I nostri dispositivi informatici sono sempre più soggetti a software dannosi e minacce alla sicurezza di vario tipo.

Oggi i nostri dispositivi, siano essi server, computer, smartphone o tablet, sono sempre più soggetti a software dannosi e minacce alla sicurezza informatica di vario tipo. Il regolamento generale sulla protezione dei dati, noto anche come GDPR e diventato operativo il 25 maggio 2018, ha imposto alle aziende un cambiamento nell’approccio alla gestione dei dati, alla sicurezza dei software e alla formazione del personale. Questo si traduce nell’attuazione di misure tecniche e procedurali per proteggere le componenti dei sistemi informatici e per garantire la riservatezza delle informazioni, evitandone gli usi illeciti, la divulgazione, la modifica e la distruzione.

sicurezza-dei-dati-aziendali

Come primo passo per la sicurezza dei dati aziendali è opportuno gestire la protezione dei dispositivi e della navigazione online, è necessario essere sempre aggiornati sulle principali categorie di malware e su altre possibili minacce. I pericoli possono soprattutto derivare da tre motivi:

  1. Dalla quantità e qualità delle risorse che i pirati informatici hanno a disposizione;

  2. Dal mascheramento dell’attività illecita e di spionaggio dei dati, che permette loro di procedere indisturbati senza destare sospetti;

  3. Dalla scarsa attenzione e preparazione dal punto di vista della sicurezza informatica dell’utente.

A questi fattori possono aggiungersi anche comportamenti impropri che, involontariamente, agevolano gli attacchi informatici.

Tutte le misure preventive devono essere affiancate da efficaci strumenti IT di rilevazione in grado di abbreviare i tempi che intercorrono fra l’attacco e la scoperta delle sue conseguenze. Così, per valutare l’efficacia di un sistema di sicurezza informatica, è necessario individuare le minacce, le vulnerabilità e i rischi associati agli asset informatici, affinché si possano evitare possibili attacchi (interni o esterni), capaci di provocare danni diretti o indiretti a una determinata organizzazione.

 

Analisi del rischio informatico

Diventa quindi fondamentale l’analisi delle vulnerabilità del sistema informatico.

Per mantenere la sicurezza dei dati informatici e prevenire violazioni al GDPR da parte di qualcuno che non sia il titolare o il responsabile del trattamento dei dati, bisogna valutare anche il rischio informatico. Esso può essere definito come il rischio di danni economici (rischi diretti) e di reputazione (rischi indiretti) derivanti sicurezza-dei-dati-informaticidall’uso della tecnologia, intendendo sia i rischi impliciti nella tecnologia (i cosiddetti rischi di natura endogena) che quelli derivanti dall’automazione.

In particolare, è necessario prestare attenzione al danneggiamento di hardware e software, alla presenza di programmi indesiderati, ad errori nell’esecuzione di operazioni nei sistemi e al loro malfunzionamento. 

 

Misure preventive

Devono dunque essere predisposte delle misure specifiche per limitare i rischi a livello hardware, software e della rete. Esse devono assicurare un adeguato livello di sicurezza dei dati informatici, inclusa la riservatezza, tenendo conto dello stato dell’arte e dei costi di attuazione rispetto ai rischi che presentano queste operazioni e alla natura dei dati da proteggere. Nella valutazione del rischio per la sicurezza è opportuno tenere in considerazione i pericoli riguardanti il trattamento dei dati personali, come la distruzione accidentale o illegale, la perdita, la modifica, la rivelazione o l’accesso non autorizzato a informazioni personali trasmesse, conservate o comunque elaborate, che potrebbero provocare un danno fisico, materiale o immateriale.

GDPR Analisi dei rischi

Nel GDPR si chiarisce che il titolare del trattamento è chiamato a mettere in atto misure tecniche e organizzative adeguate a garantire – dimostrandolo – che il trattamento dei dati personali è effettuato conformemente al Regolamento (principio di accountability). Lo stesso Regolamento approfondisce questo tema all’articolo 32, a proposito della sicurezza del trattamento.

Come detto, bisogna anzitutto tenere conto dello stato dell’arte e dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento, così come delle varie probabilità di rischio e della gravità delle conseguenze per i diritti e le libertà delle persone fisiche. Dopodiché, il titolare e il responsabile del trattamento devono mettere in atto delle misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio, che comprendano:

  1. La pseudonimizzazione e la cifratura dei dati personali;

  2. La capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali;

  3. La capacità di ripristinare tempestivamente la disponibilità e l’accesso ai dati in caso di incidente fisico o tecnico;

  4. Una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative, così da garantire la sicurezza del trattamento.

Nello specifico, la pseudonimizzazione è un particolare trattamento dei dati personali che impedisce di accedervi senza l’utilizzo di informazioni aggiuntive, che devono essere conservate separatamente e rispettando una serie di misure tecniche e organizzative che non permettano di ricondurre quei dati a una persona fisica identificata o identificabile.

Inoltre, per la prima volta si parla di resilienza dei sistemi informatici, intesa come la capacità ad adattarsi alle condizioni d’uso e di resistere all’usura, così da garantire la disponibilità dei servizi erogati.

Assumono infine particolare importanza le procedure legate al disaster recovery e l’analisi dei rischi. Diventa infatti fondamentale predisporre uno piano specifico con il quale si intenda fornire servizi di analisi dei rischi in caso di problemi del sistema informatico e di misure da adottare per ridurli, nonché la messa a punto di un vero e proprio piano di emergenza informatica che comprenda anche procedure legate alla business continuity.

Hai paura di finire in guai seri per la perdita dei dati e voi mettere in sicurezza i dati informatici aziendali? Contattaci e scopri la procedura migliore per evitare tutto ciò e tornare a dormire sonni sereni.
Chiama lo 011-946.81.61, oppure scrivi all’indirizzo e-mail a info@tptechnology.it.