Compliance and
Communication Consulting
Insights
Data Breach
By
Il Data Breach, fenomeno diventato di estrema attualità a causa dell’esponenziale aumento di attacchi informatici anche ad infrastrutture statali, è una delle preoccupazioni principali delle aziende di qualsiasi settore e dimensione, in quanto può comportare la diminuzione ovvero interruzione della produttività, il calo della reputazione aziendale, distruzione, perdita, modifica, divulgazione e consultazione di dati da parte di soggetti non autorizzati nonché sanzioni da parte dell’Autorità Garante per la Protezione dei Dati Personali.
Per imparare a difendersi dagli attacchi occorre, innanzitutto, inquadrare il fenomeno: sebbene molte aziende concentrino la propria attenzione sul rilevamento ovvero contrasto delle minacce esterne rappresentate principalmente da attacchi informatici in continua evoluzione, non di meno importanza sono le minacce interne accidentali o intenzionali.
Nonostante gli attacchi informatici sono diventati nel tempo sempre più sofisticati e difficili da riconoscere, molto spesso vi è un’involontaria “collaborazione”, dovuta principalmente alla mancanza di attenzione del personale interno all’azienda, si pensi alle email phishing oppure alla scelta ovvero riutilizzo di password deboli o ancora il mancato utilizzo di metodi di autenticazione a due fattori.
Dal punto di vista delle minacce interne, particolari criticità possono derivare da modalità operative di ciascun lavoratore, si pensi all’utilizzo di un software non autorizzato oppure l’utilizzo di account di posta elettronica privata o ancora più semplicemente tramite l’incauta stampa di dati aziendali. Tuttavia per l’azienda non sempre è agevole effettuare la distinzione tra attività legittima e malevola del lavoratore, si pensi all’utilizzo di chiavette USB. In siffatta ipotesi, è irrealistico vietare completamente l’utilizzo di chiavette USB e dunque un ruolo fondamentale è rivestito dalle policy aziendali che devono imprimere nel lavoratore la consapevolezza dei rischi e fornire indicazioni sull’utilizzo di sistemi di archiviazione dei dati personali.
Alla luce di quanto brevemente esposto i dati aziendali non possono essere gestiti solo come sicurezza informatica, pertanto le aziende dovrebbero agire in due direzioni diverse che convergono nella realizzazione della tutela dei dati personali: da un lato dovrebbero adottare politiche di sicurezza adeguate e soluzioni per la gestione delle minacce; dall’altro dovrebbero implementare policy aziendali e provvedere alla formazione del personale deputato all’effettuazione delle operazioni di trattamento di dati personali.