
Protezione dati aziendali: come garantire la sicurezza delle informazioni
Contenuti
Se hai appena fondato una startup o stai pensando di avviarne una c’è una materia in particolare che non puoi proprio permetterti di non conoscere a fondo: è quella che riguarda la sicurezza dei dati.
La digitalizzazione offre alle imprese tante opportunità e numerosi vantaggi, ma presenta anche alcune insidie che possono avere serie ripercussioni sulle sorti di un business: una su tutte è la possibilità che dati finanziari e altre informazioni sensibili finiscano nelle mani sbagliate.
Non sottovalutare questo aspetto: i dati aziendali, infatti, sono tra i beni più preziosi di cui un’azienda dispone. L’aggettivo “preziosi” non è scelto a caso. Alla fine del 2019 Thomas Harrer di IBM disse:
“Nei prossimi 3 anni, il valore dei dati aumenterà, rendendoli ancora più preziosi di oggi. Quanto più efficiente sarà l’archiviazione dei dati, tanto maggiori saranno i vantaggi per la vostra azienda”.
I fatti, oggi, confermano indiscutibilmente la sua “profezia”.
È arrivato il momento, allora, di capire perché i dati aziendali sono davvero così preziosi e di scoprire in che modo puoi garantire la sicurezza dei dati della tua startup.
L’importanza della protezione dei dati aziendali
I dati aziendali rappresentano la storia, i tratti distintivi e l’unicità della tua startup. Possiamo dire, quindi, che è proprio grazie a queste informazioni che hai la possibilità di assicurarti un vantaggio competitivo sulle aziende concorrenti.
L’importanza di proteggere i dati dell’azienda, perciò, è legata alla necessità di non disperdere un bagaglio di informazioni fondamentali per la gestione strategica e operativa della tua startup, ma è associata anche (e, in molti casi, soprattutto) ai rischi che potresti correre perdendo questo patrimonio di dati. Devi anche considerare che proteggere i dati dei consumatori non è solo importante: è anche obbligatorio per legge.
Rischi associati alla mancata protezione dei dati
A livello pratico, una mancata protezione dei dati aziendali può tradursi in differenti scenari: un’azienda potrebbe correre rischi in termini di sicurezza dei dati, per esempio, perché non dispone di un team IT interno o di personale adeguatamente formato in materia. Un sito aziendale, più nello specifico, potrebbe risultare in pericolo a causa di alcuni errori tecnici commessi già in fase di progettazione ma la sua vulnerabilità potrebbe dipendere anche dall’uso di software antiquati e/o poco sicuri.
Tutte queste mancanze lasciano aperta la porta a diverse tipologie di eventi in grado di minare la sicurezza dei dati. La tua mente, a questo punto, sarà probabilmente subito andata agli attacchi informatici esterni finalizzati a entrare in possesso di dati finanziari e altre informazioni sensibili; devi sapere, però, che non sono rari anche i casi di sottrazioni indebite di dati attribuibili a collaboratori o dipendenti.
Quale che sia l’evento scatenante, ricorda che ogni “crisi” potrebbe causare alla tua startup danni economici (anche molto importanti) e compromettere (a volte irrimediabilmente) la fiducia dei tuoi clienti e dei tuoi investitori.
Piano di protezione dei dati aziendali
Anche alla luce di quanto appena detto, ti sarà più chiara ora la necessità di mettere a punto un piano di protezione dei dati aziendali per la tua startup.
Tale piano non può e non deve tradursi in un intervento puntuale per risolvere la singola vulnerabilità, ma deve consistere in un processo costante finalizzato a prevenire ogni minaccia e a minimizzarne i possibili effetti.
Gli accorgimenti da mettere in pratica sono tanti e per alcuni potresti aver bisogno dell’aiuto di professionisti, ma è fondamentale che tu abbia ben chiari alcuni punti. Li abbiamo definiti i 3 capisaldi della gestione della sicurezza dei dati aziendali.
Accesso e riservatezza dei dati aziendali
Per risultare davvero efficace, un piano di protezione dei dati aziendali non può prescindere da alcuni punti fermi, il primo dei quali è quello che riguarda l’accesso e la riservatezza dei dati aziendali. Ciò significa che bisogna innanzitutto identificare tutti i dati a disposizione dell’azienda e anche chi, all’interno di essa, ha accesso a tali informazioni.
Software e backup
Utilizzare regolarmente software di protezione affidabili e aggiornati è, come già sottolineato, molto importante.
Un’altra pratica assolutamente necessaria è quella di eseguire periodicamente un backup (una copia di riserva) dei dati aziendali. Per ridurre al minimo gli errori umani, la soluzione ideale è quella di automatizzare questa attività. È inoltre buona regola prevedere una doppia destinazione per i backup, una locale e una remota (il consiglio, in questo caso, è ricorrere a una soluzione in cloud cifrata).
Formazione dei dipendenti
Gli attacchi esterni, generalmente, prendono di mira le lacune tecniche del sistema, ma possono anche far leva sulla vulnerabilità umana. Spesso succede che i dipendenti non conoscano principi e regole della sicurezza dei dati ed è per questo che è necessario provvedere a formare in modo adeguato tutto il personale, anche quello che non ha accesso diretto a dati sensibili. Anche loro, infatti, sono tenuti a mantenere una condotta discreta in merito ai loro dati.
Per formare adeguatamente i dipendenti è necessario organizzare incontri periodici su varie tematiche (da “come evitare le minacce provenienti dal web” a “come copiare in modo sicuro dati e documenti di lavoro”, passando per la gestione efficiente e sicura delle password personali e di lavoro). Molto utile è anche individuare una figura specifica a cui tutti possano rivolgersi per eventuali chiarimenti o dubbi.
Protezione e integrità dei dati aziendali: accorgimenti di base
Ora che sono chiari i pilastri su cui deve poggiare un piano di protezione dei dati aziendali, è possibile entrare più nello specifico e analizzare alcuni accorgimenti utili.
Backup e Disaster Recovery
Hai mai sentito parlare di Disaster Recovery? Con queste due parole si intende l’approccio che un’azienda adotta per ripristinare il funzionamento del proprio sistema IT in seguito a un problema critico, che può essere legato a un attacco esterno oppure a un errore umano o tecnologico.
La perdita dei dati aziendali rappresenta un danno molto importante per un’azienda ed è perciò fondamentale minimizzarne gli effetti, ripristinando il sistema quanto prima. Un backup periodico dei dati permette di fare ciò, ma deve essere eseguito con alcune accortezze (alcune sono state già citate).
È necessario che il backup sia effettuato su un dispositivo diverso da quello su cui si esegue solitamente il sistema: in caso contrario, infatti, un errore critico del sistema comporterebbe la perdita anche della copia di backup.
C’è, poi, un ulteriore accorgimento da seguire: bisogna controllare periodicamente lo stato del backup così da esser certi di poter ripristinare il sistema in caso di perdita di dati in qualsiasi momento.
Password
La gestione delle password è uno degli aspetti più delicati in materia di sicurezza dei dati aziendali: utilizzare queste chiavi di accesso rappresenta, infatti, una misura di sicurezza estremamente valida, ma solo se si prendono le dovute accortezze.
È necessario, innanzitutto, scegliere password sufficientemente complesse, evitando password brevi e “banali” (sono “banali”, per esempio, quelle costruite sui dati personali di chi le imposta, come il nome e cognome o la data di nascita). Fondamentale è anche non scegliere la stessa sequenza alfanumerica come chiave d’accesso di dispositivi e programmi diversi.
Tutte le password dell’azienda (o, perlomeno, quelle più importanti), infine, vanno cambiate periodicamente. Su quest’ultimo aspetto è necessaria una precisazione: è possibile programmare in modo automatico (ogni tot di mesi) la notifica per la modifica della password.
Ruoli di privilegio per ogni dipendente
Poco fa abbiamo parlato di password “più importanti”; come saprai bene, all’interno di un’azienda esistono operazioni più delicate di altre ed è per questo necessario adottare un ulteriore accorgimento per salvaguardare la sicurezza dei dati aziendali: bisogna assegnare a ogni dipendente competenze e responsabilità precise, riservando ruoli di privilegio solo ad alcuni, allo scopo di tutelare le informazioni più riservate.
Proteggere le reti LAN e wireless
Per ridurre al minimo il rischio di subire attacchi esterni, è necessario proteggere adeguatamente le reti aziendali e l’intera infrastruttura IT. Devi sapere, a questo proposito, che le reti wireless sono quelle più facilmente eludibili dai malintenzionati e, in quanto tali, richiedono una particolare attenzione nel momento in cui vengono configurate. Niente paura: sul mercato esistono diverse soluzioni per criptarle in modo sicuro.
Munirsi di Firewall e Antivirus efficaci
C’è un ultimo (ma non certo per importanza) accorgimento utile ad assicurarsi un adeguato livello di sicurezza: bisogna munirsi di firewall e antivirus efficaci.
Conosci la differenza tra queste due soluzioni? I primi filtrano il traffico tra una rete interna (o LAN, local area network, come per esempio è la rete interna composta dai computer di un’azienda) e la rete esterna (cioè, sostanzialmente, Internet nella sua interezza), garantendo la sicurezza della LAN. Gli antivirus, invece, agiscono a livello di macchina (un pc o un server), impedendo ai virus di entrare nel sistema ed, eventualmente, eliminando i programmi malevoli che hanno già infettato il sistema.
Furto di dati aziendali da parte di dipendenti “infedeli”
Formare i dipendenti in materia di sicurezza dei dati non basta: bisogna anche controllare che nessuno di loro, magari perché insoddisfatto del proprio ruolo ricoperto all’interno dell’azienda, tratti volontariamente quelle informazioni riservate in maniera illecita.
Non sottovalutare questo rischio: non sono rari i casi di dipendenti “infedeli” che sottraggono indebitamente i dati aziendali e/o divulgano a terzi informazioni riservate.
Dati sensibili aziendali: rischi della divulgazione
I comportamenti illeciti dei dipendenti “infedeli” precedentemente citati possono tradursi nella pratica in alcune azioni in grado di danneggiare seriamente l’azienda. Di seguito, sono elencate le più comuni:
- cancellazione (o modifica) di dati aziendali;
- divulgazione (con e senza scopo di lucro) di dati aziendali riservati allo scopo di danneggiare l’azienda;
- vendita di dati o informazioni alle aziende concorrenti in cambio di soldi;
- violazione dei patti di non concorrenza;
- uso dei dati sottratti per scopi personali e di lucro;
- estorsione e ricatto nei confronti dei legittimi proprietari dei dati.
GDPR e dati aziendali: cosa prevedono le normative
Il GDPR (acronimo di General Data Protection Regulation), entrato in vigore il 24 maggio 2016 e in applicazione a partire dal 25 maggio 2018, ha introdotto importanti novità alla normativa sulla privacy, con ripercussioni rilevanti anche sulle modalità di trattamento dei dati personali da parte delle aziende.
Le principali novità introdotte dal GDPR, in questo senso, sono due:
- qualsiasi soggetto che richiede l’utilizzo dei dati personali ha l’obbligo di specificare per quale scopo e per quanto tempo questi verranno usati;
- è possibile richiedere, a determinate condizioni, che i propri dati personali siano cancellati.
Per quanto riguarda la sicurezza dei dati aziendali, è importante avere ben chiara la distinzione tra dati personali riguardanti persone fisiche e dati sulle società: come è possibile leggere sul sito della Commissione Europea, “le regole si applicano solo ai dati personali delle persone fisiche, non regolano i dati sulle società o su altre persone giuridiche”.
Tuttavia, devi sapere che “le informazioni relative alle società individuali possono costituire dati personali nel caso in cui consentano l’identificazione di una persona fisica” e che “le regole si applicano anche a tutti i dati personali relativi a persone fisiche nel corso di un’attività professionale, come i dipendenti di una società o organizzazione, indirizzi e-mail aziendali come ‘nome.cognome@azienda’ o numeri di telefono aziendali dei dipendenti”.
Tieni tutto ciò bene a mente per la tua startup perché la divulgazione di determinati dati potrebbe esporti a multe anche molto salate.