Articoli

Le policy di sicurezza informatica nel nuovo Regolamento Europeo sulla privacy

Le policy di sicurezza informatica sono cruciali per le aziende pubbliche e private, specialmente in un contesto di crescente connettività. Queste policy aiutano a prevenire minacce come cyber spionaggio e ransomware, e devono includere la formazione dei dipendenti e la protezione dei dispositivi aziendali. L’implementazione di misure come backup regolari e antivirus aggiornati garantisce una gestione sicura dei dati e riduce i rischi di violazione.

L’importanza della sicurezza informatica per aziende pubbliche e private

La sicurezza informatica è un elemento sempre più rilevante nell’ambito di aziende pubbliche e private, soprattutto in seguito alla maggior interconnessione dei sistemi ed il considerevole aumento dei servizi offerti attraverso la rete Internet.

Infatti, il proliferare e l’aumento del numero e della varietà dei dispositivi connessi alla rete, fa si che sia sempre più difficile avere una puntuale gestione della sicurezza  informatica anche a causa di un elevato flusso di dati continuamente crescente e spesso ingestibile sotto il profilo della protezione delle risorse e delle informazioni aziendali.

Cyber spionaggio e minacce alla sicurezza IT: il ramsonware

L’attuale generazione di cyber spionaggio – il cosiddetto hacker – rintraccia dati, informazioni e file cercando direttamente falle nei sistemi di sicurezza delle infrastrutture IT – ivi comprese le piattaforme Web (siti istituzionali, cloud, social network, ecc,) – mentre altri cyber-criminali si specializzano nella rivendita dei contatti e nei furti di identità.

Vi è poi il noto fenomeno del “ramsonware” dove intere reti di computer e periferiche di memorizzazione vengono prese letteralmente in ostaggio con perdita di dati in caso del mancato pagamento di un riscatto.

Quindi, i titolari e i responsabili del trattamento nonché gli amministratori di sistema, sotto la cui responsabilità ricadono abitualmente le problematiche di sicurezza, si trovano anche in virtù dei dettati della normativa privacy alla protezione delle informazioni custodite all’interno dei sistemi e a verificare di conseguenza il corretto utilizzo degli apparati in uso agli utenti finali.

Si tratta di quelle misure adeguate definite nell’art. 32 del Regolamento U.E. 27 aprile 2016 n.679 anche se non meglio precisate sul piano tecnico.

Normative interne: le policy di sicurezza informatica

In questo panorama, pur se non espressamente previste, già da tempo le organizzazioni hanno adottato delle normative interne –  comunemente denominate policy di sicurezza informatica  o security policy – che indicano le misure organizzative e quali comportamenti debbano essere tenuti da dipendenti e collaboratori per contrastare i rischi informatici.

E’ ovvio, infatti, che l’atteggiamento imprudente nell’uso di internet, di workstation e di smartphone aziendali può mettere a serio rischio tutta la struttura, con blocchi di produttività e, ora più che mai, di data breach ovverosia violazione di dati con tutti gli adempimenti che ne conseguono (art. 33 del medesimo sopraindicato Regolamento U.E.)

Rischio del comportamento imprudente degli utenti finali e formazione del personale

Non basta infatti studiare solo un piano di difesa informatica se poi un operatore disattende le procedure di sicurezza accettando volontariamente di eseguire un allegato di posta elettronica o aprire un improbabile file in quanto nessuno lo ha appositamente istruito!!!

Ma la sicurezza informatica scaturisce prima di tutto da una corretta percezione dei dipendenti e, in generale, da tutti coloro che utilizzano i servizi tecnologici messi a disposizione dall’azienda; si parla quindi di una corretta formazione che deve essere preliminare all’uso dei dispositivi informatici stessi.

Ogni policy va infatti esposta, facendo comprendere agli interessati che sono parte attiva del processo di messa in sicurezza dei dati aziendali. Occorre spiegare il perché di ogni divieto e il perché sul PC o sullo smartphone aziendale non è possibile installare software e applicazioni non certificate (e men che meno di dubbia o illecita provenienza) ed anche perché è rischioso utilizzare piattaforme social e altre applicazioni online poco sicure con i laptop destinati all’uso aziendale.

Le policy aziendali per prevenire il phishing e altre minacce

Chi definisce le policy interne deve anche farsi carico di formare e chiarire cosa sono ad esempio le attività di phishing (frode informatica finalizzata all’ottenimento di dati personali sensibili  quali password, numero di carta di credito ecc. e perpetrata attraverso l’invio di un messaggio di posta elettronica a nome di istituti di credito, finanziarie, agenzie assicurative, in cui si invita l’utente, generalmente al fine di derubarlo, a comunicare tali informazioni riservate), cosa possono provocare e come evitarle.

D’altra parte, l’azienda dovrebbe limitare le possibilità di “errore” magari filtrando anche le attività Web e i siti visitabili con azioni di content filtering (operazione di analisi e filtraggio di ogni parola chiave caricata nel browser indicata come “sconveniente” e quindi interdetta dai risultati dal motore di ricerca).

La sensibilizzazione deve ottenere un effetto formativo: ad esempio dovrebbe essere compreso da tutti che un qualsiasi dispositivo informatico che appartenga o che transiti in azienda dovrebbe essere validamente protetto e che, su tutti i PC e, comunque qualunque dispositivo che si colleghi alla rete aziendale, dovrebbe aver installato un antivirus e un software anti-malware professionale aggiornati quotidianamente.

Best practice per la sicurezza informatica in azienda

Molta attenzione, ad esempio, dovrebbe essere riposta nelle cautele volte a:

  • mantenere segrete le proprie credenziali di accesso (password e/o pin);
  • non lasciare libero accesso ai propri dispositivi in caso di assenza momentanea dalla propria postazione lavorativa;
  • controllare l’accesso ad internet ed ai servizi di posta elettronica;
  • verificare la presenza di eventuali tracce malevoli prima di utilizzare supporti rimovibili, quali pendrive e memory card:;
  • curare l’osservanza di backup periodici;
  • evitare per l’uso di dispositivi aziendali al di fuori dell’ambito lavorativo.
  • ecc.

Tuttavia, le policy devono anche riflettere le realtà aziendali e vanno quindi create e modulate sulla reale contingenze dell’azienda evitando anche il segno opposto cioè quello di ingessare la stessa azienda con pratiche o procedure inutili ed ininfluenti sul piano della sicurezza informatica.

Considerazioni finali sulla sicurezza informatica aziendale

Nel panorama italiano non esistono indicazioni formali da seguire nella compilazione delle policy di sicurezza informatica per cui il tutto viene lasciato all’inventiva ed alla capacità di titolari e responsabili che debbono prima esaminare il contesto organizzativo interno e poi produrre adeguate norme di comportamento, tenendo anche conto dell’evoluzione tecnologica  dei sistemi e quindi della necessità di dover adeguare nel tempo le stesse policy.

E’ importante nella creazione delle stesse regole effettuare una preliminare analisi del rischio in modo da bilanciare la formulazione delle stesse direttive.

Un modello corretto di formulazione delle policy connesso ad una piena comprensione delle stesse regole potrebbe consentire un ulteriore innalzamento delle difese da attacchi cibernetici e permettere all’aziende di operare con maggiore serenità.

Sarebbe comunque auspicabile, a parere di chi scrive, almeno sollecitare le aziende affinchè vi siano criteri minimi nell’adozione di policy giusto per mantenere un livello accettabile di sicurezza informatica quantomeno a livello interno.

BIBLIOGRAFIA

REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016  relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)

http://194.242.234.211/documents/10160/0/Regolamento+UE+2016+679.+Con+riferimenti+ai+considerando

A cura di: Emilio Souberan

Condividi sui Social Network:
Emilio Souberan

D.P.O. - Docente e Formatore di Informatica, Cybersecurity e Data Protection - Innovation Manager (MISE) - IT Security & Privacy Auditor presso numerose aziende ed organizzazioni.

Recent Posts

Forum ICT Security, insights dalla 22a Edizione

Il Forum ICT Security 2024, svoltosi il 23 e 24 ottobre a Roma, si conferma…

3 giorni ago

NIS2, approvato il primo atto esecutivo

Due anni dopo essere stata approvata, la Direttiva europea 2022/2555, nota come NIS2 (Network and…

2 settimane ago

Business continuity planning (BCP), in cosa consiste? Le 7 fasi del piano di business continuity

Il business continuity planning (BCP) è un processo strategico e operativo fondamentale per garantire la…

2 settimane ago

Gestione delle Password: Un Approccio Completo per la Sicurezza Digitale

La Gestione delle Password rappresenta un elemento essenziale nella protezione degli account online, soprattutto alla…

2 settimane ago

Cybersquatting e Combosquatting – La minaccia digitale per i marchi aziendali

Il cybersquatting e il combosquatting sono minacce crescenti nel panorama digitale, con gravi implicazioni per…

2 settimane ago

La governance di sicurezza del Programma spaziale europeo

Il programma spaziale europeo rappresenta un elemento chiave per l’autonomia strategica dell’Unione Europea, nonché per…

2 settimane ago