[PRIVACY E CYBERSECURITY] L’importanza della prevenzione: 12 tool di autovalutazione aziendale

Il Rapporto Clusit del 9 novembre 2022 rivela un incremento preoccupante degli attacchi informatici a livello globale, con un aumento dell’8,4% nei primi sei mesi dell’anno rispetto al 2021, stimolato anche dalle tensioni geopolitiche, come la guerra in Ucraina. Questi dati sottolineano una frequenza media di quasi 190 attacchi al mese, con un notevole 78% classificato tra “High” e “Critical”, evidenziando una crescente sofisticazione e pericolosità. L’articolo esplora l’importanza crescente del social engineering, una strategia che sfrutta la vulnerabilità umana piuttosto che tecnica, rendendo essenziale per le piccole e medie imprese (PMI) rafforzare la propria sicurezza informatica. Questo non solo attraverso miglioramenti tecnologici, ma anche tramite la sensibilizzazione e la formazione del personale, in linea con le direttive del GDPR. L’approccio preventivo è cruciale: attraverso la formazione e la responsabilizzazione, le PMI possono non solo proteggersi meglio da minacce esterne, ma anche migliorare la propria efficienza e reputazione. In questo contesto, Porto4 Journal ha lanciato un’iniziativa di autovalutazione mensile per il 2023, progettata per aiutare le aziende a navigare e rafforzare le loro pratiche di privacy e cybersecurity attraverso strumenti pratici e analisi mirate.

Secondo il Rapporto Clusit pubblicato lo scorso 9 novembre 2022, complice la guerra in Ucraina, nei primi 6 mesi di quest’anno si sono verificati a livello globale 1.141 attacchi informatici, ossia l’8,4% in più rispetto a quelli verificatisi nel 2021, con una media di 190 attacchi al mese.

Volendo approfondire il dato statistico, gli attacchi qualificabili come “High” e “Critical” corrispondono al 78% del totale (rispettivamente il 45% e il 33%).

Si segnala inoltre l’ascesa degli attacchi basati su tecniche di social engineering, attacchi cioè che sfruttano la vulnerabilità umana e non quella della struttura informatica.

Per le PMI si rafforza, quindi, la necessità di innalzare il livello di sicurezza informatica; tale risultato si può raggiungere non solo attraverso il miglioramento della struttura informatica aziendale ma soprattutto, attraverso la sensibilizzazione e la responsabilizzazione del personale nell’adozione di procedure operative e di autoanalisi, con una particolare attenzione ai criteri e alle linee guida suggerite dal GDPR.

La prevenzione: il miglior strumento per la tutela della sicurezza informatica

La prevenzione si rivela essere la soluzione migliore a cui ricorrere per evitare conseguenze pregiudizievoli (ad esempio un attacco informatico oppure la comminazione di una sanzione da parte del Garante o, ancora, la perdita di dati del patrimonio aziendale) perché permette di implementare efficacemente i sistemi informatici e le procedure in uso.

Va poi tenuto sempre a mente il così detto benefico “effetto indotto della prevenzione”: infatti prevenire significa prima di tutto analizzare, semplificare e migliorare i processi; un’azienda attenta alla prevenzione è quindi un’azienda che performa meglio, più resiliente e più sicura, elementi questi che contribuiscono ad elevare il livello di brand reputation aziendale.

Per questo motivo la redazione di Porto4 Journal ha deciso di fare un regalo di Natale a tutti i propri lettori, un regalo che durerà tutto il 2023! Si tratta di un pacchetto di test di autovalutazione aziendale a pubblicazione mensile.

I test autovalutativi

Un tool ogni secondo venerdì del mese per tutti i 12 mesi del 2023, volto ad incentivare un percorso aziendale autovalutativo in ambito Privacy e Cybersecurity.
In particolare ogni tool, specifico per diverse aree aziendali, sarà composto da domande a risposta multipla che permetteranno di fotografare il livello di maturità di ciascun settore analizzato (l’output del test potrà generare un esito ricompreso tra “Buono”, “Medio”, “Scarso”).
Lo scopo di ciascun tool, e allo stesso tempo dell’intero percorso proposto, sarà quello di valutare il livello di consapevolezza aziendale, l’adeguatezza delle procedure utilizzate e l’eventuale necessità di adottare misure correttive.

1. I 12 tool: una panoramica

Le autovalutazioni proposte riguarderanno:
Cyber Security Awareness
È fondamentale che ciascun collaboratore sia consapevole di essere egli stesso un elemento fondamentale per garantire la tutela della sicurezza informatica aziendale. I migliori strumenti per incentivare questo aspetto sono la comunicazione, la formazione e l’indicazione di precise regole comportamentali.
Qual è il grado di sensibilità dei tuoi collaboratori sulla sicurezza informatica?
Indirizzato a: un campione di dipendenti dell’azienda.
Scopo: valutare il grado di consapevolezza e attenzione in materia di cybersecurity.

2. IT Assessment

Il Team IT ricopre un ruolo essenziale, in quanto autorizzato ad eseguire interventi nel sistema informatico volti a salvaguardare e proteggere i dati trattati.
Con quale grado di efficienza il tuo Team IT gestisce la sicurezza informatica della tua azienda?
Indirizzato a: un campione di dipendenti del Team IT.
Scopo: ottenere un feedback sul grado di maturità delle loro competenze.

3. Supplier Management

A tutela dei dati trattati, l’azienda deve assicurarsi che tutti i suoi fornitori di servizi digitali adottino le medesime precauzioni dalla stessa assunte.
La tua azienda verifica adeguatamente la struttura organizzativa dei propri fornitori di servizi IT?
Indirizzato a: Responsabile IT (o delegato).
Scopo: valutare i criteri di scelta dei fornitori.

4. Device Policy

Un’adeguata regolamentazione degli strumenti aziendali permette di contrastare potenziali attacchi e consente di tutelare il patrimonio aziendale.
Esiste un Regolamento ICT nella tua realtà? Qual è il suo grado di completezza?
Indirizzato a: Responsabile IT (o delegato).
Scopo: valutare il grado di adeguatezza della regolamentazione dei dispositivi elettronici.

5. Password check

Le password sono le chiavi che permettono l’accesso degli utenti al cuore dell’azienda.
Per tale ragione, la loro corretta gestione è posta a fondamento di un adeguato impianto di sicurezza informatica.
Nella tua azienda, la gestione delle password garantisce la sicurezza informatica?
Indirizzato a: Responsabile IT (o delegato).
Scopo: valutare se vengono adottati gli standard minimi di sicurezza.

6. E-mail security

L’e-mail è il principale strumento di comunicazione all’interno di un’azienda, ragion per cui una gestione e regolamentazione approssimativa della posta elettronica rischia di esporre il patrimonio aziendale a rilevanti rischi.
Le regole di gestione della tua mail aziendale sono adeguate? Come vengono fronteggiati i potenziali rischi?
Indirizzato a: Responsabile IT (o delegato).
Scopo: valutare se vengono adottati gli standard minimi di sicurezza.

7. Cyber-minacce

Una minaccia informatica consiste in un evento in grado di impattare negativamente la sicurezza dei dati trattati. Per tale ragione, è importante che l’azienda – in qualità di titolare del trattamento dei dati – si prodighi per evitare il più possibile conseguenze negative.
I tuoi collaboratori sanno come riconoscere una minaccia informatica e quali comportamenti adottare?
Indirizzato a: un campione di dipendenti dell’azienda.
Scopo: valutare il grado di consapevolezza e attenzione in materia di cybersecurity.

8. Gestione dei cyber-attacchi

Alla luce del crescente aumento di attacchi informatici, l’affidabilità di un’azienda è determinata anche in relazione alla propria capacità di risposta ad un incidente informatico.
Qual è il grado di reattività della tua struttura organizzativa?
Indirizzato a: Responsabile IT (o delegato).
Scopo: valutare adeguatezza delle procedure.

9. Misure di sicurezza informatica

Le misure di sicurezza sono controlli di natura tecnologica, organizzativa e procedurale che permettono di valutare il livello di sicurezza informatica aziendale.
Quali analisi svolge la tua azienda per individuare le misure di sicurezza? Sono adeguate?
Indirizzato a: Responsabile IT (o delegato).
Scopo: valutare se vengono adottati gli standard minimi di sicurezza.

10. DPIA

La valutazione d’impatto (o DPIA) è un processo volto a descrivere il trattamento dei dati, valutandone la necessità e la proporzionalità al fine di gestire eventuali rischi per i diritti e le libertà delle persone coinvolte. Poiché l’azienda – in qualità di titolare del trattamento – dovrà decidere autonomamente se sussistono rischi e quali misure adottare per fronteggiarli, la DPIA deve essere adeguatamente svolta.
La tua organizzazione è consapevole dell’importanza preventiva della valutazione d’impatto?
Indirizzato a: Privacy Officer.
Scopo: valutare l’adeguatezza della procedura.

11. Gestione di un data breach

Un data breach è una violazione di sicurezza che comporta la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso a dati personali non trasmessi, conservati o comunque trattati da soggetti non autorizzati. L’azienda, nel rispetto del principio di accountability, è tenuta a documentare quanto più possibile ogni attività relativa al trattamento dei dati, compresi gli eventi di data breach.
Qualora si dovesse verificare una violazione dei dati personali, la tua azienda saprebbe cosa fare?
Indirizzato a: Privacy Officer.
Scopo: valutare l’adeguatezza della procedura.

12. Gestione di un’ispezione del Garante Privacy

È fondamentale che l’azienda adotti dei comportamenti corretti durante le ispezioni del Garante per la Protezione dei dati personali, per evitare la comminazione di eventuali sanzioni.
Come gestirebbe la tua realtà aziendale un’ispezione del Garante?
Indirizzato a: Privacy Officer.
Scopo: valutare l’adeguatezza della procedura.

PER QUANDO HAI TEMPO E VOGLIA DI APPROFONDIRE