Riconoscere, valutare e acquistare quadri…a portata di un click! Hai un dipinto conservato in cantina oppure ne hai appena trovato uno in un mercatino? Scopr...
Festeggia questa giornata importante insieme alla tua mamma…e ad un bel film! Ogni anno, la seconda domenica di maggio, cade una ricorrenza molto speciale ch...
Proteggere i tuoi file sul PC tenendoli privati è possibile anche senza ricorrere all’installazione di software o programmi specifici. Come? Ad esempio, puoi...
Si avvicina il periodo più magico dell’anno: il Natale seguito, a meno di una settimana di distanza, dalla fine dell’anno. In queste giornate sono moltissime...
Ci possono essere diverse ragioni per eliminare un account Google: per esempio non utilizzi più il tuo account oppure ne hai creato un nuovo, se non desideri...
Il 4 gennaio è la Giornata Internazionale dell’Alfabeto Braille, una scrittura leggibile per chi non vede. Se ci si sofferma con attenzione, infatti, è possi...
Lavoro, famiglia, studio, amicizie, pagamenti arretrati oppure, più semplicemente, un periodo difficile da superare: le possibili cause di stress, ansia e pr...
Molto simile a WhatsApp, l’App di messaggistica Telegram ci permette di conoscere e comunicare con tantissime persone, anche molto distanti geograficamente, ...
Hai accidentalmente cancellato dei messaggi importanti su WhatsApp oppure stai per cambiare telefono e non vorresti perdere le tue preziose conversazioni? Sc...
La sicurezza dei dati aziendali è una delle priorità di qualsiasi compagnia. Ogni azienda dispone infatti di un patrimonio di dati e ha il dovere di proteggerli da attacchi esterni. Ma non solo. Non sono sporadici i casi di sottrazioni indebite attribuibili proprio a collaboratori o dipendenti, che rendono massimo il livello di allerta.
Ogni azienda, di qualsiasi settore, è tenuta a sviluppare, mettere in pratica e tenere aggiornato un piano di protezione dei dati e delle reti. Non parliamo solo ed esclusivamente dei dati anagrafici aziendali, ma anche dei dati sensibili e personali dei dipendenti, oltre che della società stessa. Il piano di protezione dati aziendali include una serie di provvedimenti da attuare per mantenere sempre vigile la sicurezza in azienda. Non si tratta, infatti, di diventare maestri di gestione della crisi o esperti dei cybersecurity solo una volta ogni tanto: è essenziale individuare le criticità fin dall’inizio, formare i propri dipendenti, minimizzare vulnerabilità e rischi e controllare gli accessi. Un lavoro tout court sistematico e che non può essere fatto soltanto quando si avvia un’impresa.
Il primo step da intraprendere se si mira a tutelare la riservatezza dati aziendali è affidarsi a una figura esperta e dedicata al compito. Un piano di data protection include sicuramente almeno questi tre macro aspetti:
Qualsiasi azienda, piccola o grande che sia, è tenuta a gestire al meglio i dati aziendali. Alcuni accorgimenti molto semplici possono fare la differenza. Chi non si dimostra in grado di gestire in maniera professionale un piano di data protection, può in ogni caso affidarsi a strumenti e azioni di base.
Programmare dei backup regolari è, come abbiamo visto, un’azione chiave. Ancora meglio, poi, sarebbe effettuarne due in parallelo: uno su destinazione locale e uno su destinazione remota. La soluzione ideale è quello di farlo su un sistema cifrato in cloud.
Non devono essere lasciate le password e le impostazioni di fabbrica sui dispositivi. Periodicamente, inoltre, è necessario cambiare le chiavi di accesso impostate, per mantenere alto il grado di sicurezza.
Qualunque sia il sistema operativo dell’azienda, è importante disabilitare l’avvio automatico di file eseguibili e software esterni non accreditati. Anche il software presente su supporti esterni, come chiavi USB o hard disk esterni, dovrebbe non avviarsi in modo automatico, per evitare infiltrazioni indesiderate e fraudolente.
Al fine di tutelare i dati aziendali, personali e sensibili, è buona norma assegnare ruoli di privilegio e di competenze per ogni dipendente. Questo non con l’obiettivo di restringere eccessivamente l’operato di ognuno, ma piuttosto per tutelare gli stessi dipendenti da un uso scorretto degli strumenti aziendali a loro disposizione.
È proprio grazie alla formazione di tutti i dipendenti, infatti, che alcune delle abitudini più diffuse e più nocive possono essere sradicate. Un esempio? Sono sempre moltissimi i dipendenti italiani che continuano a utilizzare le chiavette USB aziendali per trasferire dati personali o, viceversa, per trasferire dati aziendali e lavorativi sui dispositivi domestici. Questa abitudine è solo apparentemente innocua, ma in realtà molto rischiosa.
Un’altra accortezza piuttosto semplice, che consente però di evitare intrusioni anche dall’esterno, è quella di proteggere le reti wireless. Una rete wireless non correttamente configurata può trasformarsi in un grave problema da risolvere. Esistono fortunatamente numerose soluzioni per criptare le connessioni senza fili. Attenzione quindi alla scelta della chiave di sicurezza di rete e al livello di crittografia impostato.
Infine, è fondamentale munire tutti i dispositivi aziendali di un firewall (di buona qualità e ovviamente da tenere costantemente aggiornato). Abbinato al firewall, è consigliato un sistema di filtro delle email che intercetti mail e dati dall’esterno verso l’azienda, essenziale per bloccare eventuali minacce.
Come abbiamo analizzato finora, un buon piano di protezione dati e reti, costante e aggiornato, dovrebbe escludere a priori la possibilità che dipendenti dalle intenzioni poco chiare possano appropriarsi di dati e documenti. Ma i furti e le appropriazioni indebite possono capitare ed è meglio tenerle in considerazione e prevenirle, piuttosto che dover provvedere a posteriori.
Il cosiddetto dipendente “infedele” è colui che compie un illecito nel divulgare temi, dati e metodi di produzione della propria azienda a terzi. Secondo l’articolo 2105 del Codice Civile “il prestatore di lavoro non deve trattare affari, per conto proprio o di terzi, in concorrenza con l’imprenditore, né divulgare notizie attinenti all’organizzazione e ai metodi di produzione dell’impresa, o farne uso in modo da poter recare ad essa pregiudizio”. Spesso alla base di questo comportamento può esserci una forte insoddisfazione verso l’azienda o verso i titolari.
Ma quali sono i rischi a cui si va incontro in seguito alla sottrazione illecita e alla divulgazione di dati sensibili aziendali? Questi sono solo alcuni:
Se, infine, sopraggiungono fondati sospetti che nell’azienda esista un dipendente “infedele”, occorre tutelarsi con un legale che possa fornire il permesso di tutela. L’analisi forense digitale consiste nel ripercorrere lo storico di dati e informazioni dei dispositivi di un dipendente: dal computer, allo smartphone e tablet aziendali, a hard disk e chiavi USB.
Lo storico permette di risalire al “viaggio” dei dati sensibili dell’azienda, ricostruendo copiature, cancellazioni e modifiche. L’analisi forense digitale, o digital forensics, permette di avere una storia completa delle operazioni effettuate, anche quelle “nascoste”, da un dispositivo hardware ed è quindi la prima difesa quando si ha che fare con una fuga di dati e informazioni. È molto utile anche controllare gli accessi al server aziendale. Solo al termine dell’analisi forense digitale, e sempre supportati da un legale, è possibile valutare l’avvio di un procedimento civile o perfino penale.
Veniamo ora al tanto chiacchierato e temuto GDPR (acronimo di General Data Protection Regulation), il nuovo regolamento sulla privacy in applicazione dal 25 maggio 2018.
Il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, (GDPR), è entrato in vigore il 24 maggio 2016 e la sua applicazione decorre dal 25 maggio 2018. L’aggiornamento della normativa sulla privacy ha portato alcuni cambiamenti nella sfera della protezione dei dati anagrafici aziendali, ma non relativamente ai dati sulle società.
Come recita, infatti, il sito della Commissione europea: “Le regole si applicano solo ai dati personali delle persone fisiche, non regolano i dati sulle società o altre persone giuridiche. Tuttavia, le informazioni relative alle società individuali possono costituire dati personali laddove consentano l’identificazione di una persona fisica. Le regole si applicano anche a tutti i dati personali relativi a persone fisiche nel corso di un’attività professionale, come i dipendenti di una società / organizzazione, indirizzi e-mail aziendali come “nome.cognome@azienda” o numeri di telefono aziendali dei dipendenti”.
Attenzione quindi ai dati apparentemente innocui, la cui divulgazione potrebbe causare il mancato rispetto del Regolamento sulla protezione al trattamento dei dati personali, con conseguenti penalità. In questo caso le multe sono davvero molto salate: si parla anche di milioni di euro.
