Sicurezza informatica e protezione dei dati nelle aziende

Cosa si intende per “Sicurezza Informatica” e “Protezione dei Dati”?

Prima di guardare da vicino gli aspetti principali che riguardano il mondo della sicurezza dei dati è bene fare chiarezza, distinguendo due termini tra loro apparentemente simili: Sicurezza informatica (ovvero Cyber Security o IT[1] Security) e Information Security (Sicurezza delle Informazioni o Protezione dei Dati).

La sicurezza informatica è definita come l’abilità di difendere il cosiddetto Cyberspazio[2] – ovvero internet, le reti di telecomunicazioni, i computer e gli altri dispositivi connessi tra loro e con le reti informatiche – da eventuali attacchi e si focalizza perciò su aspetti esclusivamente di sicurezza IT e protezione dei sistemi informatici.

Per Information Security (protezione dei dati o delle informazioni) si intende invece l’insieme delle misure e degli strumenti finalizzati a garantire e preservare confidenzialità, integrità e disponibilità delle informazioni. Information Security è dunque un concetto più ampio che abbraccia la sicurezza del patrimonio informativo nel suo complesso, facendo riferimento alla protezione dei dati in qualsiasi forma, anche non digitale e includendo anche aspetti organizzativi e di sicurezza fisica – in questo ambito quindi ricadono sia i documenti che abbiamo salvato sul nostro computer o inviato via mail che le informazioni in formato cartaceo, ad esempio i documenti che conserviamo nei raccoglitori posti nei nostri scaffali.

In un momento della storia in cui i dati sono sempre più digitali, Cyber Security e Information Security tendono a convergere in un concetto di “Protezione e Sicurezza delle Informazioni” in cui la tecnologia tende ad assumere il peso maggiore.

Protezione delle Informazioni è quindi, in estrema sintesi, tutelare le informazioni aziendali da accessi indesiderati, garantendo al contempo la loro riservatezza e assicurando il funzionamento e la disponibilità dei servizi che usano queste informazioni.

In dettaglio occorre preservare i seguenti aspetti (validi indipendentemente dalla natura dell’informazione – cartacea o digitale che sia):

  • la disponibilità dei dati: ovvero la possibilità, per i soggetti autorizzati, di poter accedere alle risorse di cui hanno bisogno per un tempo stabilito ed in modo ininterrotto.
  • l’integrità dei dati, garantendo che le informazioni non vengano modificate o cancellate per via di una manomissione volontaria, un errore o un malfunzionamento tecnico;
  • la riservatezza, garantendo che i dati e le risorse siano preservati dal possibile utilizzo o accesso da parte di soggetti non autorizzati. La riservatezza deve essere assicurata lungo tutte le fasi di vita del dato: dal suo immagazzinamento, durante il suo utilizzo o il suo trasferimento

Cosa occorre verificare per capire se la sicurezza informatica della nostra azienda è a rischio?

Per avere una trattazione esaustiva su questo aspetto possiamo rimandare ad un altro articolo del nostro blog che contiene una lista di controllo messa a punto da ENISA[1]. E’ però importante, in questo specifico contesto, riportare ciò che è scaturito da una serie di studi indipendenti[2] condotti tra Stati Uniti ed Europa negli ultimi 10 anni a proposito delle violazioni della sicurezza in azienda. Nella maggior parte dei casi la violazione poteva essere evitata con un’adeguata formazione del personale mirata. Questo tipo di intervento formativo è chiamato Cybersecurity Awareness[3] che, come dice il nome, ha come obiettivo la maggiore consapevolezza, in ambito aziendale che l’utilizzo dei dati e delle risorse informative aziendali deve essere fatto senza metterne a rischio la protezione contro accessi esterni, manomissioni o danneggiamenti.

C’è però un aspetto organizzativo che, accanto alla formazione del personale, riveste un’importanza cruciale per la sicurezza e la protezione dei dati aziendali. Le aziende devono:

  • sapere quali sono i dati a disposizione dell’impresa,
  • dove si trovano,
  • chi ne è responsabile.

Dovendo tradurre l’elenco precedente in buone pratiche potremmo dire che ogni azienda, quale che sia la propria dimensione, dovrebbe:

  • Realizzare e mantenere aggiornato un registro dei dati raccolti in azienda;
  • Creare un elenco dei dipendenti e collaboratori che hanno accesso ai diversi tipi di dati; non tutti hanno bisogno di accedere a tutte le informazioni a disposizione dell’azienda, per cui buona norma è concedere la visione solo ai dati di cui ogni risorsa ha effettivamente bisogno;
  • Eseguire una valutazione del rischio su base regolare: la loro utilità è quella di permettere all’azienda di individuare in anticipo le potenziali minacce che mettono in pericolo i propri dati.

Protezione dati e GDPR: interazioni e relazioni

Ciò che abbiamo detto alla fine del paragrafo precedente vale ovviamente anche per la protezione dei dati personali a cui si riferisce la normativa GDPR (General Data Protection Regulation). In sintesi, se un’azienda si organizza per seguire le buone pratiche di cui alla lista precedente, non farà molta fatica ad essere “adeguata” al GDPR ottenendo due risultati nello stesso momento:

  • aumentare la sicurezza informatica e fisica delle proprie informazioni;
  • adeguarsi alla normativa GDPR.

Lo Studio Corigliano & Porfido incoraggia le PMI e gli studi professionali a valutare il proprio livello di sicurezza informatica.

Vuoi un supporto per la valutazione delle misure di cybersecurity nella tua azienda? Vuoi conoscere la strada giusta da intraprendere per tutelare i tuoi dati?

Contattaci!


[1]    Agenzia dell’Unione Europea per la Sicurezza Informatica

[2]    Tra gli altri: CoxBlue , CybeReady Inc., Hoxhunt, ENISA, Society for Human Resource Management, Society for Industrial and Organizational Psychology, ResearchGate GmbH.

[3]    https://en.wikipedia.org/wiki/Internet_security_awareness


[1]    IT sta per Information Technology

[2]    https://it.wikipedia.org/wiki/Cyberspazio

Lascia un commento