Quali dati raccoglie un’impresa
Dati personali e dati sensibili o particolari sono un bersaglio ambito per gli hackers e i criminali informatici che cercano di impossessarsene per sfruttarli a fini illeciti: rivenderli nel dark web a compratori intenzionati a usarli illegalmente, impiegarli per perpetuare furti di identità, ad esempio per chiedere prestiti a nome dei malcapitati, o ancora per attacchi di phishing, estorsioni o per carpire segreti aziendali.
Ogni impresa raccoglie e conserva nei propri database un’enorme quantità di dati, relativi a persone fisiche come i dipendenti o i clienti. Ci sono poi categorie di aziende, come quelle ospedaliere, che trattano dati molto delicati relativi alle condizioni di salute dei pazienti. Tutti questi dati passano tra i vari reparti aziendali, a volte vengono inviati anche all’esterno, e di conseguenza vanno trattati con la dovuta attenzione.
Dati personali, dati sensibili e dati particolari
Innanzitutto è necessario distinguere tra dati personali, sensibili e particolari.
L’art. 4 del GDPR, acronimo di General Data Protection Regulation (Regolamento UE n.2016/697) definisce dati personali “qualsiasi informazione riguardante una persona fisica identificata o identificabile (<<interessato>>); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.
Tra i dati personali troviamo i dati particolari, regolati all’art. 9 del GDPR, e chiamati dati sensibili nel vecchio Codice della Privacy (D.Lgs.196/2003).
Sono dati particolari:
- l’origine razziale o etnica;
- le opinioni politiche, le convinzioni religiose, filosofiche o simili;
- l’appartenenza sindacale;
- i dati genetici e i dati biometrici intesi a identificare in modo univoco una persona fisica;
- i dati relativi alla salute, alla vita sessuale e all’orientamento sessuale della persona.
Trattamento dei dati personali: cosa prevede il GDPR
Il trattamento dei dati personali è lecito solo se l‘interessato ha espresso il suo consenso per una o più specifiche finalità oppure nei casi in cui il trattamento è necessario: ipotesi queste espressamente disciplinate dall’art. 6 del GDPR.
I dati sensibili, proprio perché riguardano la sfera più personale e intima della persona, godono di un’ulteriore tutela: il loro trattamento è vietato, a meno che l’interessato non abbia prestato il proprio consenso esplicito. Anche per questi dati la norma prevede delle eccezioni espressamente indicate nell’art. 9 GDPR.
Data Leak e Data Breach: quali sono le differenze
I dati personali e i dati sensibili possono essere divulgati per errore o in seguito a un attacco informatico: si parla, in questi casi di Data Leak e Data Breach.
Ci troviamo di fronte a un Data Leak quando la divulgazione di dati sensibili o riservati, a persone o organizzazioni non autorizzate, avviene in modo involontario o per errore. Le cause possono essere diverse. Ad esempio si può trattare di un errore umano: i dati sensibili vengono inviati, in modo non intenzionale, alle persone errate. Oppure si può avere la perdita accidentale o il furto di dispositivi contenenti tali dati. Si possono condividere inavvertitamente le password d’accesso ai dati, ma l’errore può consistere anche in una errata configurazione delle infrastrutture interne o del cloud, comprese le stesse applicazioni per la sicurezza.
Il Data Breach, invece, si verifica quando i dati sensibili o riservati diventano accessibili in seguito a un attacco da parte di persone o organizzazioni che riescono a entrare, pur non essendovi autorizzate, nei sistemi informatici o nelle reti di un’azienda. In questo caso ci troviamo di fronte a fenomeni di hackeraggio, phishing o malware che compromettono la sicurezza dei dati.
Conseguenze in seguito a Data Leak e Data Breach
Seppure diversi tra loro, Data Leak e Data Breach hanno conseguenze simili. A essere divulgati, in un caso o nell’altro, sono informazioni personali come nome, indirizzo, telefono, mail, data di nascita, numero dei documenti di identità, codice fiscale relativi a dipendenti, clienti o fornitori: tutti dati che possono essere usati per identificare e contattare una persona. Ci sono poi i dati finanziari (come il numero della carta di credito, quello del conto corrente bancario), i dati sanitari (come le condizioni di salute, le prescrizioni mediche, le visite effettuate), ma anche informazioni aziendali quali strategie di business, documenti contenenti proprietà intellettuali e informazioni commerciali, ricerche legate a brevetti, invenzioni e innovazioni dei prodotti.
Sia nel caso di Data Leak che di Data Breach le conseguenze possono essere estremamente gravi. Innanzitutto si ha una violazione della privacy e della sicurezza delle persone interessate che potrebbe essere soggetta a sanzioni legali in base a quanto previsto dal GDPR (eventuali violazioni dei dati personali devono essere segnati all’autorità competente entro 72 ore dalla scoperta). Se poi i dati esposti sono quelli relativi a informazioni commerciali riservate o strategie di business dell’azienda, da ciò potrebbe trarre vantaggio la concorrenza. Non bisogna poi trascurare le risorse che l’impresa dovrà impiegare per risolvere l’accaduto, ripristinare la sicurezza dei sistemi e tornare alle normali attività. Per non parlare del grave danno d’immagine e di reputazione per l’azienda.
Come proteggere i dati sensibili aziendali
Ogni azienda deve porre particolare attenzione alla propria sicurezza informatica: la protezione dei dati personali è di vitale importanza, soprattutto in un contesto di costante crescita degli attacchi digitali. Le organizzazioni devono mettere a punto una serie di azioni volte a ridurre, per quanto possibile, i rischi. Inoltre, le soluzioni scelte devono essere adattate costantemente alle nuove esigenze e ai cambiamenti in atto.
La prima cosa da fare è capire quali sono i dati di cui si dispone, dove si trovano, chi ne è responsabile, quali di essi assumono una particolare importanza. Bisogna poi valutare costantemente eventuali vulnerabilità, attraverso un’approfondita analisi dell’infrastruttura IT presente, in modo da evidenziare le aree di rischio sulle quali è necessario intervenire, stabilendo quali sono le priorità e definendo un preciso piano di azione: ciò consentirà non solo di ridurre i rischi, ma anche di poter dimostrare, in caso di eventuali sottrazioni di dati, di aver fatto tutto il possibile per scongiurare tale situazione.
Sicuramente è utile usare un buon software antivirus, che deve essere tenuto costantemente aggiornato. Altrettanto importante è la formazione del personale, per evitare Data Leak dovuti a errori umani. Altri provvedimenti da prendere sono legati alla sicurezza fisica dei server e delle postazioni di lavoro, adottando sistemi di sicurezza, prevedendo accessi controllati agli edifici e una protezione contro eventuali disastri naturali.
Se la prevenzione è importantissima, non bisogna dimenticare che occorre stabilire a priori cosa fare nel caso in cui si dovesse verificare una perdita di dati nonostante tutte le misure adottata. È utile disporre di un sistema di backup affidabile, da testare periodicamente, in modo da poter ripristinare i dati in caso di problemi, ma è necessario anche avere un piano di disaster recovery, per poter riprendere l’attività nel più breve tempo possibile.
Cyber security per le PMI: la soluzione CyberExpert di Namirial
Namirial, da sempre impegnata sul fronte della sicurezza informatica, negli anni ha incrementato significativamente gli investimenti in ricerca e sviluppo nel settore della cyber security.
Sfruttando il proprio kwon how e la sua esperienza nel settore, Namirial ha realizzato l’innovativa piattaforma digitale CyberExpert, che esegue la scansione delle minacce informatiche al fine di consentire una corretta valutazione del rischio e attivare, di conseguenza, le contromisure idonee. Il tutto operando esclusivamente dall’esterno, senza la necessità di installare alcun software. Inoltre, l’uso è reso sicuro grazie all’accesso con SPID.
I risultati delle analisi sono fondamentali perché misurano l’efficacia dei sistemi di sicurezza, ne evidenziano le lacune e permettono di dare la giusta priorità agli investimenti nel campo della cyber security.
Ecco quali sono i principali vantaggi di CyberExpert:
- Nessun software da installare: piattaforma web pronta all’uso, con notevole risparmio di tempo e investimenti;
- Semplicità d’uso: attiva la piattaforma attraverso la tua identità digitale SPID, inserisci i dati richiesti (indirizzo IP pubblico, email, dominio, indirizzo web) e pianifica l’analisi. Appena pronto, CyberExpert invierà il report direttamente al tuo indirizzo email;
- Report intuitivi: i report sono completi e di facile comprensione, evidenziano le vulnerabilità dell’infrastruttura informativa, segnalano la presenza di tuoi dati nel deep web, di data breach, di malware e ti guidano nelle azioni di contrasto;
- API disponibili: sei un rivenditore? Integra la piattaforma Cyber Expert al tuo shop online attraverso le API Namirial. I tuoi clienti potranno accedere alla piattaforma direttamente dal tuo sito web.
Inoltre, CyberExpert di Namirial permette alle PMI di rispettare a pieno il regolamento generale sulla protezione dei dati dell’Unione Europea, meglio noto come GDPR.
