6 minute read
La tutela dei dati aziendali e il lavoro da remoto
Cy ber security
Lo smart working, e in generale la necessità di lavorare in ambienti e con strumentazione interconnessa, ha da una parte permesso di proseguire l’attività lavorativa durante il periodo emergenziale, ma sfortunatamente ha anche imposto alle aziende questo passaggio senza, spesso, una corretta pianificazione esponendo le imprese ad attacchi informatici, aumentati in maniera significativa nell’ultimo periodo. Da quanto riportato nell’ultimo report Clusit (Associazione italiana per la sicurezza informatica) nel primo semestre del 2021 gli attacchi verso realtà stabilite in Europa aumentano sensibilmente (dal 15% al 25%), gli attacchi gravi con effetti molto importanti (High) sono il 49%, quelli devastanti (Critical) rappresentano il 25%, quelli di impatto significativo (Medium) il 22%, e quelli con impatto basso solo il 4%. In questo caso gli attacchi con impatto Critical e High sono il 74%. Il Malware è la tecnica più utilizzata, rappresentando il 43% del totale (in crescita del 10,5% rispetto all’anno precedente), in particolare l’incremento dell’attività dei ransomware con richiesta di riscatto. Infatti, è stata osservata una crescita dell’attività di questo malware di circa il 350% rispetto allo stesso periodo del 2020. L’aumento degli attacchi informatici e la digitalizzazione sempre più spinta dell’attività lavorativa richiedono alle imprese di prestare una attenzione sempre maggiore alla tutela dei dati e di approntare misure di cyber security in grado di garantire un presidio costante sugli asset aziendali.
Un sistema di protezione efficace
Tutte le aziende che intendono tutelare i propri dati e il proprio know how devono iniziare a impostare un sistema pensato alla prevenzione e alla proceduralizzazione, un primo approccio è affrontare il tema della sicurezza dei dati in maniera omogenea, non demandando tale adempimento a poche figure isolate. Per intraprendere un percorso coerente un buon punto di partenza è fornito dall’ENISA, l’Agenzia UE per la sicurezza informatica, la quale ha voluto fornire dieci spunti per affrontare il tema della cyber security che le PMI devono assolutamente tenere in considerazione: di Fabrizio Salmi
• Commitment del management. Impegno dei vertici aziendali e comprensione dell'importanza della sicurezza informatica per l'organizzazione. • Risk Assessment. La valutazione preliminare dello stato di sicurezza in essere, identificazione degli asset da tutelare, decisone delle priorità. • Policy di sicurezza informatica. Disporre delle necessarie linee operative per gestire la sicurezza informatica e identificazione di un responsabile della sicurezza e della supervisione dell'attuazione delle misure di protezione delle reti informative. • Consapevolezza del rischio. I dipendenti devono comprendere i rischi ed essere formati riguardo ai corretti comportamenti da tenere: un’efficace formazione permette di ridurre il rischio di errore umano, una delle principali vulnerabilità. • Aggiornamento dei sistemi. Effettuare sempre tutti gli aggiornamenti consigliati in ogni server, workstation, macchina e device possibilmente con modalità automatizzate. • Backup. Eseguire spesso il backup dei dati più importanti mette l’azienda al riparo dai costi di ripristino che potrebbero seguire a un attacco ransomware. • Gestione degli accessi. Definire regole e politiche per la gestione degli accessi e applicarle.
• Protezione endpoint.
• Accesso remoto sicuro. Limitare il più possibile l'accesso da remoto predisponendo le adeguate misure tecniche. • Piano di Recovery. Predisporre un piano dettagliato su come gestire un incidente quando si verifica. L’aumento degli attacchi informatici e la digitalizzazione sempre più spinta dell’attività lavorativa richiedono alle imprese – inclusi i fornitori di servizi di stampa – di prestare un’attenzione sempre maggiore alla tutela dei dati e di approntare misure di cybersecurity in grado di garantire un presidio costante sugli asset aziendali.
Data protection e GDPR
Il tema della protezione dei dati non può prescindere dalla tutela dei dati personali, a oggi normati dal Regolamento Europeo 2016/679 (il c.d. GDPR). All’art. 25 del GDPR viene introdotto un concetto fondamentale: la protezione adeguata in relazione alla specificità del contesto in cui il titolare si trova a effettuare le diverse attività di trattamento. Ovvero occorre tenere conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate. Ciò richiede che i dati personali siano protetti sin dalla fase di progettazione del trattamento e che, per impostazione predefinita, siano trattati solo i dati personali necessari per ogni specifica finalità del trattamento. Pertanto nella costruzione dei propri archivi di dati personali e nell’intero svolgimento dei propri processi lavorativi l’azienda dovrà poter garantire in ogni passaggio, ivi inclusi i trattamenti svolti in smart working, che i dati personali sono trattati in modo lecito, corretto e trasparente, per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; e conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati.
+ 15–25% attacchi verso realtà europee (primo semestre 2021) 74% attacchi con impatto Critical e High 43% il malware è la tecnica più utilizzata
+ 350%
crescita dei ransomware (attacchi con richiesta di riscatto) rispetto allo stesso periodo del 2020 L’aumento degli attacchi informatici e la digitalizzazione sempre più spinta dell’attività lavorativa richiedono alle imprese di prestare un’attenzione sempre maggiore alla tutela dei dati e di approntare misure di cybersecurity in grado di garantire un presidio costante sugli asset aziendali.
La privacy dei lavoratori
Ulteriore aspetto che dovrà essere tenuto in considerazione dalle aziende è contemperare le esigenze di tutela dei dati e gli adempimenti in materia di privacy con il divieto di controllo a distanza dei lavoratori. Uno dei punti fondamentali che unisce cybersecurity, tutela dei dati personali e smart working è il BYOD, un acronimo per 'bring your own device' e si riferisce alla possibilità per una azienda di implementare e regolare l'uso di dispositivi personali dei dipendenti per scopi lavorativi. Ove sussista tale possibilità è necessaria la presenza di procedure per regolare come i dipendenti accedono a informazioni e software aziendali privilegiati sui loro dispositivi personali, che sarebbero collegati alla rete aziendale. Una politica BYOD efficace è essenzialmente un insieme di regole che stabilisce il livello di supporto che un dipartimento IT può fornire ai dispositivi di proprietà dei dipendenti utilizzati sul posto di lavoro, salvaguardando sia gli interessi dei datori di lavoro che dei dipendenti. L’azienda deve rimanere sempre in controllo delle informazioni, pertanto, prima di avviare un programma BYOD è bene che sia analizzata l’introduzione del nuovo “strumento” in termini di rischi per la privacy degli interessati e che siano individuati, nel caso necessario, dei rimedi da porre in essere prima del trattamento, poiché l’introduzione del BYOD si configura come un nuovo trattamento, in quanto inserisce rischi nuovi e nuove attrezzature in processi già in essere. Dovranno pertanto essere forniti al lavoratore sia tutte le informazioni necessarie relativamente ai possibili dati che potranno essere acquisiti (sempre nel rispetto del divieto di controllo a distanza dei lavoratori), sia tutte le indicazioni procedurali e tecniche alle quali attenersi per l’impostazione del dispositivo e la gestione dei dati aziendali. In particolare l’azienda dovrà prevedere le modalità di conservazione delle informazioni e prevedere come intervenire nel caso di perdita o furto del device o come gestire le informazioni in caso di interruzione del rapporto di lavoro con il dipendente.
Note sull’Autore
Specializzato in diritto penale dell’impresa e membro della Camera Penale di Milano, l’avvocato Fabrizio Salmi si occupa con continuità di reati societari, fiscali, reati contro la PA e della responsabilità amministrativa dell’impresa. Membro OdV, ricopre incarichi di R.S.P.P., di responsabile privacy e D.P.O. ed è formatore in ambito di salute e sicurezza sul lavoro. Salmi è autore di diversi articoli e pubblicazioni tra cui i volumi Penale 4.0 e GDPR e Sanzioni, che approfondiscono i temi introdotti in queste pagine. Tra i servizi offerti da SLS, Studio Legale Salmi, infatti, è compresa la consulenza giudiziale e stragiudiziale per quanto riguarda la compliance aziendale all’impiego delle nuove tecnologie e le responsabilità penali a esse collegate.
