Sicurezza dati nelle aziende. 3 consigli per tutelare la privacy aziendale
Pubblicato da Teleskill Italia | 03/Mag/2022
Ogni organizzazione possiede un consistente numero di dati che riguardano i processi, i clienti, i dipendenti, i fornitori. I sistemi di sicurezza dei dati aziendali operano per proteggere e tutelare questo patrimonio da eventi esterni o interni.
Quasi ogni giorno possiamo trovare sui media tradizionali e digitali notizie di attacchi informatici che hanno compromesso la sicurezza dei dati aziendali e la privacy aziendale. In effetti questi crimini sono aumentati notevolmente. Il rapporto Clusit 2022 racconta che l’Europa è sempre più al centro degli attacchi dei cyber criminali. Il dato più negativo di tutti è l’aumento importante della severità media degli attacchi, circostanza che comporta danni sempre maggiori e conseguenze sempre più devastanti per le aziende che subiscono le aggressioni.
Ma non si tratta sempre e soltanto di cyber crimine. A volte a compromettere i dati aziendali possono concorrere anche cause interne:
- incuria del dipendente che tratta il dato (atto involontario);
- copia non autorizzata dei dati (atto volontario);
- guasti dei dispositivi elettronici;
- sottrazione delle apparecchiature elettroniche.
Protezione dati aziendali. Il GDPR.
In Italia e in Europa i dati sono regolati dal GDPR (General Data Protection Regulation) che è applicabile in tutti i paesi facenti parte dell’Unione Europea a partire dal 25 maggio 2018. Il Il GDPR distingue tra “dati personali” e “dati personali sensibili”. Rientrano nei “dati personali” informazioni quali il nome e cognome dell’individuo; il suo luogo e data di nascita e i suoi codici di identificazione (carta di credito, conto corrente). Anche gli identificativi on-line, come per esempio l’indirizzo IP, fanno parte di questa categoria.
Sono invece considerati “dati personali sensibili” lo stato di salute dell’individuo; le sue abitudini; le idee politiche; l’orientamento sessuale; l’appartenenza etnica.
Protezione dati aziendali. Tre consigli utili.
In questo articolo condivideremo alcune buone pratiche che possono essere veri e propri “salvavita” quando si tratta di proteggere i dati aziendali.
Primo consiglio. La formazione dei dipendenti.
A volte una perdita di dati aziendali si realizza in perfetta buona fede, o quanto meno per ignoranza del dipendente. Spesso si tende a pensare che chi non abbia accesso ai dati da proteggere possa agire secondo buon senso anche riguardo ai propri dati anagrafici, personali e sensibili, Non è così. La data protection riguarda tutti i collaboratori ed è importante organizzare periodici incontri di formazione e aggiornamento sul GDPR, ma anche sul trattamento dei dati. Se è complicato riunire tutti i collaboratori l’incontro può avvenire in videoconferenza, o webinar. In ogni incontro è bene specificare chi sia in azienda il referente per la data protection in modo da potersi rivolgere a lui con rapidità e velocità in casi di dubbi o errori commessi. Nella protezione dei dati aziendali velocità di azione e condivisione delle corrette informazioni possono essere lo strumento per prevenire danni maggiori.
Secondo consiglio. Evitare attacchi e intrusioni esterne.
Anche se può sembrare una banalità la prima porta d’ingresso dei cyber criminali sono le password. Password banali o lasciate in bella vista su un post it o mai cambiate per anni aumentano sensibilmente la fragilità del sistema e contribuiscono al furto o alla perdita dei dati aziendali. La password quindi dev’essere robusta, cambiata periodicamente, magari legata a sistemi di doppia autenticazione. È bene precisare che non s’intende qui per password quella legata agli specialisti IT o al webmaster, ma anche la semplice password di accesso a un computer aziendale, alla rete wi fi o ai sistemi IoT dell’azienda: accensione e spegnimento del riscaldamento da remoto, monitoraggio dei parcheggi disponibili e così via.
Terzo consiglio. Automatizzare i back up dei dati aziendali.
In caso di attacchi informatici e “sequestro” dei dati dietro riscatto (ransomware) molte aziende hanno trovato riparo nel fatto di possedere un back dei dati. Questa procedura, estremamente importante, andrebbe automatizzata al fine di superare la “distrazione” umana e le variabili del tipo “non c’è stato tempo”, “c’era una cosa più urgente” e altro ancora.
Il back automatizzato per una maggiore sicurezza andrebbe allocato su un doppio server: uno fisico e uno in cloud cifrato.
Come fare formazione online dei dipendenti sui temi della protezione di dati aziendali.
Il modo migliore per tenere tutti aggiornati e in linea su una tematica così complessa è quella di creare una Academy Aziendale basata si una piattaforma e-learning specifica per le finalità formative. Questo significa poter offrire formazione online in diretta in una classe virtuale e poter interagire con i dipendenti come se si fosse in presenza. Ma non solo. La lezione può essere registrata e utilizzata come contenuto formativo anche in seguito in modo da poter trasferire le competenze anche agli assenti.
La piattaforma e-learning può ospitare anche strumenti di formazione asincrona come corsi preregistrati e strumenti per collaborare online con le figure più coinvolte nella protezione dei dati: il responsabile della sicurezza aziendali, il titolare del trattamento dati personali e le altre figure coinvolte.
Ogni attività può inoltre essere tracciata in modo da evidenziare lacune e necessità di corsi ulteriori da parte di singoli collaboratori o di team.
Quello che deve passare in azienda è un atteggiamento di cultura condivisa che fa sì che la protezione dei dati diventi patrimonio di ognuno.
In una Academy Aziendale ad esempio, potrebbe esserci posto per Wiki-Experience, una soluzione Teleskill che permette a ogni collaboratore di caricare audio o video e di condividere le migliori prassi o le esperienze rilevanti in materia di protezione dei dati.
In conclusione quello che è bene comprendere è che l’attività di protezione dei dati aziendali riveste un’importanza primaria e va inclusa nelle attività dell’impresa al pari della comunicazione, del marketing, della distribuzione, della logistica. L’implementazione di buone prassi, che includono anche l’utilizzo di software sicuri, e il controllo periodico del sistema sono la difesa più efficace per proteggere i dati aziendali e la privacy di tutti coloro che, a vario titolo, gravitano intorno all’azienda.