Il delicato bilanciamento tra privacy e cybersecurity. DPO e CISO possono sembrare in conflitto per le loro diverse priorità, ma condividono un obiettivo comune: proteggere le informazioni
Nell’intricato mondo della gestione aziendale moderna, emergono due figure chiave: il data protection officer (DPO) e il chief information security officer (CISO). La domanda che si pongono molti osservatori è se questi due professionisti possano collaborare armoniosamente o siano destinati a trovarsi in conflitto. Il DPO, carico della necessità di rispettare normative stringenti come il GDPR, si preoccupa principalmente della protezione dei dati personali: è posto a tutela della privacy delle persone.
Il CISO, invece, è il custode della cybersecurity, incaricato di proteggere l’infrastruttura e le informazioni aziendali da minacce esterne e interne. Sebbene i loro obiettivi sembrino convergere sulla protezione delle informazioni, le loro priorità spesso divergono, creando zone di tensione. Un esempio concreto di conflitto emerge quando si parla di conservazione dei log, o di monitoraggio delle attività degli utenti. Il CISO potrebbe insistere per monitorare il più possibile e mantenere log dettagliati delle attività degli utenti per periodi prolungati, utili per indagini future su possibili incidenti di sicurezza.
Il DPO, al contrario, potrebbe vedere queste pratiche come troppo invasive, e in violazione dei principi di minimizzazione e limitazione dei dati, insistendo per l’eliminazione tempestiva dei log contenenti dati personali. Questa tensione richiede un delicato bilanciamento tra sicurezza e privacy, spesso non facile da raggiungere. Ma nonostante le divergenze, le possibilità di collaborazione sono ampie e significative. Le normative di riferimento per il DPO, come il GDPR, e quelle per il CISO, tra cui la NIS2, presentano molte intersezioni. Entrambe richiedono un approccio rigoroso alla gestione del rischio, la gestione degli incidenti, la formazione continua, e così via.
Soprattutto l’approccio basato sull’analisi del rischio, comune a entrambe le normative, diventa un pilastro comune e consente di costruire un sistema di controlli convergente e sinergico tra privacy e cybersecurity. Questa integrazione non solo migliora la protezione complessiva delle informazioni, ma facilita anche la conformità, ottimizzando l’uso delle risorse aziendali. Anche le contromisure in ultima analisi finiscono spesso per coincidere. Misure come la crittografia e i controlli di accesso rigorosi, necessarie per proteggere i dati, rispondono sia alle esigenze di conformità del GDPR che ai requisiti di sicurezza informatica.
Un caso particolarmente felice è quello che vede l’adozione di meccanismi di autenticazione multifattore e Single-Sign-On. Una corretta implementazione di queste contromisure tecniche contribuisce sia alla protezione dei dati, sia alla cybersecurity, e in più facilita l’uso per l’utente, come per esempio quando conferma una richiesta d’accesso tramite un’app sicura sul proprio cellulare. L’utente si trova in una condizione dove è più tutelata la sua privacy, perché è meno esposto al furto d’identità e rischia meno di mettere a repentaglio i suoi dati; è più tutelata la sua sicurezza, perché il riconoscimento è assai più robusto che con una tradizionale password; e non è costretto a inventare e ricordare password che devono cambiare ogni pochi mesi.
La formazione e la sensibilizzazione dei dipendenti rappresentano un altro campo di collaborazione fruttuosa. Un programma educativo unificato che copra sia le pratiche di sicurezza informatica sia di protezione dei dati personali promuove una cultura aziendale consapevole e responsabile, che aumenta anche la resilienza del business. In conclusione, sebbene DPO e CISO possano sembrare avversari a prima vista, le loro funzioni possono e devono essere integrate per il bene comune dell’organizzazione.
La chiave è la comunicazione costante e la collaborazione strategica, per bilanciare le esigenze di sicurezza con quelle di privacy, trasformando potenziali conflitti in opportunità di rafforzamento reciproco. Così, in un mondo sempre più afflitto dalle minacce informatiche (come ben descritto nel rapporto CLUSIT) e dalla necessità di proteggere i dati personali, la collaborazione tra DPO e CISO non è solo auspicabile, ma essenziale.
Mauro Cicognini Comitato Scientifico CLUSIT
