In un’era dominata dalla tecnologia, quello della sicurezza informatica in azienda è un tema centrale per ogni impresa
Hacker, phishing, ransomware, sono tutti termini con cui i dipendenti di una società stanno iniziando sempre più a familiarizzare. “Conoscere il nemico” per combatterlo è infatti un’esigenza comune.
La sicurezza aziendale informatica punta a minimizzare i rischi legati al furto dei dati e a proteggerne l’integrità, ossia a garantire che le informazioni presenti in azienda non siano cancellate o modificate volontariamente.
Normativa sicurezza informatica aziendale
Esiste un regolamento aziendale relativo proprio alla sicurezza informatica? Nel 2018 sono state emanate due direttive a livello comunitario: NIS e GDPR.
- NIS: si applica agli operatori di servizi “essenziali” necessari al mantenimento di attività sociali ed economiche (trasporti, sanità) e agli operatori di servizi digitali. Tutti questi soggetti sono chiamati a porre in atto misure tecniche e organizzative adeguate alla gestione del rischio e alla prevenzione degli incidenti informatici.
- GDPR (General Data Protection Regulation): operativo in Italia dal 25 maggio 2018, è invece il regolamento europeo sulla privacy e sui dati personali. Interessa tutte le aziende che gestiscono dati, ma non si sovrappone al Nis coprendo un ambito diverso.
Il GDPR prescrive alle aziende:
- L’istituzione di un registro delle attività con elencate le finalità dell’elaborazione dei dati, destinatari, eventuale scadenza per la cancellazione,
- La richiesta di consenso in forma chiara, comprensibile e accessibile,
- La notifica delle violazioni entro 72 ore dall’avvenuta conoscenza,
- La designazione di un responsabile protezione dati che ha il compito di vigilare sull’applicazione del GDPR in azienda. Quest’ultima figura può essere esterna all’azienda oppure scelta tra i dipendenti.
Ancor prima di affidarsi a un’azienda di sicurezza informatica, le imprese possono porre in essere diversi comportamenti per contenere il rischio derivante da attacchi esterni. Tra questi:
- Dotarsi di un antivirus
- Effettuare spesso copie di backup, possibilmente su memorie esterne
- Prevedere un adeguato piano di gestione della crisi
- Provvedere a un’accurata formazione del personale
Accanto a Nis e GDPR va segnalato il Cybersecurity Act, entrato in vigore il 7 giugno 2019 e volto ad assicurare un livello elevato di sicurezza per le reti dell’Unione dagli attacchi informatici, per creare un mercato unico della sicurezza cibernetica per quanto riguarda prodotti, servizi e processi. Tutto questo per far crescere la fiducia dei consumatori nei confronti delle tecnologie digitali.