Il problema: il data breach.
Mettiamo il caso che venga smarrita una chiavetta USB contenente dati sensibili e riservati oppure che venga rubato un notebook con dati confidenziali o, ancora, che risulti un accesso non autorizzato ai sistemi informatici con successiva divulgazione delle informazioni acquisite: in tutti questi casi è avvenuto un data breach, un incidente di sicurezza in cui dati sensibili, protetti o riservati vengono consultati, copiati, trasmessi, rubati o utilizzati da un soggetto non autorizzato.
Le opportunità di attacco si sono moltiplicate in modo esponenziale, comprendendo anche attacchi mirati a reti e oggetti come badge elettronici.
Non dimentichiamo, poi, che per gli hacker è facile violare i server delle aziende. Uno dei principali problemi di sicurezza è la debolezza dei metodi di autenticazione, facilmente aggirabili grazie alle tecniche di social engineering, e l’errore umano dei dipendenti.
Gestire il data breach: cosa fare nell’immediato.
In caso di violazione dei dati personali il responsabile del trattamento è tenuto a informare il titolare appena venuto a conoscenza del fatto. Il titolare, poi, riferirà al Garante entro 72 ore.
Se la violazione dei dati personali può essere altamente rischiosa per i diritti e le libertà delle persone fisiche, il titolare del trattamento deve comunicare la violazione al diretto interessato.
È bene che i dipendenti e i collaboratori dell’impresa o dello studio siano consapevoli dei rischi e si comportino costantemente in modo rispettoso delle istruzioni impartite.
Evitare il data breach: cosa fare nel lungo periodo.
- Formazione in azienda.
È fondamentale fare formazione perché crea una mentalità improntata alla sicurezza diminuendo il rischio di errori. - Monitorare il traffico.
Tenere sotto controllo il traffico interno è essenziale per captare eventuali segni di comportamento scorretto o cambiamenti inusuali. - Assicurare i computer.
Proteggere i computer aziendali utilizzando password robuste e funzioni di time out serve ad aumentare la sicurezza. Aggiornare tutti i sistemi operativi, applicare delle restrizioni sui siti web non assicurati o su software non approvati all’interno della rete aziendale. - Applicare la cifratura per tutto l’ambiente di rete.
La cifratura dei dati a riposo e in movimento assicura infatti i server e i dispositivi mobili. - Eseguire valutazioni periodiche sulla vulnerabilità.
Applicando scansioni ai sistemi nella rete è un modo per correggere eventuali vulnerabilità prima che possano essere sfruttate.
A breve la nuova normativa europea per la gestione dei dati personali, il GDPR, entrerà in vigore, con conseguenze anche sugli aspetti di cui abbiamo parlato.
Diventa quindi fondamentale per le aziende e i professionisti dedicare maggiore attenzione alla sicurezza delle informazioni e dei dati sensibili.
