine, siamo fortemente impegnati nell'automazione e nell'integrazione dei sistemi. Meno interventi manuali sono necessari, minore è il rischio di errore umano. Ma anche in questo caso, tutto si basa sull'approccio al rischio ed è incorporato nel sistema di gestione ISO 27001, in modo da non avere punti ciechi nelle nostre operazioni”.”

Un input per voi: “Le normative che riguardano i dati e l'ICT stanno diventando sempre più stringenti. Si pensi al GDPR e, più recentemente, al DORA nel settore finanziario. Come affrontiamo tutto questo?”.”

Pierre De Landsheere: “All'interno del quadro ISO, c'è un'attenzione esplicita agli obblighi legali e contrattuali. Ciò significa che non guardiamo solo alla nostra casa, ma anche alle normative che si applicano ai nostri clienti.

Prendiamo ad esempio il DORA (Digital Operational Resilience Act), un nuovo quadro normativo per il settore finanziario, in particolare per quanto riguarda l'ICT e l'outsourcing. Input for You è un partner di outsourcing per molti operatori del settore. Ciò significa che dobbiamo aiutarli a rispettare i loro obblighi.

Stiamo quindi costruendo una competenza mirata su queste normative. Seguiamo le preoccupazioni dei nostri clienti, i requisiti imposti dalle autorità di regolamentazione e il modo in cui possiamo fornire informazioni e prove in modo proattivo.

In breve, non ci limitiamo al nostro perimetro, ma guardiamo anche alle spalle dei nostri clienti, ai loro obblighi e a come possiamo essere un anello affidabile in questo processo.

Un input per voi: “I nostri clienti sono spesso grandi organizzazioni con molte parti interessate. Come facciamo a garantire che tutti siano a proprio agio con la riservatezza e la sicurezza?”.”

Pierre De Landsheere: “Esatto. Input for You è un'azienda relativamente piccola, ma i nostri clienti sono spesso importanti. In una chiamata tipica, ci sono due persone dalla nostra parte e da otto a dieci dalla parte del cliente. Si tratta di profili provenienti dal business, dalla gestione dei progetti, dai responsabili della sicurezza, dalla sicurezza delle informazioni, dalla conformità e dagli acquisti, tutti con i loro punti di vista.

Quindi una parte importante del nostro lavoro è la gestione degli stakeholder. È quasi un'arte far arrivare le informazioni giuste alla persona giusta al momento giusto. Un responsabile della sicurezza vuole vedere dettagli diversi da quelli di un project manager o di un addetto agli acquisti.

Ecco perché lavoriamo con una combinazione di:

  • Documentazione standard che descrive le nostre politiche e i nostri processi in materia di sicurezza e riservatezza delle informazioni.
  • Risposte specifiche per il progetto, adattate al tipo di dati, alla natura del processo, alla criticità e ai rischi.

E se i clienti vogliono ancora più certezze, forniamo anche trasparenza in loco. Alcuni clienti vogliono vedere di persona il nostro centro dati. Così indossiamo i nostri indumenti protettivi, camminiamo insieme fino alla sala server e mostriamo loro letteralmente dove sono conservati i loro dati e dove vengono elaborati. Questo tipo di apertura ispira molta fiducia”.”

Un input per voi: “Se un nuovo cliente, ad esempio una compagnia assicurativa, vuole iniziare a lavorare con noi, qual è l'approccio in termini di dati riservati e sicurezza?”.”

Pierre De Landsheere: “In realtà, spesso inizia prima dell'avvio del progetto. Nella fase di pre-vendita, riceviamo regolarmente valutazioni approfondite sulla sicurezza, soprattutto dal mondo finanziario. Spesso si tratta di voluminosi fogli di calcolo con centinaia di domande sulla sicurezza delle informazioni, sulla privacy dei dati, sull'infrastruttura, sui processi e così via.

Inoltre, ci sono NDA (accordi di non divulgazione) e ulteriori serie di domande prima che si parli di un pilota iniziale. È normale. I clienti vogliono sapere esattamente dove vanno a finire i loro dati riservati.

Una volta che il progetto è stato effettivamente lanciato, si guarda a:

  • Quali documenti e dati tratteremo.
  • Quanto è critico il processo, ad esempio un progetto di archiviazione di sei mesi o processi con uno SLA di quattro ore.
  • Se l'elaborazione è completamente automatizzata o se sono necessarie fasi manuali.

Su questa base, dimensioniamo l'infrastruttura, stabiliamo le misure e ci assicuriamo che l'approccio corrisponda al profilo di rischio del progetto. In questo modo, evitiamo spiacevoli sorprese in termini di capacità, sicurezza o affidabilità”.”

Un input per voi: “A volte collaboriamo con tecnologie o partner esterni, ad esempio per l'automazione o strumenti specifici. Come possiamo garantire la riservatezza dei dati in questi casi?”.”

Pierre De Landsheere: “È un punto molto importante, perché rimaniamo responsabili dei dati che trattiamo, anche quando collaboriamo con terzi.

Cerchiamo di fare due cose:

  1. Fare il più possibile da soli. Ecco perché abbiamo il nostro centro dati, i nostri server e la nostra infrastruttura.
  2. Quando lavoriamo con soggetti esterni, preferiamo scegliere soggetti con cui abbiamo un contatto diretto, non anonimi cloud pubblici dove si scompare nella folla.

Vogliamo evitare di lasciare i dati “da qualche parte nel cloud” senza una chiara visione di dove finiscono fisicamente e di cosa succede esattamente.

Collaboriamo con terzi sulla base di accordi chiari. Ad esempio, se utilizziamo un servizio esterno, chiediamo che nessun dato venga memorizzato in modo permanente da tale soggetto. I dati vengono elaborati, ci vengono restituiti e rimangono a noi. Questo limita l'impatto di un eventuale incidente presso la terza parte.

Tutto questo rientra nella gestione del rischio di terzi, su cui anche le autorità di regolamentazione sono fortemente impegnate. Noi guardiamo a questo aspetto in due direzioni: noi verso i nostri fornitori e noi come fornitori verso i nostri clienti.

Un input per voi: “La criminalità informatica sta diventando sempre più sofisticata. Gli aggressori sono alla costante ricerca di nuovi modi per accedere ai dati. Dove dobbiamo fissare le nostre priorità in questa battaglia?”.”

Pierre De Landsheere: “Il rischio maggiore spesso non è l'hacking altamente sofisticato, ma il fattore umano. Qualcuno che clicca sul link sbagliato, non riconosce un'e-mail sospetta o viene contattato telefonicamente con una storia credibile.

Per questo motivo siamo fortemente impegnati a:

  • Sensibilizzare i nostri dipendenti su ciò che non si deve mai fare, su come riconoscere i segnali sospetti e su cosa segnalare.
  • Compartimentazione dei sistemi in modo che un incidente rimanga limitato e non possa diffondersi a macchia d'olio sull'intera rete.
  • Strumenti di monitoraggio che controllano costantemente ciò che accade sui nostri server, sulla nostra rete e sui nostri sistemi e rilevano attività sospette.

Inoltre, applichiamo il principio dei molteplici livelli di difesa. Non è mai possibile accedere ai nostri sistemi in un unico passaggio. L'accesso viene concesso, ad esempio, tramite:

  1. Una VPN con autenticazione a due fattori.
  2. Un accesso separato ai sistemi interni, con diritti e controlli propri.

Se un livello viene violato da qualche parte, non si è ancora “al centro” del sistema. Il rischio non è mai nullo, ma questo tipo di sicurezza a strati riduce notevolmente la possibilità di incidenti gravi.

Un input per voi: “Come possiamo rimanere informati sulle nuove minacce e sugli sviluppi della criminalità informatica?”.”

Pierre De Landsheere: “Non tutto ciò che si legge sui giornali è rilevante per un'organizzazione come Input for You. Il rischio per un centro di ricerca nucleare è diverso da quello di una società di elaborazione di documenti.

Lavoriamo con una combinazione di:

  • Prodotti di sicurezza con intelligenza integrata, come antivirus, rilevamento delle minacce e sicurezza di rete. Questi vengono continuamente aggiornati con nuove informazioni sulle minacce.
  • Soluzioni di monitoraggio a diversi livelli dell'infrastruttura, che rilevano modelli sospetti senza dover analizzare tutto da soli.

Non è necessario essere un esperto di virus per utilizzare un buon software antivirus. Lo stesso vale in questo caso: acquistiamo le giuste competenze attraverso gli strumenti e le combiniamo con la nostra analisi dei rischi e la progettazione dell'infrastruttura.

Un input per voi: “Una volta che un cliente è attivo, come possiamo garantire che la sicurezza e la protezione dei dati riservati rimangano al livello richiesto nel lungo termine?”.”

Pierre De Landsheere: “Si tratta di una combinazione di controlli periodici e processi continui.

Ogni anno svolgiamo, tra l'altro, le seguenti attività:

  • Test di penetrazione, per verificare la presenza di nuove vulnerabilità.
  • Scansioni di rete, per controllare sistematicamente l'infrastruttura.
  • L'audit esterno ISO 27001, che verifica la conformità dell'intero sistema di gestione.

Inoltre, i processi interni come la gestione del rischio, la gestione degli incidenti, il monitoraggio, il backup e il disaster recovery funzionano continuamente.

È inoltre importante standardizzare il più possibile la nostra infrastruttura IT. Un unico approccio per i backup, un unico approccio per il disaster recovery, un unico sistema di monitoraggio globale. In questo modo evitiamo un groviglio di eccezioni e garantiamo che tutto rientri nello stesso livello di protezione.

Ci distinguiamo nei nostri servizi grazie alla personalizzazione. Nel cuore dell'IT e dell'infrastruttura, puntiamo alla standardizzazione, proprio perché è più sicura e gestibile.”

Un input per voi: “Infine, come vede il futuro della sicurezza e della riservatezza dei dati nel nostro contesto?”.”

Pierre De Landsheere: “Il futuro porterà sicuramente più integrazioni e automazione con terze parti. È quasi inevitabile. La grande sfida diventa quindi come mantenere il controllo su ciò che accade ai dati, dal punto di vista contrattuale, legale e operativo.

L'intelligenza artificiale e i nuovi strumenti rendono possibili molte cose, ma spesso il modello è quello di gettare i dati al di là del recinto e ottenere qualcosa in cambio, senza sapere esattamente cosa succede lungo il percorso. Questo è un problema fondamentale per i dati riservati.

Noi di Input for You cerchiamo di mantenere questo controllo. O facciamo le cose da soli, o ci assicuriamo di avere sufficiente voce in capitolo e di avere una visione del trattamento, in piena linea con il GDPR, che si riferisce alle finalità e ai mezzi del trattamento dei dati.

Una cosa è certa: l'integrazione e l'automazione saranno sempre più frequenti. Il nostro ruolo è quello di garantire che i nostri clienti possano affidarci con fiducia i loro dati riservati durante questa evoluzione, perché monitoriamo il controllo, la supervisione e la sicurezza come parte del nostro servizio.

Informazioni su Pierre De Landsheere

Pierre De Landsheere è il responsabile della sicurezza esterna di Input for You da oltre dieci anni. È consulente di diverse aziende in materia di sicurezza delle informazioni, certificazione ISO 27001 e conformità al GDPR. In questo ruolo, aiuta Input for You a tenere il passo con le nuove normative, gli sviluppi tecnologici e le aspettative dei clienti, senza perdere di vista la riservatezza e la sicurezza dei dati.

isabelle gilles