+39 0376 369728 [email protected]

Qualche consiglio per tenere i propri (e altrui) dati al sicuro

di Denise Ghidetti

 

Complice il lockdown inaspettato di marzo 2020 – causato dall’ormai tristemente famosa pandemia di Covid-19 – moltissime persone si sono ritrovate “smart-worker” all’improvviso. In Italia lo smart-working (nella vera e propria accezione del termine*) è un fenomeno ancora pressoché sconosciuto, se non nelle grandi realtà. 

Purtroppo nessuno era preparato a quello che sarebbe successo; di conseguenza la stragrande maggioranza delle aziende non aveva strumenti a sufficienza da mettere a disposizione dei propri dipendenti per far fronte ai mesi che sarebbero arrivati. Per questo motivo gran parte dei lavoratori hanno sì, iniziato a svolgere le proprie mansioni da casa, ma arrangiandosi alla benemeglio. Dunque utilizzando dispositivi personali. Ecco allora che arriviamo al nocciolo della questione: se in azienda per tutti i dispositivi sono previste misure di sicurezza quali vpn, firewall, anti-malware, ecc.  periodicamente aggiornate da un amministratore di sistema, possiamo dire lo stesso dei nostri pc/tablet/smartphone personali?

Evidentemente la maggior parte di noi non si preoccupa troppo di proteggere i propri dispositivi; infatti secondo il rapporto fornito dal Clusit (Associazione Italiana per la Sicurezza Informatica) nel primo trimestre 2020 sono stati registrati i più gravi cyber attacchi a livello globale (Italia compresa) degli ultimi 7 anni.

Proviamo a fare un po’ di chiarezza.

* modalità di esecuzione del rapporto di lavoro subordinato, caratterizzato dall’assenza di vincoli orari o spaziali (…).

I concetti base sulla privacy e i dati personali

Innanzitutto dobbiamo definire il concetto di Dato Personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile. Una persona può essere identificata direttamente o indirettamente attraverso:

  • nome
  • età
  • sesso
  • e/o qualsiasi altro elemento caratteristico della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Per Violazione dei dati personali si intende invece la violazione di sicurezza che comporta in modo accidentale o illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali.

Per poter parlare di Incidenti occorre aver chiaro alcuni concetti legati agli obiettivi della Sicurezza Informatica, che a sua volta permettono di definire le caratteristiche fondamentali dei Dati, ovvero: Riservatezza, Integrità e Disponibilità.

 

Quali sono le minacce per le caratteristiche dei dati?

Costituiscono minacce alla Riservatezza:

  • hacker
  • virus
  • phishing
  • ransomware
  • trojan, ecc. (detti minacce “esogene”)

ma anche un utente interno o esterno all’azienda, come per esempio un fornitore – che accede a dati personali per trarne un proprio rendiconto, o un collega che invia file usando Dropbox, Google Drive, indirizzo email personale (le cosiddette minacce “endogene”). Stiamo parlando di dati che devono essere accessibili solo per le persone autorizzate.

Costituiscono minacce all’Integrità tutte quelle modifiche improprie o non autorizzate; quindi un utente distratto, un ransomware o cryptolocker o semplicemente un hacker.

Sono invece minacce alla Disponibilità tutte quelle che danneggiano un dato, rendendolo illeggibile (parliamo di danni accidentali come guasti, ma anche di virus, cancellazioni involontarie di files, ecc).

Dopo avervi annoiati con le suddette definizioni, passiamo invece alla parte pratica.

 

Cosa possiamo fare per proteggere i nostri Dati?

Oggi il trattamento dei dati personali in Italia avviene secondo le norme del Regolamento UE del codice della Privacy, nel rispetto della dignità umana, dei diritti e delle libertà fondamentali della persona (GDPR).

1.È fondamentale innanzitutto nominare alcune figure fondamentali:

  • DPO (Data Protection Officer) 
  • Responsabile Trattamento Dati
  • Amministratore di Sistema

2.Adottare un regolamento e delle procedure interne e fare una valutazione d’impatto, attraverso Audit periodici;

 

3.Formare il personale in maniera adeguata e fornire informative privacy per dipendenti, clienti e fornitori (da tenere sempre aggiornate);

 

4.Assicurarsi di acquisire sempre in maniera corretta il consenso al trattamento dei dati (sito internet, canali social, impianti di videosorveglianza, ecc.).

 

Sicurezza deriva da consapevolezza

Il mondo del GDPR è molto vasto ed in costante aggiornamento; potrebbe sembrare noioso e/o complesso. Io stessa, che ho iniziato ad occuparmene da pochi mesi, prima di addentrarmi in questo settore ero molto scettica e cercavo di rimanervi alla larga.

Vi posso assicurare invece, che è davvero interessante e soprattutto ho imparato che soltanto attraverso l’acquisizione di consapevolezza circa la propria realtà aziendale si possono individuare misure per proteggerla.

Servirebbero ancora pagine e pagine per approfondire l’argomento, ma spero che queste poche nozioni possano essere d’aiuto a tutti per navigare con un po’ più di consapevolezza nel Trattamento dei Dati.