Formazione indispensabile per la sicurezza delle informazioni
Recentemente l’azienda Tesla è stata al centro di un’enorme fuga di dati ad opera di due ex dipendenti che hanno inviato files riservati al giornale tedesco Handelsblatt.
I files divulgati, soprannominati “Tesla Files”, contenevano un’enorme quantità di dati sensibili su dipendenti, clienti e affari interni, compresi segreti del reparto produzione.
Un evento che non solo ha minato la sicurezza e la reputazione di una delle più importanti aziende americane, ma ha messo in evidenza una criticità spesso trascurata: il fattore umano.
La sicurezza informatica , riguarda sia attacchi provenienti dall’esterno (ad opera di minacce quali, ad esempio, malware, ransomware, exploit e DoS) che dall’interno, riconducibili ad una scarsa conoscenza dei rischi.
Se è vero che per i primi una buona difesa è l’adozione di misure tecniche consolidate, come sistemi antivirus, backup e monitoraggio delle infrastrutture IT aziendali, a fare la differenza per prevenire gli attacchi alla sicurezza informatica provenienti dall’interno è innanzitutto la formazione delle persone che punta a creare una maggiore consapevolezza.
Il regolamento GDPR ha introdotto il concetto di responsabilizzazione di titolari e responsabili del trattamento dati, affidando loro il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento. Il GDPR pone in sostanza l’attenzione sulla necessità di configurare il trattamento prevedendo fin dall’inizio le garanzie indispensabili “al fine di soddisfare i requisiti” del regolamento e tutelare i diritti degli interessati.
Nello specifico, poniamo l’attenzione su 2 articoli:
-l’art. 32 del GDRP, incentrato sulla “Sicurezza del trattamento”, prevede che il titolare del trattamento e il responsabile del trattamento mettano in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio.
-l’art. 29 dispone che chiunque agisca sotto l’autorità del titolare del trattamento, non può trattare dati se non è istruito in tal senso dal titolare stesso.
Nel caso in cui si verifichi una fuga di dati, accidentale, colposa o volontaria, oltre al danno economico e reputazionale, il Garante della Privacy può decidere di sanzionare le aziende che non hanno protetto in modo adeguato i dati personali.
Datapro conosce l’importanza di attivarsi in maniera preventiva con misure tecniche ed organizzative: la sicurezza di un’azienda non può prescindere da un sistema informatico capace di gestire in modo adeguato la raccolta delle informazioni ma, al tempo stesso, la formazione costante è fondamentale per sensibilizzare e formare il personale aziendale in tema di cyber security, poiché il fattore umano può effettivamente fare la differenza per implementare la sicurezza interna.
Per questo, aiutare aziende ed organizzazioni a raggiungere la compliance normativa ed il livello di sicurezza desiderato significa anche passare attraverso la formazione del personale: i corsi Datapro, completi di esempi pratici e test di prova, sono rivolti ad aumentare la consapevolezza degli strumenti e dei rischi connessi.
Per maggiori informazioni contattaci