PMI e protezione dei dati: quali sono le azioni efficaci?

In Italia nel 2024 si sono verificati il 15% di attacchi informatici in più. L’Italia, pur rappresentando solo l’1% del PIL mondiale, ha subito il 10% degli attacchi globali, evidenziando una sproporzione allarmante. Il motivo principale è nella scarsa importanza, e quindi scarsi investimenti, nella protezione dei dati.

Per quanto riguarda le PMI, il settore manifatturiero è quello più colpito, causando danni ingenti all’immagine ma anche economici, derivanti dal fermo produzione spesso con tempistiche di soluzione molto lunghe.

Una delle cause più frequenti è l’errore umano, derivante dalla scarsa conoscenza che porta a una errata valutazione del rischio con conseguenti misure non adeguate.

L’Agenzia Europea per la Cibersicurezza ha pubblicato una guida per le PMI che fissa 12 azioni per rendere sicura la propria impresa. Tale guida può essere sicuramente implementata nell’applicazione del GDPR 679/2016 nelle PMI.

Vediamole brevemente:

1.     SVILUPPARE UNA SOLIDA CULTURA DELLA CIBERSICUREZZA

Come? Attribuendo chiare responsabilità, coinvolgendo e sensibilizzando il personale, definendo chiare regole per la Cibersicurezza che devono essere rispettate, verificando periodicamente l’adeguatezza delle regole e misure applicate.

2.     FORNIRE UNA FORMAZIONE APPROPRIATA

Fornire a tutti i dipendenti formazioni periodiche di sensibilizzazione alla Cibersicurezza in modo che possano riconoscere e affrontare le varie minacce. Si ricorda tra l’altro che la mancata formazione degli incaricati che trattano dati è sanzionata dal GDPR 679/2016 con importi che possono arrivare al 2% del fatturato.

3.     GARANTIRE UN’EFFICACE GESTIONE DEI TERZI

I soggetti terzi che hanno accesso ai dati devono fornire garanzie sulle misure di protezione dei dati attuate. Tali garanzie devono essere contrattualizzate. Nel GDPR 679/2016 tale misura la troviamo nella nomina dei Responsabili del Trattamento (ex art. 28).

4.     SVILUPPARE UN PIANO DI RISPOSTA AGLI INCIDENTI

Elaborare una procedura di emergenza che stabilisca cosa fare in caso di violazione dei dati, attribuendo responsabilità, ecc. Essere pronti a gestire una minaccia ci rende più efficaci nella reazione, evitando perdite di tempo che in questi casi porterebbero a peggiorare i danni.

5.     RENDERE SICURO L’ACCESSO AI SISTEMI

Può sembrare strano, ma la gestione delle password in molti casi ancora non è fatta come dovrebbe. Password non sicure, conosciute a molti, non cambiate dopo 3 o 6 mesi, scritte su post it, ecc. Spesso per pigrizia, ma con conseguenze gravissime e molto dannose per l’azienda.

6.     MANTENERE IL SOFTWARE CORRETTO E AGGIORNATO

La prevenzione costa meno delle cure. Mantenere sicuri i dispositivi in uso al personale – che si tratti di PC, laptop, tablet o smartphone – è un punto cruciale in un programma di Cibersicurezza.

7.     RENDERE SICURA LA PROPRIA RETE

Vanno utilizzati i firewall.

8.     MIGLIORARE LA SICUREZZA FISICA

Blocco automatico del PC quando l’utente si allontana, non lasciare incustoditi (in macchina per esempio) i dispositivi che contengono dati, gestione delle USB, corretta gestione dei documenti stampati e eliminati sono solo alcuni esempi di buone prassi purtroppo spesso disattese.

9.     RENDERE SICURI I BACKUP

Il backup è lo strumento necessario al recupero dei dati, soprattutto dopo un attacco ransomware. Un buon backup deve essere regolare, mantenuto in luogo diverso da quello di lavoro (cloud) e regolarmente controllato sul corretto funzionamento.

10. LAVORARE CON I CLOUD

Il cloud è un’ottima soluzione. Ma, nella scelta del cloud, porre attenzione al divieto di trasferimento dei dati al di fuori dell’UE. Il GDPR sanziona tale prassi fino al 4% del fatturato. Molti cloud gratis non danno questa garanzia.

11. RENDERE SICURI I SITI ONLINE

Bisogna affidarsi a chi è del mestiere, soprattutto se il sito non è un semplice biglietto da visita ma raccoglie dati o serve per il commercio on line. Questi dati vanno protetti.

12. CERCARE E CONDIVIDERE LE INFORMAZIONI

Le informazioni e le buone prassi vanno condivise tra le PMI affinchè la cultura e i vantaggi che derivano siano rese disponibili a un maggiore numero di aziende.

Il GDPR 679/2016 “Regolamento Europeo per la Protezione dei dati delle persone fisiche”, la cui applicazione ricordo essere obbligatoria dal maggio del 2018 per tutti coloro i quali raccolgono e trattano dati personali, è uno strumento utile per valutare il rischio e organizzare le misure adeguate di protezione, non solo dei dati personali degli individui, ma di tutti i dati (anche proprietà intellettuali) gestiti da un’azienda.

Potete scaricare la brochure completa delle 12 azioni a questo link

https://www.enisa.europa.eu/sites/default/files/all_files/ENISA%20Cybersecurity%20guide%20for%20SMEs_IT.pdf