L'utilizzo della crittografia è uno strumento ben noto nell'ambito della sicurezza informatica che si è guadagnata recentemente una certa notorietà al di fuori del mondo degli specialisti. La causa è stato l'ampio uso, da parte dei cybercriminali, di strumenti crittografici per attaccare le aziende di ogni tipo, purtroppo con grande successo: stiamo parlando ovviamente dei ransomware. Tuttavia gli algoritmi crittografici hanno da sempre costituito il principale scudo per proteggere uno dei pilastri della sicurezza: la confidenzialità dei dati.

Tutti gli standard e le best practice internazionali infatti suggeriscono l'uso della crittografia, sia a livello di rete (trasmissione di dati), sia per la conservazione ed elaborazione delle informazioni. In realtà, come suggerito anche dal report indicato, sembra che l'impiego di sistemi crittografici sia ampiamente al di sotto delle aspettative. In particolare la survey in calce ha indicato come solo una minoranza degli intervistati sia riuscito con successo a integrare la crittografia nei propri processi, ad esempio adottando soluzioni avanzate, capaci di proteggere il dato lungo tutto il ciclo di vita dell'informazione. 

Le ragioni sono dovute solo in parte all'inevitabile aggravio tecnico ed economico, conseguente all'inserimento di una nuova soluzione di sicurezza. Uno dei motivi principali è viceversa l'utilizzo di prodotti off-the shelf compiuta soprattutto per ragioni di compliance, senza un'adeguata valutazione dei rischi. Paradossalmente, proprio l'avvento del GDPR ha favorito questa tendenza, per la quale molte aziende si sono affidate a un prodotto, magari dal brand altisonante, ma senza capire esattamente le conseguenze dell'adozione di un sistema crittografico nei propri processi.

Il suggerimento in questo caso è di fare affidamento sulla propria analisi dei rischi per evidenziare le aree dove la confidenzialità dei dati è rilevante e solamente in tali situazioni, prevedere uno strumento crittografico. Senza addentrarsi nei dettagli tecnici, si raccomanda poi di adottare soluzioni che coprano tutto il ciclo di vita del dato da proteggere e di prestare la massima attenzione alla gestione delle chiavi crittografiche.