La barriera è un elemento immateriale e/o fisico che riduce uno o più rischi; ha la funzione di resistere alle sollecitazioni a cui viene sottoposta; barriere diverse hanno differente capacità di resistere alle minacce innescate dalle vulnerabilità. Le barriere prevedono misure tecniche ed organizzative; esistono molti tipi di barriere, la casistica è comune a tutti i contesti (salute e sicurezza sul lavoro, ambiente); in questo articolo verranno illustrati i tipi principali, in relazione al tema della protezione dei dati, che prevede prevalentemente il ricorso a barriere di tipo immateriale.
Il contesto in cui agiscono le barriere – Le barriere servono a proteggere i dati minacciati dagli agenti (persone malintenzionate, persone non malintenzionate, infrastrutture tecnologiche, eventi naturali).
Le barriere agiscono, in scenari negativi che devono essere evitati riducendo/eliminando la possibilità di azione da parte dell’agente di minaccia il quale sfrutta una vulnerabilità ovvero una debolezza. In altri termini le barriere riducono il rischio ovvero il verificarsi dello scenario negativo, innescato da una vulnerabilità che si vuole evitare.
I sistemi di gestione forniscono, anche grazie ad un frame basato sul rischio, una serie di misure riconducibili ad altrettante barriere.
I tipi di barriere – A volte la differenza tra i vari tipi di barriere che si possono adottare non è netta, ma in ogni caso l’aspetto rilevante consiste nell’individuare quelle più efficaci in relazione ai dati che si vogliono proteggere; qui di seguito, sono illustrate le caratteristiche delle principali tipologie.
– Barriera di inaccessibilità: rende inaccessibili i dati ad un agente di minaccia; ad esempio: sistemi ad accesso protetto (sala server, quadro elettrico), un sistema di canali per isolare i cavi di rete.
– Barriera di contenimento dell’agente di minaccia: trattiene l’agente di minaccia all’interno di un sistema chiuso affinché esso non possa esprimere, in tutto o in parte, il suo potenziale dannoso; ad esempio: archivio contenente dati non accessibile dall’esterno, una VPN, [ (Virtual Private Network) è una rete privata virtuale che garantisce privacy, anonimato e sicurezza attraverso un canale di comunicazione] . procedure per la disattivazione dei server e per la loro dismissione, un software antivirus, o un firewall installato a difesa perimetrale di una rete informatica
– Barriera di contenimento della vulnerabilità: agisce per limitare i danni salvando quanto possibile; si deve adottare quando non è più possibile annullare il danno, ma solo contenerne gli effetti; ad esempio: sistema sprinkler per contenere gli effetti di un incendio.
– Barriera di riduzione della vulnerabilità: è orientata a ridurre le vulnerabilità operando sulla differenziazione; ad esempio più back-up archiviati in sistemi e luoghi diversi, prove di restore condotte ad intervalli pianificati, più fornitori in grado di effettuare le medesime attività, matrice di back-up del personale.
– Barriera di riduzione della quantità: ha la finalità di ridurre la quantità di dati esposta ad un pericolo; ad esempio: parcellizzazione dei dati su più server ed in località diverse, dispersore di terra negli impianti elettrici.
– Barriera comportamentale: si riferisce al comportamento umano che ci si può ragionevolmente attendere in uno specifico scenario negativo; tale barriera è un mix di misure organizzative (formazione, regolamenti), esperienza delle persone (affinata anche con prove e simulazioni), valutazione del loro stato emotivo, efficacia dei sistemi di sorveglianza/vigilanza.
– Barriera di allarme: fornisce, ad un’entità in grado di ricevere e comprendere il messaggio, l’avviso dell’insorgenza di una minaccia; ad esempio: cartello di divieto di accesso, impianto di rilevazione dei fumi.
– Barriera di sostituzione: sostituzione di un componente altamente vulnerabile con uno meno vulnerabile; ad esempio: server che può funzionare anche a temperature ambientali elevate, sistemi informatici più efficienti nel rilevare intrusioni di malintenzionati.
– Barriera di contemporaneità della minaccia: realizzata per impedire che due eventi avvengano contemporaneamente o in capo ad un unico agente di minaccia, in quanto tale condizione potrebbe evidentemente rendere più probabile, e grave, il danno; ad esempio: autorizzazione fornita, in sequenza o simultaneamente, da due diversi soggetti, abilitati a cancellare dei dati.
– Barriera composita: formata da due o più barriere tra loro combinate; ad esempio: barriera comportamentale associata a barriera di contemporaneità.
Ruolo del DPO – Le barriere devono essere messe in atto per prevenire situazioni di emergenza; il Data Protection Officer ed il Titolare del trattamento devono valutare l’efficacia di risposta da parte delle barriere. Queste ultime devono essere in grado di resistere a sollecitazioni dovute anche a situazioni anomale, e non solo a quelle ordinarie in cui può avvenire il trattamento; per fare ciò non solo deve valutare che esse siano applicate, ma anche che siano efficaci (si veda anche Art. 32 1d del Regolamento UE 2016/679); tale controllo è opportuno che sia eseguito tramite audit.
Ai collaboratori aziendali, nel loro ruolo di responsabili della valutazione ed applicazione delle misure previste dalle barriere, fa capo il loro controllo delle stesse.
Conclusione – Le barriere sono un altro modo di classificazione delle misure di sicurezza da attuare per la compliance al GDPR (rispetto della normativa sulla Privacy di quel complesso di flussi, informazioni, trattamenti dei dati, software e sistemi che avviene in azienda); definirle per tipologia non è un esercizio fine a se stesso, ma un’occasione per valutarne l’efficacia con il supporto dei collaboratori aziendali, nonché per evidenziare l’eventuale necessità di introdurne di nuove o di modificare quelle esistenti, ricordando sempre che una barriera che non è in grado di resistere nemmeno alle situazioni ordinarie, è come se non ci fosse.