La sicurezza delle informazioni deve essere sottoposta a audit regolarmente, così come avviene per gli aspetti finanziari delle aziende

La rivoluzione industriale ha portato alla creazione di diverse nuove professioni, compresi i contabili pubblici. Grazie alla Rivoluzione Digitale, abbiamo assistito all’ascesa dei revisori della sicurezza delle informazioni. Tuttavia, l’audit indipendente della sicurezza delle informazioni generalmente non è considerato essenziale per il corretto funzionamento di un’azienda come gli audit finanziari annuali. Per fortuna, crediamo che questo sarà destinato a cambiare negli anni.

La sicurezza delle informazioni può essere una questione di vita o di morte

La Finlandia sta vivendo un osceno promemoria di come tale sicurezza sia appunto una questione di vita o di morte. Vastaamo, un centro privato di psicoterapia che fornisce consulenza attraverso il sistema sanitario del paese, ha subito una violazione dei suoi archivi nell’arco degli ultimi due anni. A ottobre, i criminali hanno inviato email che minacciavano la pubblicazione di documenti privati ​​se i pazienti di Vastaamo non avessero pagato una richiesta di riscatto che è raddoppiata dopo ventiquattro ore.

Questo caso dimostra come la possibile esposizione di informazioni compromesse possa causare gravi danni, potenzialmente anche letali. Per evitare casi futuri come Vastaamo, devono esserci adeguati controlli sulla sicurezza delle informazioni per tutti i sistemi che elaborano dati personali sensibili.

Così tanti dati da sottoporre a audit, così poco tempo

Attualmente, gli audit di sicurezza vengono condotti, ma solo da organizzazioni che riconoscono l’importanza di valutare i rischi informatici. Credo che nel futuro, idealmente nel prossimo futuro, questi audit dei dati saranno considerati di routine e necessari come lo sono oggi gli audit finanziari. Tuttavia, ciò non sarà possibile se ci aspettiamo che le autorità di regolamentazione del governo facciano l’audit.

Reijo Aarnio, il difensore civico finlandese per i dati da poco in pensione, ha stimato che ci vorrebbero 10.000 anni per eseguire un primo audit completo di tutti i sistemi che elaborano i dati personali in Finlandia utilizzando le attuali risorse dell’autorità per la protezione dei dati. L’audit sulla sicurezza delle informazioni da parte di funzionari governativi sarebbe una cattiva idea quanto sostituire audit finanziari indipendenti con un’ispezione annuale da parte degli esattori delle tasse governative.

Come potrebbero essere gli audit di sicurezza smart

Abbiamo bisogno di standard internazionali, organismi di certificazione e ispezioni regolari della sicurezza delle informazioni nei sistemi critici. Da altri settori sappiamo che le autorità dovrebbero accreditare gli organismi di certificazione e ispezione. Possono anche partecipare allo sviluppo di requisiti e standard, ma questo dovrebbe essere guidato, preferibilmente, da organizzazioni di definizione degli standard che seguono i “Sei Principi” dell’OMC. La certificazione e l’ispezione devono essere eseguite da organismi di certificazione privati ​​indipendenti. L’automazione giocherà un ruolo cruciale nella verifica della sicurezza delle informazioni, non solo per il controllo dei costi, ma anche per garantire un’ispezione tempestiva e una copertura completa.

I decision maker aziendali devono capire che se non testi i tuoi prodotti, qualcuno lo farà per te, che tu voglia o meno l’aiuto. Le vulnerabilità verranno inevitabilmente scoperte e se non è la tua organizzazione o un fornitore di test, potrebbe essere un hacker o un bot che esegue la scansione di Internet alla ricerca di punti deboli o un attaccante che desidera farti del male. Ecco perché tutti i sistemi e i dispositivi che si connettono a Internet dovrebbero essere testati da un’entità indipendente di fiducia.

Sì, questo crea nuovi obblighi per le imprese. Ma come abbiamo visto nel caso Vastaamo, i problemi di tempo e costi non sono scuse quando si tratta di proteggere la risorsa più preziosa che esiste: i dati dei clienti.