Vai al contenuto
Torna a Sicurezza Informatica

Sicurezza dei dati aziendali: come tutelare la privacy ed evitare il furto di informazioni

8 min
0:00
Ascolta
Sicurezza dei dati aziendali

Sicurezza dei dati aziendali

La sicurezza dei dati aziendali è una delle priorità di qualsiasi compagnia. Ogni azienda dispone infatti di un patrimonio di dati e ha il dovere di proteggerli da attacchi esterni. Ma non solo. Non sono sporadici i casi di sottrazioni indebite attribuibili proprio a collaboratori o dipendenti, che rendono massimo il livello di allerta. 

Piano di protezione dati aziendali e tutela della privacy

Ogni azienda, di qualsiasi settore, è tenuta a sviluppare, mettere in pratica e tenere aggiornato un piano di protezione dei dati e delle reti. Non parliamo solo ed esclusivamente dei dati anagrafici aziendali, ma anche dei dati sensibili e personali dei dipendenti, oltre che della società stessa. Il piano di protezione dati aziendali include una serie di provvedimenti da attuare per mantenere sempre vigile la sicurezza in azienda. Non si tratta, infatti, di diventare maestri di gestione della crisi o esperti dei cybersecurity solo una volta ogni tanto: è essenziale individuare le criticità fin dall’inizio, formare i propri dipendenti, minimizzare vulnerabilità e rischi e controllare gli accessi. Un lavoro tout court sistematico e che non può essere fatto soltanto quando si avvia un’impresa. 

Data protection e formazione dei dipendenti

Il primo step da intraprendere se si mira a tutelare la riservatezza dati aziendali è affidarsi a una figura esperta e dedicata al compito. Un piano di data protection include sicuramente almeno questi tre macro aspetti:

  • Accesso, integrità e riservatezza dei dati aziendali: individuare quali sono i dati a disposizione dell’azienda, tenendone traccia in maniera adeguata, e quali sono le figure aziendali e i dipendenti che hanno accesso alle banche dati aziendali.
  • Formazione dei dipendenti: anche il dipendente che non ha accesso ai dati di terzi è tenuto a una condotta di discrezione, anche riguardo ai propri dati anagrafici, personali e sensibili. Non è infatti scontato che i dipendenti conoscano le regole della data protection ed è quindi essenziale organizzare incontri periodici di formazione e di assistenza, nonché intitolare una figura specifica da interrogare per dubbi e chiarimenti.
  • Software e backup: usare regolarmente software di protezione affidabili è una delle prime (e più facili) armi per la protezione e per la sicurezza dati aziendali. Eseguire periodicamente backup delle informazioni sensibili e personali aziendali si rivela un’attività chiave di ogni piano di data protection. Nella gestione dati aziendali, queste due azioni – la scansione e il backup regolari – rappresentano le armi più semplici e sicure contro infiltrazioni, sottrazioni indebite e altri rischi potenziali.

Accorgimenti di base per preservare l’integrità dei dati aziendali

Qualsiasi azienda, piccola o grande che sia, è tenuta a gestire al meglio i dati aziendali. Alcuni accorgimenti molto semplici possono fare la differenza. Chi non si dimostra in grado di gestire in maniera professionale un piano di data protection, può in ogni caso affidarsi a strumenti e azioni di base.

Backup esterno su cloud cifrato

Programmare dei backup regolari è, come abbiamo visto, un’azione chiave. Ancora meglio, poi, sarebbe effettuarne due in parallelo: uno su destinazione locale e uno su destinazione remota. La soluzione ideale è quello di farlo su un sistema cifrato in cloud.

Password e impostazioni di default

Non devono essere lasciate le password e le impostazioni di fabbrica sui dispositivi. Periodicamente, inoltre, è necessario cambiare le chiavi di accesso impostate, per mantenere alto il grado di sicurezza.

Software esterno o da sviluppatore sconosciuto

Qualunque sia il sistema operativo dell’azienda, è importante disabilitare l’avvio automatico di file eseguibili e software esterni non accreditati. Anche il software presente su supporti esterni, come chiavi USB o hard disk esterni, dovrebbe non avviarsi in modo automatico, per evitare infiltrazioni indesiderate e fraudolente.

Ruoli di privilegio per ogni dipendente

Al fine di tutelare i dati aziendali, personali e sensibili, è buona norma assegnare ruoli di privilegio e di competenze per ogni dipendente. Questo non con l’obiettivo di restringere eccessivamente l’operato di ognuno, ma piuttosto per tutelare gli stessi dipendenti da un uso scorretto degli strumenti aziendali a loro disposizione.

La formazione aiuta nei comportamenti apparentemente innocui

È proprio grazie alla formazione di tutti i dipendenti, infatti, che alcune delle abitudini più diffuse e più nocive possono essere sradicate. Un esempio? Sono sempre moltissimi i dipendenti italiani che continuano a utilizzare le chiavette USB aziendali per trasferire dati personali o, viceversa, per trasferire dati aziendali e lavorativi sui dispositivi domestici. Questa abitudine è solo apparentemente innocua, ma in realtà molto rischiosa.

Attenzione alle reti wireless: sono le più facili da eludere

Un’altra accortezza piuttosto semplice, che consente però di evitare intrusioni anche dall’esterno, è quella di proteggere le reti wireless. Una rete wireless non correttamente configurata può trasformarsi in un grave problema da risolvere. Esistono fortunatamente numerose soluzioni per criptare le connessioni senza fili. Attenzione quindi alla scelta della chiave di sicurezza di rete e al livello di crittografia impostato.

Firewall, un muro di fuoco che protegge dall’esterno

Infine, è fondamentale munire tutti i dispositivi aziendali di un firewall (di buona qualità e ovviamente da tenere costantemente aggiornato). Abbinato al firewall, è consigliato un sistema di filtro delle email che intercetti mail e dati dall’esterno verso l’azienda, essenziale per bloccare eventuali minacce.

Furto dati aziendali: quando il problema sono i dipendenti

Come abbiamo analizzato finora, un buon piano di protezione dati e reti, costante e aggiornato, dovrebbe escludere a priori la possibilità che dipendenti dalle intenzioni poco chiare possano appropriarsi di dati e documenti. Ma i furti e le appropriazioni indebite possono capitare ed è meglio tenerle in considerazione e prevenirle, piuttosto che dover provvedere a posteriori.

Il cosiddetto dipendente “infedele” è colui che compie un illecito nel divulgare temi, dati e metodi di produzione della propria azienda a terzi. Secondo l’articolo 2105 del Codice Civile “il prestatore di lavoro non deve trattare affari, per conto proprio o di terzi, in concorrenza con l’imprenditore, né divulgare notizie attinenti all’organizzazione e ai metodi di produzione dell’impresa, o farne uso in modo da poter recare ad essa pregiudizio”. Spesso alla base di questo comportamento può esserci una forte insoddisfazione verso l’azienda o verso i titolari.

Rischi della divulgazione di dati sensibili aziendali

Ma quali sono i rischi a cui si va incontro in seguito alla sottrazione illecita e alla divulgazione di dati sensibili aziendali? Questi sono solo alcuni:

  • Vendita di dati e/o di informazioni a concorrenti in cambio di compenso economico
  • Violazione dei patti di non concorrenza
  • Utilizzo dei dati sottratti per scopi personali e di lucro
  • Estorsione e ricatto verso i legittimi proprietari dei dati personali e sensibili
  • Modifica o cancellazione di dati aziendali
  • Divulgazione, con e senza scopo di lucro, al fine di creare un danno economico o di immagine all’azienda.

A mali estremi, estremi rimedi: l’analisi forense digitale a difesa dei dati aziendali

Se, infine, sopraggiungono fondati sospetti che nell’azienda esista un dipendente “infedele”, occorre tutelarsi con un legale che possa fornire il permesso di tutela. L’analisi forense digitale consiste nel ripercorrere lo storico di dati e informazioni dei dispositivi di un dipendente: dal computer, allo smartphone e tablet aziendali, a hard disk e chiavi USB.

Lo storico permette di risalire al “viaggio” dei dati sensibili dell’azienda, ricostruendo copiature, cancellazioni e modifiche. L’analisi forense digitale, o digital forensics, permette di avere una storia completa delle operazioni effettuate, anche quelle “nascoste”, da un dispositivo hardware ed è quindi la prima difesa quando si ha che fare con una fuga di dati e informazioni. È molto utile anche controllare gli accessi al server aziendale. Solo al termine dell’analisi forense digitale, e sempre supportati da un legale, è possibile valutare l’avvio di un procedimento civile o perfino penale. 

Il GDPR applicato ai dati aziendali

Veniamo ora al tanto chiacchierato e temuto GDPR (acronimo di General Data Protection Regulation), il nuovo regolamento sulla privacy in applicazione dal 25 maggio 2018.

Il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, (GDPR), è entrato in vigore il 24 maggio 2016 e la sua applicazione decorre dal 25 maggio 2018. L’aggiornamento della normativa sulla privacy ha portato alcuni cambiamenti nella sfera della protezione dei dati anagrafici aziendali, ma non relativamente ai dati sulle società. 

Come recita, infatti, il sito della Commissione europea: Le regole si applicano solo ai dati personali delle persone fisiche, non regolano i dati sulle società o altre persone giuridiche. Tuttavia, le informazioni relative alle società individuali possono costituire dati personali laddove consentano l’identificazione di una persona fisica. Le regole si applicano anche a tutti i dati personali relativi a persone fisiche nel corso di un’attività professionale, come i dipendenti di una società / organizzazione, indirizzi e-mail aziendali come “nome.cognome@azienda” o numeri di telefono aziendali dei dipendenti”. 

Attenzione quindi ai dati apparentemente innocui, la cui divulgazione potrebbe causare il mancato rispetto del Regolamento sulla protezione al trattamento dei dati personali, con conseguenti penalità. In questo caso le multe sono davvero molto salate: si parla anche di milioni di euro.