Protezione dei dati aziendali: i rischi principali da evitare

Sulla sicurezza dei dati aziendali c’è sempre molto da dire, poiché, in un contesto di digitalizzazione crescente, si utilizzano sempre più applicazioni per gestire dati e quindi la protezione degli stessi diventa una priorità assoluta. Questo vale in particolare per le aziende data driven, in cui le principali decisioni vengono prese sulla base di dati oggettivi.

In un altro post abbiamo affrontato il tema dei guasti più frequenti dei server aziendali, qui invece ci occupiamo dei rischi che le aziende devono evitare per proteggere adeguatamente i dati.

È fondamentale proteggersi da attacchi esterni ma anche dai furti di dati effettuati da collaboratori, perciò occorre un piano di protezione dei dati e delle reti.

Statistiche sul numero di attacchi informatici in Italia

Secondo i dati raccolti da Clusit (Associazione Italiana per la Sicurezza Informatica), gli attacchi gravi (cioè capaci di causare danni finanziari o d’immagine superiori a 1 milione di euro) sono raddoppiati in 4 anni; nel 2019 c’è stato un incremento del +8,3% rispetto all’anno precedente e il 43% dei casi ha riguardato piccole e medie imprese, un dato cruciale poiché in Italia sono molto numerose le PMI e quindi particolarmente a rischio.

Va aggiunto, inoltre, che la grande azienda di solito riesce a stare a passo con le esigenze di cyber security, mentre quelle più piccole non riescono a farlo in autonomia.

In base alle ricerche di Clusit, risulta che il 48% degli attacchi ha successo a causa dell’impreparazione del personale aziendale: questo è molto preoccupante, perché indica la necessità di intervenire anche sulla formazione dei dipendenti.

Riguardo il tipo di minacce che un’azienda deve tenere in considerazione, dal Global Risks Report 2020 del World Economic Forum risulta che i cyber attacchi e il furto di dati sensibili sono classificati al sesto e al settimo posto in ordine di probabilità di accadimento, in pratica si tratta di minacce frequenti e pericolose quasi quanto i disastri ambientali e gli eventi estremi.

Le cose da sapere sui possibili rischi di sicurezza per le aziende

Ogni azienda dovrebbe adottare e mettere in pratica un piano di protezione del patrimonio informativo per individuare le criticità, fornire una formazione specialistica ai propri dipendenti in tema di protezione dati, ridurre le vulnerabilità hardware e software, e per monitorare gli accessi alle infrastrutture e ai dati aziendali.

Tutte le aziende dovrebbero porsi le seguenti domande e predisporre la propria strategia difensiva focalizzandosi sulle proprie necessità:

• L’azienda è aggiornata allo stesso modo in cui si evolvono le minacce informatiche?
• Il piano per la sicurezza identifica le più efficaci attività di mitigazione?
• L’azienda possiede le competenze sulla cyber security per analizzare i propri dati?

Questi sono i principi da osservare per quanto concerne la protezione dei dati aziendali:

Disponibilità dei dati, riducendo i rischi legati all’accesso alle informazioni. Ciò va fatto individuando quali sono i dati a disposizione dell’azienda, tenendone traccia e identificando le figure aziendali e i dipendenti che hanno accesso alle banche dati aziendali.

Integrità dei dati, cioè la garanzia che le informazioni non siano cancellate o modificate per errore o per azioni volontarie, anche in seguito a un malfunzionamento.

Formazione dei dipendenti: è essenziale organizzare incontri periodici di formazione e di assistenza, nonché nominare una figura specifica in azienda che si occupi della sicurezza e della gestione dei dati.

Riservatezza informatica: gestione della sicurezza per diminuire i rischi connessi all’accesso o all’uso dei dati in forma non autorizzata.

Usare software di protezione affidabili ed eseguire periodicamente backup delle informazioni sensibili e personali aziendali.

Riguardo, infine, il GDPR, questo ha comportato dei cambiamenti nella sfera della protezione dei dati anagrafici aziendali, ma non relativamente ai dati sulle società.

Questo è il testo ufficiale della normativa prevista dal Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati: “Le regole si applicano solo ai dati personali delle persone fisiche, non regolano i dati sulle società o altre persone giuridiche. Tuttavia, le informazioni relative alle società individuali possono costituire dati personali laddove consentano l’identificazione di una persona fisica. Le regole si applicano anche a tutti i dati personali relativi a persone fisiche nel corso di un’attività professionale, come i dipendenti di una società / organizzazione, indirizzi e-mail aziendali come “nome.cognome@azienda” o numeri di telefono aziendali dei dipendenti”.

Occorre dunque fare molta attenzione anche a divulgare dati in apparenza innocui, per non subire possibili danni e multe.