L’esperienza sul campo ci ha consentito di verificare che molte aziende si accontentano di una cyber security compliance credibile sulla carta, trascurando però il rischio sostanziale circa l’effettiva probabilità che si verifichino eventi pericolosi. Una perdita del controllo sui dati personali trattati, ad esempio, può causare innanzitutto un danno diretto al patrimonio aziendale oltreché, collateralmente, l’attivazione di una procedura sanzionatoria del Garante.
Per questo, tenuto conto dello stato dell’arte, si rende senz’altro necessario mettere a punto misure di sicurezza tecniche e organizzative adeguate – come richiesto e indicato dall’art. 32 GDPR – per prevenire e scongiurare, il più possibile, eventuali data breach: giova ribadire come, oltre ad essere forieri di inevitabili sanzioni, a fronte dell’obbligo di comunicazione al Garante (artt. 33 e 34 GDPR), essi costituiscano di per sé una concreta ed attuale fonte di pericolo per la sicurezza e il corretto funzionamento degli asset aziendali.
Purtroppo, le violazioni di dati personali sono un fenomeno all’ordine del giorno, sempre più frequente e diffuso: si va dal semplice furto o perdita di device, agli accessi non autorizzati da parte di terzi ai sistemi informativi aziendali, fino alle acquisizioni e divulgazioni illecite di contenuti e informazioni. Inutile dire, inoltre, che oggigiorno i rischi maggiori per la tutela dei dati e della vita privata provengono dall’ambito cyber, spesso approcciato con scarsa consapevolezza e fin troppa superficialità.
I data breach, infatti, sono perlopiù causati da eventi offensivi di tipo informatico, interni od esterni, che, in base alla loro entità, sono capaci di mettere fortemente in crisi le piccole aziende, come le grandi, e, talvolta, addirittura complesse strutture ospedaliere.
Il fatto drammatico accaduto qualche mese fa nell’ospedale di Duesseldorf è un esempio, seppur estremo, delle possibili conseguenze di un data breach: un attacco hacker perpetrato mediante un malware di tipo ransomware, bloccando la rete informatica con richiesta di riscatto per la decrittazione dei dati, ha comportato il dirottamento di un paziente su un ospedale più lontano, finendo per causare la morte dello stesso.
Non è un caso se Eugene Kaspersky, fondatore di una tra le più importanti aziende al mondo in campo antivirus ha definito l’attuale fase storica con il termine di “cyberage”, in ragione dell’importanza rivestita dai flussi virtuali di dati.
Il percorso del dato deve essere sempre messo in sicurezza, secondo criteri di integrità, trasparenza e tracciabilità. Il futuro prossimo prevede infatti un impiego sempre più massiccio del digitale: dall’organizzazione di turnate elettorali (Paesi come la Russia si stanno già organizzando in tal senso), fino ai flussi economico-monetari e di distribuzione delle risorse (si pensi anche alla ripartizione dei vaccini per il Covid-19), come già avviene.
Il nostro consiglio è quello di verificare (nella sostanza e non solo nella forma) e aggiornare con costanza la sicurezza del sistema IT aziendale nel suo complesso. Per questo durante le nostre consulenze mettiamo a disposizione un attento servizio di analisi delle minacce informatiche, che contempla, tra le altre cose, la valutazione della penetrabilità dei sistemi informativi aziendali e la segnalazione dell’eventuale presenza nel dark web degli indirizzi e-mail analizzati. Si ricorda, inoltre, di non sottovalutare nemmeno i rischi connessi all’utilizzo dei device personali e delle reti domestiche, fonti di innumerevoli insidie per gli asset aziendali in tempo di smart working (ne abbiamo parlato più diffusamente qui https://www.iconsulentiprivacy.it/smart-working-linee-guida-adempimenti-privacy-e-it/), oltre che per la libertà e i diritti di ciascuno (si pensi in particolare all’Internet delle cose e alle app di domotica).
Approfitta del nostro stress test privacy, con approfondimento specifico sulle minacce informatiche.
L’esperienza sul campo ci ha consentito di verificare che molte aziende si accontentano di una cyber security compliance credibile sulla carta, trascurando però il rischio sostanziale circa l’effettiva probabilità che si verifichino eventi pericolosi. Una perdita del controllo sui dati personali trattati, ad esempio, può causare innanzitutto un danno diretto al patrimonio aziendale oltreché, collateralmente, l’attivazione di una procedura sanzionatoria del Garante.
Per questo, tenuto conto dello stato dell’arte, si rende senz’altro necessario mettere a punto misure di sicurezza tecniche e organizzative adeguate – come richiesto e indicato dall’art. 32 GDPR – per prevenire e scongiurare, il più possibile, eventuali data breach: giova ribadire come, oltre ad essere forieri di inevitabili sanzioni, a fronte dell’obbligo di comunicazione al Garante (artt. 33 e 34 GDPR), essi costituiscano di per sé una concreta ed attuale fonte di pericolo per la sicurezza e il corretto funzionamento degli asset aziendali.
Purtroppo, le violazioni di dati personali sono un fenomeno all’ordine del giorno, sempre più frequente e diffuso: si va dal semplice furto o perdita di device, agli accessi non autorizzati da parte di terzi ai sistemi informativi aziendali, fino alle acquisizioni e divulgazioni illecite di contenuti e informazioni. Inutile dire, inoltre, che oggigiorno i rischi maggiori per la tutela dei dati e della vita privata provengono dall’ambito cyber, spesso approcciato con scarsa consapevolezza e fin troppa superficialità.
I data breach, infatti, sono perlopiù causati da eventi offensivi di tipo informatico, interni od esterni, che, in base alla loro entità, sono capaci di mettere fortemente in crisi le piccole aziende, come le grandi, e, talvolta, addirittura complesse strutture ospedaliere.
Il fatto drammatico accaduto qualche mese fa nell’ospedale di Duesseldorf è un esempio, seppur estremo, delle possibili conseguenze di un data breach: un attacco hacker perpetrato mediante un malware di tipo ransomware, bloccando la rete informatica con richiesta di riscatto per la decrittazione dei dati, ha comportato il dirottamento di un paziente su un ospedale più lontano, finendo per causare la morte dello stesso.
Non è un caso se Eugene Kaspersky, fondatore di una tra le più importanti aziende al mondo in campo antivirus ha definito l’attuale fase storica con il termine di “cyberage”, in ragione dell’importanza rivestita dai flussi virtuali di dati.
Il percorso del dato deve essere sempre messo in sicurezza, secondo criteri di integrità, trasparenza e tracciabilità. Il futuro prossimo prevede infatti un impiego sempre più massiccio del digitale: dall’organizzazione di turnate elettorali (Paesi come la Russia si stanno già organizzando in tal senso), fino ai flussi economico-monetari e di distribuzione delle risorse (si pensi anche alla ripartizione dei vaccini per il Covid-19), come già avviene.
Il nostro consiglio è quello di verificare (nella sostanza e non solo nella forma) e aggiornare con costanza la sicurezza del sistema IT aziendale nel suo complesso. Per questo durante le nostre consulenze mettiamo a disposizione un attento servizio di analisi delle minacce informatiche, che contempla, tra le altre cose, la valutazione della penetrabilità dei sistemi informativi aziendali e la segnalazione dell’eventuale presenza nel dark web degli indirizzi e-mail analizzati. Si ricorda, inoltre, di non sottovalutare nemmeno i rischi connessi all’utilizzo dei device personali e delle reti domestiche, fonti di innumerevoli insidie per gli asset aziendali in tempo di smart working (ne abbiamo parlato più diffusamente qui https://www.iconsulentiprivacy.it/smart-working-linee-guida-adempimenti-privacy-e-it/), oltre che per la libertà e i diritti di ciascuno (si pensi in particolare all’Internet delle cose e alle app di domotica).
Approfitta del nostro stress test privacy, con approfondimento specifico sulle minacce informatiche.