Sicurezza informatica e protezione dei dati

Errori che le piccole imprese dovrebbero evitare

Sulla scia della trasformazione digitale, la sicurezza informatica e la protezione dei dati sono compiti che preoccupano sempre di più le piccole imprese. Wolfgang Sidler, titolare dell’azienda di consulenza informatica Sidler Information Security, evidenzia gli errori che i piccoli imprenditori dovrebbero assolutamente evitare di commettere.

  • La cosa migliore è che voi, nella vostra funzione di titolare o di membro della direzione, diate il buon esempio in relazione alla sicurezza informatica e alla protezione dei dati, emanando ad esempio direttive sulla gestione di password, dispositivi mobili, informazioni, e-mail e internet. Mostrate che il tema della sicurezza informatica e della protezione dei dati vi sta a cuore e assicuratevi che siano avviate e anche attuate corrispondenti misure.

  • Pur essendo pratici e facilmente accessibili, i cloud gratuiti non sono il luogo adatto per caricare documenti confidenziali come contratti con i clienti o listini con i prezzi di acquisto. Bisogna considerare che nelle soluzioni cloud gratuite i dati personali vengono salvati in genere fuori dalla Svizzera, senza garantire un livello sufficiente di sicurezza. Usate prudenza nell’utilizzo delle soluzioni cloud e optate per lo meno su servizi cloud certificati basati in Svizzera.

  • Uno dei più grandi pericoli per la sicurezza informatica e la protezione dei dati consiste in una perdita di dati dovuta a negligenza o nel furto di dati causato da un proprio comportamento scorretto o da comportamenti errati dei collaboratori. Se ad esempio un notebook aziendale viene lasciato incustodito in una sala riunioni esterna, delle password vengono annotate su post-it attaccati sul computer oppure si collocano documenti confidenziali nel Dropbox gratuito, ciò può avere conseguenze gravi per l’azienda. Sensibilizzate i vostri collaboratori sul tema della sicurezza informatica e della protezione dei dati e fate loro seguire una formazione in materia. Non ve ne pentirete! I firewall e le soluzioni di sicurezza più costose non servono a niente se i collaboratori aprono la strada ad abusi indesiderati adottando comportamenti sbagliati.

  • Il tema sicurezza informatica e protezione dei dati incide troppo sulla sopravvivenza dell’azienda per potersi permettere di ignorarlo. Affrontate il problema e stanziate un budget per chiarire e ottimizzare la situazione della vostra azienda insieme a un consulente esterno. Adottate a tal fine un approccio pragmatico: meglio poche misure, ma messe in pratica. Così facendo evitate che la sicurezza informatica e la protezione dei dati diventino un pozzo senza fondo. Nello scegliere le misure è raccomandabile tenere conto del triangolo formato da rischi, fruibilità e costi.

  • la base per qualsiasi misura concernente la sicurezza informatica e la protezione dei dati è una efficace gestione del rischio. Riflettete a fondo sui rischi ai quali la vostra azienda è esposta e sulla peggiore delle ipotesi (worst case) al verificarsi dei maggiori rischi. Ponetevi in merito le seguenti domande:

    • quali sono i beni più preziosi da proteggere per quanto riguarda l’informatica e i dati?
    • Quali pericoli e minacce incombono su di essi?
    • Quali sono i rischi e i punti deboli della vostra infrastruttura informatica?
    • Quali danni può arrecare alla vostra azienda una lacuna a livello di sicurezza?

    Pianificate dunque delle misure per ogni rischio identificato, stimatene i costi di attuazione e definite responsabilità e scadenze, tenendo sempre a mente che non è mai possibile garantire una sicurezza al 100%. Stabilite quali rischi residui accettate consapevolmente e siete in grado di sostenere. Una soluzione che sta acquisendo crescente popolarità è quella delle assicurazioni contro la cybercriminalità.

  • Nell’era della trasformazione digitale le premesse iniziali per la sicurezza informatica e la protezione dei dati cambiano in modo sempre più veloce. Considerate la sicurezza informatica e la protezione dei dati un compito permanente e non un progetto con un inizio e una fine. Verificate inoltre a intervalli regolari se i vostri sistemi informatici soddisfano gli attuali standard di sicurezza.

  • Gestite le autorizzazioni d’accesso degli utenti e concedete ai vostri collaboratori soltanto i diritti d’accesso di cui hanno bisogno per svolgere il proprio lavoro (principio del «need to know»). Verificate ogni anno le effettive autorizzazioni utente e stabilite un processo efficace per l’assunzione e la partenza dei collaboratori.

  • Ogni misura tecnica relativa alla sicurezza informatica e alla protezione dei dati comporta automaticamente una misura a livello organizzativo, un po’ come succede per le auto che necessitano regolarmente di una revisione. Se ad esempio si installa un firewall, è necessario che questo sia sempre aggiornato. Fissate a tal proposito compiti, responsabilità e scadenze.

  • Il 25 maggio 2018 è entrato in vigore il nuovo regolamento generale sulla protezione dei dati (RGPD) che disciplina a livello europeo le modalità di trattamento dei dati personali da parte delle aziende. Tale regolamento si applica anche alle ditte con sede in Svizzera che registrano sui propri siti web i dati personali di utenti internet dell’UE (ad es. sotto forma di cookie) per offrire loro merci o servizi all’interno del territorio dell’UE. D’ora in poi le aziende saranno tenute a richiedere il consenso direttamente alla persona interessata o a dimostrare che il loro interesse all’acquisizione dei dati prevale sul diritto fondamentale alla protezione dei dati delle persone interessate.

Il nostro esperto

Wolfgang Sidler, titolare e consulente sulla sicurezza della società Sidler Information Security GmbH di Hünenberg, fondata nel 2009, fornisce consulenza a PMI e aziende di grandi dimensioni in materia di sicurezza informatica e protezione dei dati. Dal 2009 lavora anche per conto dell’incaricato della protezione dei dati del Cantone di Lucerna ed è docente presso l’Università di Lucerna alla facoltà di Giurisprudenza. In precedenza l’informatico gestionale con un Master of Advanced Studies in Information Security ha ricoperto il ruolo di esperto in sicurezza presso vari istituti bancari, assicurazioni e aziende anche all’estero.

Altri argomenti che potrebbero interessarvi