A volte basta una e-mail. L’importanza delle best practice nella CYBER SECURITY

L’incremento dei cyber attacchi è evidente e coinvolge tutto il mondo, sia per numero (+32%), sia per frequenza di eventi critici e ad alto impatto (+29%).

Il rapporto CLUSIT 2022 (https://clusit.it/rapporto-clusit/) certifica che l’Italia non è immune da questa ondata di criminalità informatica: il 2021 ha visto una crescita vertiginosa degli attacchi malware e botnet, con un numero di server compromessi che fa segnare un netto +58%.

Nel nostro Paese i settori più colpiti si confermano il Finance/Insurance e la Pubblica Amministrazione, obiettivi che insieme costituiscono circa il 50% dei casi. A questi si aggiunge però quello dell’industria, il quale ha presentato l’aumento più significativo, dal 7% del 2020 al 18% del 2021.

Nel mirino dei cyber criminali non ci sono solo numeri, password di carte di credito o conti correnti: a loro interessano, anche di più, le profilazioni marketing delle persone. I dati che raccontano chi siamo, cosa facciamo, cosa compriamo e cosa desideriamo.

Informazioni raccolte e conservate, non solo dai giganti big tech, ma da imprese o studi professionali di ogni dimensione e comparto.

I criminali digitali li trasformano in denaro, vendendoli nel dark web, utilizzandoli per truffe commerciali e chiedendo un riscatto a coloro i quali li hanno sottratti.

Appare quindi evidente come la tutela della privacy sia ormai centrale nella vita di ogni impresa.

Rispettare ed essere in linea col GDPR equivale ad un insieme di best practice a tutela la sicurezza delle informazioni.

Ogni errore nell’adozione degli obblighi e dei protocolli di trattamento e conservazione dei dati non solo apre la porta agli attacchi informatici, ma espone l’azienda a rischio di indagini e sanzioni da parte di Guardia di Finanza e Garante Privacy.

Un aspetto spesso sottovalutato dalle imprese è l’importanza della formazione alla sicurezza informatica dei dipendenti: gli attacchi cyber – nel 99% dei casi – sono infatti dovuti a errori umani (come la classica e-mail con allegato aperta per sbaglio e conseguente ingresso di spywaremalware e ramsomware, capaci di tenere in ostaggio e bloccare l’operatività dell’azienda per ore o giorni).

È quindi fondamentale per le aziende sviluppare la propria “Resilienza Operativa” attraverso la creazione di processi e sistemi in grado di anticipare e prevenire le minacce, anche attraverso l’individuazione delle vulnerabilità della propria organizzazione, al fine di garantire, in caso di attacco, una rapida ripresa dell’operatività con riduzione al minimo dei danni subiti.

 

Un primo passo da compiere verso la prevenzione è il Cyber Security Assessment (CSA), quale attività di verifica e di analisi della resilienza degli asset informatici aziendali e dell’adeguatezza dei controlli di sicurezza nei confronti delle minacce informatiche che specialisti nel settore effettuano seguendo la metodologia proposta dal Framework Nazionale per la Cybersecurity e la Data Protection (adottato dalla Direttiva NIS (UE) 2016/1148), ispirato  al Cyber Security Framework del NIST ed alla norma ISO:IEC 27001.

Per tutte le informazioni  contatta il Servizio Privacy

Articoli correlati

    Legal
    16 Giugno 2023
    La disciplina del cd. whistleblowing garantisce un elevato livello di protezione delle persone che segnalano violazioni del diritto dell’Unione
    Legal
    06 Maggio 2022
    Vietato l’utilizzo dei DARK PATTERN nelle piattaforme web: le nuove linee guida EDPB
    Legal
    26 Novembre 2021
    Raccolta e conservazione del Green Pass in azienda: le novità del DL n. 127/2021 post conversione
    Legal
    30 Aprile 2021
    Attenzione ai sistemi di rilevazione delle presenze basati sui dati biometrici dei dipendenti. Se manca la base normativa si rischia la sanzione
    Legal
    20 Settembre 2021
    NOVITA’ SULLA GESTIONE DEI COOKIE CON L’INTRODUZIONE DELLE “LINEE GUIDA COOKIE E ALTRI STRUMENTI DI TRACCIAMENTO” - 10 GIUGNO 2021
    Legal
    21 Giugno 2021
    IL RUOLO DEL DPO (Data Protection Officer) O RPD (Responsabile per la Protezione dei Dati personali): quando è obbligatoria la nomina?