FOCUS: LA SICUREZZA INFORMATICA

Le regole principali per proteggere i dati personali in azienda.

Premessa
Nell’epoca dell’Industria 4.0 è basilare per le aziende trattare e affrontare il tema della sicurezza dei dati e delle informazioni digitali e quindi in generale il tema della sicurezza informatica.
Essa può essere definita come “l’insieme delle misure, di carattere organizzativo e tecnologico, atte a garantire l’autenticazione dell’utente, la disponibilità, l’integrità e la riservatezza delle informazioni e dei servizi, gestiti o erogati in modo digitale”.
Troppo spesso viene trascurato l’aspetto della sicurezza dell’IT (Information Technology) e non ci si rende conto che il mancato investimento in questo settore, può portare a gravi danni economici anche alla luce dei principi introdotti dal Regolamento Europeo 679/2016 e delle sanzioni in esso previste.
Chi investe in risorse e formazione sul tema della sicurezza informatica ha davvero compreso la chiave del business aziendale del futuro.
Partiamo da un dato certo: il rischio legato alla sicurezza informatica non è eliminabile in assoluto; nessuna azienda, per quanto dotata di esperti di cybersecurity potrà escludere al 100% i rischi causati dall’uso della rete, questo perché la velocità con cui cambiano i sistemi e i software corre in parallelo con i nuovi bug e i processi di vulnerabilità della rete stessa.
Come può allora l’azienda difendersi? Quali sono le principali strategie per affrontare il rischio e quindi rispettare la normativa GDPR, che richiede al titolare del trattamento di porre in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio? (art. 32 GDPR)
Partiamo da un dato certo: la principale causa di violazioni della sicurezza informatica oggi è rappresentata dalla mancanza di formazione del personale dipendente e quindi dall’errore umano.
Appare banale a prima vista ma in realtà nel maggior numero dei casi in azienda il primo fattore che causa falle nella rete aziendale è proprio il fattore umano, rappresentato dal dipendente distratto o poco istruito oppure addirittura dal cosiddetto insider (attaccante interno all’azienda) che volontariamente commette una violazione del sistema.
Fondamentale quindi è impostare una valida politica interna sulla corretta gestione dei sistemi informatici.
Tra le best practice raccomandate anche dai consulenti privacy e DPO in sede di verifica della compliance al GDPR, vi è quella di redigere, con l’aiuto anche del responsabile IT, un vademecum operativo o un regolamento interno, chiaro e funzionale, rivolto al personale dipendente meglio se accompagnato anche da un evento formativo ad hoc, sull’uso dei dispositivi e delle password e della rete internet, corredato anche dall’analisi delle principali minacce provenienti dalla rete.
Occorre programmare la formazione del personale dipendente in modo continuativo in quanto l’uso della rete rappresenta sicuramente una risorsa ma va saputa gestire, evitando ad esempio di scaricare software non autorizzati dall’azienda o peggio ancora essere vittime di attacchi di social engineering con il rischio di provocare danni economici anche molto pesanti all’azienda. Non dimentichiamo poi che il verificarsi di data breaches impone, ai sensi degli art. 33 e 34 GDPR, la notifica al Garante e in alcuni casi la comunicazione agli interessati con ricadute sulla reputation aziendale.
Occorre quindi che il titolare dell’azienda per primo si faccia portavoce della “cultura della sicurezza informatica” che diventa principio fondamentale nel GDPR e la cui violazione espone a gravi e pesanti sanzioni l’azienda.
Altra best practice è quella della mappatura dei trattamenti con individuazione delle misure di sicurezza al fine di una minimizzazione del rischio.
Molte aziende ad esempio scelgono di utilizzare software più o meno sofisticati per il rilevamento delle intrusioni e per testare il proprio sistema, che attuino anche un filtraggio dei contenuti (sistemi firewall più o meno complessi e strutturati) in aggiunta ovviamente a programmi aggiornati di antivirus, antispyware e antispam. Partendo dalla consapevolezza della importanza della sicurezza informatica in azienda, sarà possibile costruire un sistema economico saldo e forte; in assenza invece della presa di coscienza dell’importanza di tale aspetto, si rischia di affidare il futuro della economia a rischi potenzialmente sempre maggiori.
Vediamo insieme una breve check list per le aziende, stilata di recente in occasione dell’Italian Cybersecurity Report presentato alla Sapienza di Roma rivolto alle micro, piccole e medie imprese ricordando che la validità delle misure di sicurezza è limitata nel tempo e che basilare è la continua revisione dei processi, mediante un sistema ciclico e iterativo, proprio per intrinseca costante evoluzione degli attacchi informatici.
1 – Redigere elenco dei software e dispositivi in uso, tenerli aggiornati e verificarne l’uso quotidiano. Raccomandata una nomina interna di un responsabile per la gestione dei sistemi informatici e per il coordinamento delle attività di gestione delle informazioni e dei sistemi.
2 – Gestione delle reti – utilizzo di sistemi di autenticazione e autorizzazione informatica, salvataggio dati almeno con frequenza settimanale e gestione delle procedure di ripristino e di business continuity e disaster recovery.
3 – Protezione dai malware – Adozione di filtri, antispam, antivirus e altri controlli di sicurezza. Basilare è l’ausilio e il confronto con il responsabile del reparto IT.
4 – Gestione password e account – importante è la politica di gestione delle password, che devono essere modificate con frequenza, mai condivise, con verifica costante di chi accede ai vari operativi. Importante laddove si accede a sistemi che trattano dati personali è prevedere un sistema di autenticazione a due fattori, esempio password + sms, oppure email di conferma.
5 – Formazione e consapevolezza – Misura di sicurezza fondamentale e molto spesso invece trascurata è la formazione del personale. Il consiglio degli esperti di sicurezza è quello di prevedere annualmente un format di corsi adeguati in relazione ai compiti, ai ruoli e alle funzioni del personale aziendale.
6 – Backup dati e procedure di ripristino in casi di incidenti di sicurezza. Il backup è fondamentale per evitare il pagamento di riscatti (a volte anche inutili) per riottenere la disponibilità dei dati criptati a seguito di attacco informatico. Occorre verificare che le copie siano integre e complete.
7 – Protezione delle reti – attraverso sistemi di firewall, strumenti hardware e software che consentono di bloccare flussi di dati illeciti. Utilizzo di sistemi di IDS (Intrusion Detection System) per prevenire intrusioni non autorizzate e sistemi di filtro delle mail.
8 – Prevenzione – Attraverso uso corretto delle licenze software e aggiornamenti, campagne di formazione e utilizzo di personale qualificato.
Dall’analisi della checklist si nota come si tratti di consigli apparentemente semplici da realizzare, con costi che variano a seconda delle dimensioni aziendali, ma che sicuramente rappresentano un investimento imprescindibile, se rapportato ai danni potenziali che queste misure possono contrastare.

CONCLUSIONI
Nessuno può dirsi al riparo dagli attacchi cyber, in quanto inevitabilmente il maggiore sviluppo delle tecniche digitali e dell’utilizzo di internet, anche nella Pubblica Amministrazione, porta con sé l’aumento del rischio connesso all’uso della rete. Per primi gli Stati e i loro governi devono porre al primo punto delle agende quello della sicurezza informatica, unendo gli sforzi per proteggere il sistema e per sensibilizzare il mondo delle imprese che altrimenti rischia di essere fragile.
I principi della Cybersecurity, in conclusione, devono imporsi alla base (by default e by design per riprendere il principio del GDPR) di ogni nuovo progetto di sviluppo tecnologico per non vanificare gli sforzi e i risultati ottenuti dal progresso stesso e devono essere parte integrante della cultura aziendale e del business.

Avv. Francesca Ariodante