Errore 1: La direzione non prende sul serio la sicurezza informatica e la protezione dei dati

La cosa migliore è che voi, nella vostra funzione di titolare o di membro della direzione, diate il buon esempio in relazione alla sicurezza informatica e alla protezione dei dati, emanando ad esempio direttive sulla gestione di password, dispositivi mobili, informazioni, e-mail e internet. Mostrate che il tema della sicurezza informatica e della protezione dei dati vi sta a cuore e assicuratevi che siano avviate e anche attuate corrispondenti misure.

Errore 2: Utilizzare soluzioni cloud gratuite

Pur essendo pratici e facilmente accessibili, i cloud gratuiti non sono il luogo adatto per caricare documenti confidenziali come contratti con i clienti o listini con i prezzi di acquisto. Bisogna considerare che nelle soluzioni cloud gratuite i dati personali vengono salvati in genere fuori dalla Svizzera, senza garantire un livello sufficiente di sicurezza. Usate prudenza nell’utilizzo delle soluzioni cloud e optate per lo meno su servizi cloud certificati basati in Svizzera.

Errore 3: Scarsa sensibilizzazione del personale

Uno dei più grandi pericoli per la sicurezza informatica e la protezione dei dati consiste in una perdita di dati dovuta a negligenza o nel furto di dati causato da un proprio comportamento scorretto o da comportamenti errati dei collaboratori. Se ad esempio un notebook aziendale viene lasciato incustodito in una sala riunioni esterna, delle password vengono annotate su post-it attaccati sul computer oppure si collocano documenti confidenziali nel Dropbox gratuito, ciò può avere conseguenze gravi per l’azienda. Sensibilizzate i vostri collaboratori sul tema della sicurezza informatica e della protezione dei dati e fate loro seguire una formazione in materia. Non ve ne pentirete! I firewall e le soluzioni di sicurezza più costose non servono a niente se i collaboratori aprono la strada ad abusi indesiderati adottando comportamenti sbagliati.

Errore 4: Nessun budget per la sicurezza informatica e la protezione dei dati

Il tema sicurezza informatica e protezione dei dati incide troppo sulla sopravvivenza dell’azienda per potersi permettere di ignorarlo. Affrontate il problema e stanziate un budget per chiarire e ottimizzare la situazione della vostra azienda insieme a un consulente esterno. Adottate a tal fine un approccio pragmatico: meglio poche misure, ma messe in pratica. Così facendo evitate che la sicurezza informatica e la protezione dei dati diventino un pozzo senza fondo. Nello scegliere le misure è raccomandabile tenere conto del triangolo formato da rischi, fruibilità e costi.

Errore 5: Nessuna gestione del rischio

la base per qualsiasi misura concernente la sicurezza informatica e la protezione dei dati è una efficace gestione del rischio. Riflettete a fondo sui rischi ai quali la vostra azienda è esposta e sulla peggiore delle ipotesi (worst case) al verificarsi dei maggiori rischi. Ponetevi in merito le seguenti domande:

• quali sono i beni più preziosi da proteggere per quanto riguarda l’informatica e i dati?
• Quali pericoli e minacce incombono su di essi?
• Quali sono i rischi e i punti deboli della vostra infrastruttura informatica?
• Quali danni può arrecare alla vostra azienda una lacuna a livello di sicurezza?

Pianificate dunque delle misure per ogni rischio identificato, stimatene i costi di attuazione e definite responsabilità e scadenze, tenendo sempre a mente che non è mai possibile garantire una sicurezza al 100%. Stabilite quali rischi residui accettate consapevolmente e siete in grado di sostenere. Una soluzione che sta acquisendo crescente popolarità è quella delle assicurazioni contro la cybercriminalità.

Errore 6: Progetti una tantum invece di un compito permanente

Nell’era della trasformazione digitale le premesse iniziali per la sicurezza informatica e la protezione dei dati cambiano in modo sempre più veloce. Considerate la sicurezza informatica e la protezione dei dati un compito permanente e non un progetto con un inizio e una fine. Verificate inoltre a intervalli regolari se i vostri sistemi informatici soddisfano gli attuali standard di sicurezza.

Errore 7: Mancanza di autorizzazioni utente

Gestite le autorizzazioni d’accesso degli utenti e concedete ai vostri collaboratori soltanto i diritti d’accesso di cui hanno bisogno per svolgere il proprio lavoro (principio del «need to know»). Verificate ogni anno le effettive autorizzazioni utente e stabilite un processo efficace per l’assunzione e la partenza dei collaboratori.

Errore 8: Nessuna misura di accompagnamento a livello organizzativo

Ogni misura tecnica relativa alla sicurezza informatica e alla protezione dei dati comporta automaticamente una misura a livello organizzativo, un po’ come succede per le auto che necessitano regolarmente di una revisione. Se ad esempio si installa un firewall, è necessario che questo sia sempre aggiornato. Fissate a tal proposito compiti, responsabilità e scadenze.

Buono a sapersi

Il regolamento generale sulla protezione dei dati (RGPD/GDPR), entrato in vigore a maggio 2018, disciplina a livello europeo come le aziende devono gestire i dati personali. Tale regolamento si applica anche alle ditte con sede in Svizzera che registrano sui propri siti web i dati personali di utenti internet dell’UE (ad es. sotto forma di cookie) per offrire loro merci o servizi all’interno del territorio dell’UE. D’ora in poi le aziende saranno tenute a richiedere il consenso direttamente alla persona interessata o a dimostrare che il loro interesse all’acquisizione dei dati prevale sul diritto fondamentale alla protezione dei dati delle persone interessate.