Quanto sei al sicuro sul web? Secondo l’Eurobarometro, gli italiani hanno una percezione molto bassa dei rischi in rete. A dirlo è il report diffuso dalla Commissione europea, in occasione dell’anniversario dell’entrata in vigore del Regolamento generale della protezione dei dati (Gdpr).

Lo studio dell’Eurobarometro ci indica fra i meno informati in termini di privacy e difesa dei dati personali (49%), a seguire i francesi (44%), esponendoci così a numerose minacce per la nostra sicurezza e in netto ritardo rispetto ai Paesi europei che, da tempo, hanno ormai adottato il testo comunitario in materia di dati personali.

Ma che cos’è di preciso il Gdpr e come difenderci in un’era in cui si sente parlare continuamente di cybersecurity?

Ne parliamo con Fabio Di Caro, Ceo di Nefosys Srl, società del Gruppo Intent specializzata in IT services e sistemi di sicurezza informatica.

 

- COS’È IL GDPR?

Il Regolamento generale della protezione dei dati (Gdpr) è una norma europea che subentra alla legge italiana 196, meglio nota come “codice della privacy” in difesa dei dati personali. Il provvedimento Gdpr tenta di regolamentare la conservazione, l’utilizzo e la cancellazione dei dati personali. Il testo è stato emanato circa tre anni fa e ogni Paese europeo ha integrato le proprie leggi nazionali con quella comunitaria.

Nell’aprile 2018 il Gdpr è diventato cogente e l’Italia deve ora fare i conti con possibili sanzioni su aspetti come il diritto all’oblio, il diritto sui dati e l’eventuale perdita, o il concetto di data bridge.

Sebbene sia stata adottata ufficialmente un anno fa, l’Italia a oggi è il paese con la minor consapevolezza sull’esistenza della normativa Gdpr: una mancanza che si manifesta fra privati, PA e soprattutto nelle aziende, addette alla gestione di centinaia di dipendenti e spesso incapaci di tutelarli nella privacy.

 

- A COSA SERVE IL GDPR E COME MI TUTELA SUL LAVORO?

Il Gdpr colma degli aspetti della legge 196 e sposta l’attenzione dalle responsabilità del singolo utente ai diritti e doveri di chi tratta i dati personali.

Il Regolamento è focalizzato su come i dati personali di utenti terzi siano gestiti per esempio dalle aziende. Ciò contribuisce a un aumento delle responsabilità a carico delle PMI e le costringe a farsi carico della privacy dei propri dipendenti. “Tutte le aziende devono affrontare la sfida del Gdpr, perché tutte le aziende che lavorano con dei dipendenti hanno a che fare con i loro dati personali”, afferma Fabo Di Caro.

L’inasprimento dei controlli ha però dei risvolti positivi. “Il Gdpr può essere un’opportunità di business e per la sicurezza aziendale: per noi di Nefosys è un’occasione per insegnare a privati e imprese come proteggere la privacy e formarsi sulle policy adeguate”.

È il motivo per cui Nefosys si pone con il suo prodotto consulenziale, “Nefosys Safety Pack”, come eccellenza nella cybersecurity per le aziende. La società è oggi partner di Kaspersky Lab e con lei collabora al programma Kaspersky Security Awareness (ASAP) in termini di cyber security.

 

- LA POLICY AZIENDALE: ARMA CONTRO GLI ATTACCHI INFORMATICI

Non basta schermare un’azienda con firewall e antivirus generici, a danneggiare i sistemi di sicurezza è l’arretratezza dei processi aziendali in materia di policy. “Molte truffe a discapito dei dipendenti si basano su sistemi di autenticazione non certificati: se ci fossero delle informative o una formazione interna si eviterebbero tanti attacchi informatici”.

Le stesse aziende non realizzano infatti quanto la trasformazione digitale le coinvolga direttamente e le costringa a rivalutare il fattore sicurezza. “Le aziende ci segnalano in genere i loro dati sul server, dimenticando invece quelli a cui hanno accesso i propri dipendenti sui device: sono potenziali rischi o falle per la sicurezza”.

La mobilità e l’eterogeneità dei sistemi offrono un grosso impulso lavoro, uno scambio continuo di dati, ma l’evoluzione porta allo sviluppo dei dispositivi, dei processi, e anche a un aumento delle criticità in termini di sicurezza. Come intervenire?

“Quando ci confrontiamo con un’azienda, la prima cosa è capire se ha un reparto IT” - la sfida di Nefosys e del Gruppo Intent è renderlo stabile, efficace e sicuro – “si procede poi individuando i dati, analizzandoli e capendo come proteggerli”.

Dopo l’assessment iniziale, si procede quindi con la risk analysis, la patching analysis e l’asset inventory, stabilendo il responsabile univoco dei dati per l’azienda.

 

- DIFENDERE LA TUA PRIVACY È POSSIBILE

“La sicurezza assoluta non esiste, ma possiamo aumentare la nostra percezione affidandoci a chi sa garantirci una soglia più elevata”, afferma Fabio Di Caro.

Una prima soluzione ai rischi in cui incorre la tua azienda potrebbe essere un sistema centralizzato di dati, con un’autenticazione specifica: in questo modo le credenziali saranno conservate in un sistema centrale, con utenze archiviate centralmente in un server e con una parte di sicurezza centralizzata.

C’è solo un modo con cui la tua azienda però sarà realmente al sicuro: le persone devono sentirsi parte della trasformazione digitale ed essere consapevoli anche dei suoi pericoli. “I modi di aggirare il sistema ci sono sempre, ma elevare il concetto sicurezza è un’accortezza in più: se le aziende ammettono ancora password scritte su su post-it e non mettono in pratica policy efficaci, saranno sempre esposte a rischi”.

 

Vuoi aumentare la tua cybersecurity? Ci pensiamo noi: scrivi a marketing@intentsrl.it