Sicurezza Informatica

Tutti quanti sentiamo parlare di Virus informatici, troian, sottrazione di dati e/o credenziali.

Ma quanti di noi si soffermano a pensare alle conseguenze della sottrazione di dati?

Supponiamo che in uno studio legale siano sottratti documenti relativi ad accordi tra aziende diverse, o che da uno studio medico siano sottratte le cartelle cliniche e terzi possano avere informazioni sulle condizioni di salute dei pazienti dello studio.

Il danno può arrivare ad essere grave ed è il professionista (o l’azienda) ad esserne responsabile per la legge.

Per ridurre al minimo il rischio di perdita o sottrazione dei dati sono possibili numerose iniziative che, se non danno la garanzia di sicurezza assoluta (garanzia che non esiste), possono ridurre enormemente il rischio di perdita o sottrazione dei dati, anche da parte di personale infedele interno all’azienda.

La normativa vigente (GDPR) prevede la responsabilità da parte di un soggetto economico dei dati appartenenti a terzi. Quindi, se un’azienda subisce un attacco informatico deve adempiere a quanto segue:

• Auto-denuncia al Garante per la privacy
• Pagamento di un’ammenda pari al 2% del fatturato lordo aziendale dell’esercizio precedente, con un massimo di 10 milioni di €. Se l’auto-denuncia di cui al punto precedente viene eseguita dopo le 48 ore dall’attacco informatico la sanzione raddoppia, come anche il limite massimo
• Spedizione di una raccomandata o di una PEC a tutti i clienti e fornitori, inclusi quelli non più operanti con l’azienda, i cui dati erano presenti sul sistema Informativo aziendale.

Oltre alle ovvie spese relative ai tecnici informatici che devono ripulire il Sistema Informativo dal/i virus/malware e devono ripristinare le copie.

• Analisi e messa in sicurezza del Sistema Informativo (SI) dell’Azienda.
  • Chiusura dei punti di accesso dall’esterno con dispositivi che bloccano accessi non desiderati.
  • Controllo delle connessioni di rete
  • Attribuzione di password crittate al Wi-fi aziendale
• Impostazione di un valido sistema di password per accedere al proprio PC con analisi e definizione del “chi fa cosa”. Questo è un elemento fondamentale per scoraggiare accessi non autorizzati da parte di elementi esterni o interni all’azienda, aventi lo scopo di sottrarre informazioni.
• Controllo/individuazione di una corretta politica di esecuzione delle copie. Proteggersi è giusto, anzi fondamentale, ma se qualcosa non dovesse funzionare deve essere sempre possibile ripartire da dove si era arrivati. Supponiamo ad esempio che di notte sia rubato il server della tua azienda. La disponibilità della copia di tutti gli archivi potrebbe volere dire riprendere a lavorare dopo una pausa tutto sommato breve.
• Formazione del personale per evitare siano commessi errori in grado di compromettere la sicurezza aziendale, con consegna di una dispensa alla fine del corso. Nella maggior parte dei casi gli attacchi dall’esterno arrivano per errori commessi involontariamente dal personale. L’apertura di una e-mail da un mittente sconosciuto, spesso, installa sul PC un virus o un troian in grado di sottrarre dati al SI. Istruire il personale è l’unico strumento a disposizione per evitare questo tipo di errori.