Indice dei contenuti
Quali dati raccoglie un’impresa?
Dati personali e dati sensibili o particolari sono un bersaglio ambito per gli hackers e i criminali informatici che cercano di impossessarsene per sfruttarli a fini illeciti: rivenderli nel dark web a compratori intenzionati ad usarli illegalmente, impiegarli per perpetuare furti di identità, ad esempio per richiedere prestiti a nome dei malcapitati, o ancora per attacchi di phishing, estorsioni o per carpire segreti aziendali.
Ogni impresa raccoglie, e conserva nei propri database, un’enorme quantità di dati relativi a persone fisiche come i dati anagrafici dei dipendenti che spesso vengono inviati ai consulenti del lavoro, o quelli relativi ai clienti che permettono di emettere fatture nei loro confronti e di ricevere i relativi pagamenti. Ci sono poi categorie di aziende, come quelle ospedaliere, che trattano dati molto delicati relativi alle condizioni di salute dei propri pazienti. Tutti questi dati passano tra i vari reparti aziendali, a volte vengono inviati anche all’esterno, e di conseguenza vanno trattati con la dovuta attenzione.
Dati personali, dati sensibili e dati particolari
Innanzitutto è necessario distinguere tra dati personali, sensibili e particolari.
L’art.4 del GDPR, acronimo di General Data Protection Regulation (Regolamento UE n.2016/697) definisce dati personali “qualsiasi informazione riguardante una persona fisica identificata o identificabile (<<interessato>>); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.
Tra i dati personali troviamo i dati particolari, regolati all’art.9 del GDPR, e chiamati dati sensibili nel vecchio Codice della Privacy (D.Lgs.196/2003).
Sono dati particolari:
- l’origine razziale o etnica;
- le opinioni politiche, le convinzioni religiose, filosofiche o simili;
- l’appartenenza sindacale;
- i dati genetici e i dati biometrici intesi ad identificare in modo univoco una persona fisica;
- i dati relativi alla salute, alla vita sessuale e all’orientamento sessuale della persona.
Trattamento dei dati personali: cosa prevede il GDPR?
Il trattamento dei dati personali è lecito solo se l‘interessato ha espresso il suo consenso per una o più specifiche finalità oppure nei casi in cui il trattamento è necessario: ipotesi queste espressamente disciplinate dall’art.6 del GDPR.
I dati sensibili, proprio perché riguardano la sfera più personale ed intima della persona, godono un’ulteriore tutela: il loro trattamento è vietato, a meno che l’interessato non abbia prestato il proprio consenso esplicito. Anche per questi dati la norma prevede delle eccezioni espressamente indicate nell’art.9 GDPR.
Data Leak e Data Breach: quali sono le differenze?
I dati personali e i dati sensibili possono essere divulgati per errore o in seguito ad un attacco informatico: si parla, in questi casi di Data Leak e Data Breach.
Ci troviamo di fronte ad un Data Leak quando la divulgazione di dati sensibili o riservati, a persone o organizzazioni non autorizzate, avviene in modo involontario o per errore. Le cause possono essere diverse. Ad esempio si può trattare di un errore umano: i dati sensibili vengono inviati, in modo non intenzionale, alle persone errate. Oppure si può avere la perdita accidentale o il furto di dispositivi contenenti tali dati. Si possono condividere inavvertitamente le password d’accesso ai dati, ma l’errore può consistere anche in una errata configurazione delle infrastrutture interne o del cloud, comprese le stesse applicazioni per la sicurezza.
Il Data Breach, invece, si verifica quando i dati sensibili o riservati diventano accessibili in seguito ad un attacco da parte di persone o organizzazioni che riescono ad entrare, pur non essendovi autorizzate, nei sistemi informatici o nelle reti di un’azienda. In questo caso ci troviamo di fronte a fenomeni di hacheraggio, phishing o malware che compromettono la sicurezza dei dati.
Quindi a caratterizzare i Data Leak è l’involontarietà della perdita di informazioni che può essere dovuta ad un incidente, ad un errore umano, o ad un errato processo di protezione e conservazione dei dati, mentre i Data Breach sono perdite di dati che si verificano a causa di un attacco deliberato.
Conseguenze in seguito a Data Leak e Data Breach
Seppure diversi tra loro, Data Leak e Data Breach hanno conseguenze simili. Ad essere divulgati, in un caso o nell’altro, sono informazioni personali come nome, indirizzo, telefono, mail, data di nascita, numero dei documenti di identità, codice fiscale relativi a dipendenti, clienti o fornitori: tutti dati che possono essere usati per identificare e contattare una persona. Ci sono poi i dati finanziari (come il numero della carta di credito, quello del conto corrente bancario), i dati sanitari (come le condizioni di salute, le prescrizioni mediche, le visite effettuate), ma anche informazioni aziendali quali strategie di business, documenti contenenti proprietà intellettuali ed informazioni commerciali, ricerche legate a brevetti, invenzioni ed innovazione dei prodotti.
Sia nel caso di Data Leak che di Data Breach le conseguenze possono essere estremamente gravi. Innanzitutto si ha una violazione della privacy e della sicurezza delle persone interessate che potrebbe essere soggetta a sanzioni legali in base a quanto previsto dal GDPR (eventuali violazioni dei dati personali devono essere segnati all’autorità competente entro 72 ore dalla scoperta). Se poi i dati esposti sono quelli relativi ad informazioni commerciali riservate o strategie di business dell’azienda, da ciò potrebbe trarre vantaggio la concorrenza. Non bisogna poi trascurare le risorse che l’impresa dovrà impiegare per risolvere l’accaduto, ripristinare la sicurezza dei sistemi e tornare alle normali attività. Per non parlare del grave danno d’immagine e di reputazione per l’azienda.
Come proteggere i dati sensibili aziendali?
Ogni azienda deve porre particolare attenzione alla propria sicurezza informatica: la protezione dei dati personali è di vitale importanza, soprattutto in un contesto di costante crescita degli attacchi digitali. Le organizzazioni devono mettere a punto una serie di azioni volte a ridurre, per quanto possibile, i rischi. Inoltre, le soluzioni scelte devono essere adattate costantemente alle nuove esigenze e ai cambiamenti in atto.
La prima cosa da fare è capire quali sono i dati di cui si dispone, dove si trovano, chi ne è responsabile, quali di essi assumono una particolare importanza. Bisogna, poi valutare costantemente eventuali vulnerabilità, attraverso un’approfondita analisi dell’infrastruttura IT presente in modo da evidenziare le aree di rischio sulle quali è necessario intervenire, stabilendo quali sono le priorità e definendo un preciso piano di azione: ciò consentirà, non solo di ridurre i rischi, ma anche di poter dimostrare, in caso di eventuali sottrazioni di dati, di aver fatto tutto il possibile per scongiurare tale situazione.
Sicuramente è utile usare un buon software antivirus che deve essere tenuto costantemente aggiornato. Altrettanto importante è la formazione del personale per evitare Data Leak dovuti ad errori umani. Altri provvedimenti da prendere sono legati alla sicurezza fisica dei server e delle postazioni di lavoro adottando sistemi di sicurezza, prevedendo accessi controllati agli edifici e una protezione contro eventuali disastri naturali.
Se la prevenzione è importantissima non bisogna dimenticare che occorre stabilire a priori cosa fare nel caso in cui si dovesse verificare una perdita di dati nonostante tutte le misure adottata. E’ utile disporre di un sistema di backup affidabile in modo da poter ripristinare i dati in caso di problemi, ma è necessario anche testare periodicamente i backup in modo da essere certi di poter ripristinare i dati in caso di necessità e avere un piano di disaster recovery in modo da poter riprendere, nel più breve tempo possibile, le normali attività.
Cyber security per le PMI: la soluzione CyberExpert di Namirial
Namirial, da sempre impegnata sul fronte della sicurezza informatica, negli anni ha incrementato significativamente gli investimenti in ricerca e sviluppo nel settore della cyber security.
Sfruttando il proprio kwon how e la sua esperienza nel settore, Namirial ha realizzato l’innovativa piattaforma digitale CyberExpert che esegue la scansione delle minacce informatiche al fine di consentire una corretta valutazione del rischio e attivare, di conseguenza, le contromisure idonee. Il tutto operando esclusivamente dall’esterno, senza la necessità di installare alcun software. Inoltre, l’utilizzo è reso sicuro grazie dall’accesso con SPID.
I risultati delle analisi sono fondamentali perché misurano l’efficacia dei sistemi di sicurezza, ne evidenziano le lacune e permettono di dare la giusta priorità agli investimenti nel campo della cyber security.
Ecco quali sono i principali vantaggi di CyberExpert:
- Nessun software da installare: CyberExpert è una piattaforma web pronta all’uso: nessun software da installare con notevole risparmio di tempo e di investimenti;
- Semplicità di utilizzo: attiva la piattaforma attraverso la tua identità digitale SPID, inserisci i dati richiesti (indirizzo IP pubblico, email, dominio, indirizzo web) e pianifica l’analisi. Appena pronto, CyberExpert invierà il report direttamente al tuo indirizzo email;
- Report intuitivi: i report generati da Cyber Expert sono completi e di facile comprensione. Evidenziano le vulnerabilità dell’infrastruttura informativa, segnalano la presenza di tuoi dati nel deep web, di data breach, di malware e ti guidano nelle azioni di contrasto;
- API disponibili: sei un rivenditore? Integra la piattaforma Cyber Expert al tuo shop online attraverso le API che Namirial ti mette a disposizione. I tuoi clienti potranno accedere alla piattaforma direttamente dal tuo sito web.
Inoltre, CyberExpert di Namirial permette alle PMI di rispettare a pieno il regolamento generale sulla protezione dei dati dell’Unione Europea, meglio noto come GDPR.
