Il magazine di TeamSystem
Contattaci
Categorie

La tutela del dato secondo l’approccio delle 3P: Protection, Privacy e Policy

Redazione
08.04.2016 - Tempo di lettura: 5'
La tutela del dato secondo l’approccio delle 3P: Protection, Privacy e Policy

Ogni individuo mediamente memorizza sui propri dispositivi digitali una serie di beni intangibili che valgono fino a 35 mila dollari (Fonte: McAfee – 2014). Facile immaginare il fattore di moltiplicazione rispetto ai dati che ogni impresa conserva nei propri server o invia nel cloud.

Brevetti, progetti sviluppati insieme a partner e clienti, materiali coperti da copyright, archivi anagrafici e altri tipi di database. Si tratta di un capitale di valore, anche in considerazione del fatto che la reputazione di un’azienda oggi dipende da quanto si dimostri attenta nell’utilizzare e nel proteggere le informazioni sensibili di cui dispone.

Affrontare il tema da ogni angolazione

Tutelare i dati è una mission imprescindibile quando si affronta qualsiasi tipo di business che abbia una componente digitale. Occuparsi della gestione delle informazioni rischia però di rivelarsi una sfida persa in partenza se non si diventa consapevoli di un fatto: gli attacchi sono sempre più mirati e sofisticati. L’adozione di filtri tecnologici anche all’avanguardia potrebbe risultare inefficace se non si affronta il problema in maniera olistica.
Sono tre in particolare le sfaccettature di questo tema: Protection, Policy e Privacy.

Protection: cosa significa costruire un’infrastruttura sicura

Il primo passo per garantire la tutela del dato consiste nella realizzazione di un’infrastruttura su cui le informazioni possano viaggiare in maniera sicura. Come detto, con attacchi che si fanno sempre più mirati diventa difficile rispondere colpo su colpo, presidiando con strumenti e azioni di diversa natura ciascuno dei punti vulnerabili della filiera: gli hacker hanno ormai a disposizione dei toolkit (venduti sul mercato nero a poche migliaia di dollari) in grado di generare veri e propri assedi che minano le difese informatiche su più livelli e che vengono riconosciuti dai software tradizionali solo quando è troppo tardi.

Prevenire gli attacchi, costruendo una data Protection realmente proattiva, comunque è possibile. Le soluzioni di tipo sandbox, per esempio, permettono di ricevere e isolare tutti i file che cercano di oltrepassare il perimetro dell’azienda facendoli “esplodere” all’interno di un ambiente informatico protetto (il sandbox, per l’appunto) per analizzare gli effetti della loro esecuzione. Se sono innocui, vengono immessi nel sistema, al contrario vengono espulsi e segnalati. Ma per qualcuno si tratta di un approccio destinato a diventare presto obsoleto.

Il next step? Grazie agli analytics e ai big data o – spingendosi verso applicazioni ancora più sofisticate – alle learning machine, si possono creare strumenti su misura che proteggono l’impresa studiandone i verticali e comparandoli con quelli di organizzazioni simili che hanno già subito attacchi. In pratica è come se si sviluppasse un sistema immunitario che si evolve in tempo reale sulla base degli input e degli aggiornamenti interni ed esterni, costruendo anticorpi specifici che proteggono l’impresa da malware e attività malevoli nel momento stesso in cui si presentano. Il bello è che si possono fermare gli attacchi senza nemmeno contrarre la malattia.

Policy: ottemperare alle norme nazionali e internazionali, creare regolamenti interni ad hoc

Adeguare l’organizzazione alle leggi nazionali e internazionali per la tutela del dato significa tante cose. I data center che ospitano le informazioni e le applicazioni core delle aziende (che siano dislocati all’interno dell’Unione europea o in Italia), devono essere garantiti secondo i più rigidi criteri che definiscono la data security, dalle difese informatiche a quelle fisiche, passando per progetti architettonici a prova di emergenze energetiche o disastri ambientali.
Non sempre è possibile trasporre in azienda (specialmente se si parla di Pmi) le tecnologie e le soluzioni adottate dai professionisti dello storage. Ma c’è comunque molto da fare anche in sede: spesso infatti le minacce non arrivano dall’esterno, e anche quando accade il più delle volte i data breach (ovvero le fughe o i furti di dati) non dipendono dall’abilità degli attaccanti bensì dalla distrazione, dall’imperizia o da una precisa condotta dolosa dei collaboratori. Per evitare una falla dei sistemi è necessario istituire precise Policy aziendali a cui tutti devono attenersi nel momento in cui maneggiano informazioni, usano gli strumenti di comunicazione (mail, messaggistica, app) aziendali o private e accedono ai sistemi informatici.

Organizzare corsi di formazione è solo il primo passo per assicurarsi che colleghi, consulenti e collaboratori che accedono alla rete aziendale adoperino nel modo migliore possibile i propri strumenti di lavoro. È necessario redigere un vero e proprio decalogo che contenga le disposizioni, le condotte e le misure organizzative indispensabili per contrastare i rischi informatici endogeni ed esogeni.

Il documento dedicato alla Policy sulla sicurezza informatica deve diventare il punto di riferimento per chiunque abbia a che fare con i sistemi informatici, regolando:

  • il sistema di autorizzazione e di autenticazione di soggetti e procedure
  • la protezione e l’aggiornamento delle risorse hardware e software
  • la gestione delle copie di sicurezza, dei backup e del ripristino della disponibilità dei dati, con precise specificità rispetto alle informazioni sensibili o di natura giudiziaria
  • l’implementazione di meccanismi che forniscano traccia di tutte le operazioni effettuate dagli amministratori di sistema
  • la definizione dei ruoli di responsabilità rispetto a tutti i temi della sicurezza informatica

Privacy: maneggiare e trasferire i dati, un’operazione da eseguire con cura

La Privacy dei dati infine va difesa evitando di utilizzare soluzioni o app di tipo consumer – spesso gratuite e comode, ma prive di quei requisiti minimi necessari a proteggere i dati – e creando barriere all’ingresso che disincentivino le intrusioni occasionali.
Dalla raccolta dell’anagrafica dei clienti alla trasmissione di fatture e documenti, passando per la condivisione di file in sessioni di unified communications and collaboration, è fondamentale adottare o implementare piattaforme che sfruttino sistemi di identificazione degli utenti efficaci, tecnologie crittografiche e firewall in grado di tenere all’esterno le potenziali minacce che si annidano in tutte le situazioni in cui l’organizzazione entra in contatto con l’ambiente esterno.
Può tornare utile anche l’installazione di software analitici che, monitorando in forma anonima e su base statistica l’attività dei dipendenti, rilevino e segnalino eventuali anomalie nella routine quotidiana, a partire dagli automatismi innescati nei client dai software malevoli introdotti attraverso attività di phishing andate a buon fine.

Scopri le soluzioni TeamSystem

Articoli correlati

Sharing economy: tutto quello che c’è da sapere
Novità digitali
Sharing economy: tutto quello che c’è da sapere
Cosa è la sharing economy, come funziona e quali vantaggi comporta? Scopri tutto quello che c'è da sapere.
21.03.2024 | Redazione
Iaas, Paas, Saas: tipi di Cloud e le loro applicazioni
Novità digitali
Iaas, Paas, Saas: tipi di Cloud e le loro applicazioni
I servizi Cloud sono diventanti fondamentali per qualsiasi business e si distinguono in tre tipologie: i servizi Saas, Paas e Iaas.
22.12.2023 | Redazione
Black Friday: scopri le promozioni di TeamSystem
Novità digitali
Black Friday: scopri le promozioni di TeamSystem
Promozioni su una selezione di software in cloud: approfitta del Black Friday 2023 e scopri tutte le offerte!
13.11.2023 | Redazione
100 Best in Class 2023, l’iniziativa che seleziona i Commercialisti e Consulenti del Lavoro più eccellenti
Novità digitali
100 Best in Class 2023, l’iniziativa che seleziona i Commercialisti e Consulenti del Lavoro più eccellenti
100 Best in Class tra Commercialisti e Consulenti del Lavoro sono stati premiati per la loro capacità distintive e innovative
23.01.2023 | Redazione
Ruolo e competenze del Digital Transformation Manager
Novità digitali
Ruolo e competenze del Digital Transformation Manager
Chi è il Digital Transformation Manager? Scopri che ruolo ricopre e quali sono le competenze richieste per portare le aziende nell'era digitale.
03.08.2022 | Redazione
100 Best in Class 2022: la premiazione a Villa Erba
Novità digitali
100 Best in Class 2022: la premiazione a Villa Erba
Si è svolta martedì 10 maggio, nella splendida cornice di Villa Erba a Cernobbio, la serata di premiazione dei “100 Best in Class”, i migliori Commercialisti e Consulenti del Lavoro d’Italia.
20.05.2022 | Redazione
“Lo Scenario delle Professioni: oggi e domani”, l’evento dell’anno per Commercialisti e Consulenti del Lavoro
Novità digitali
“Lo Scenario delle Professioni: oggi e domani”, l’evento dell’anno per Commercialisti e Consulenti del Lavoro
L'evento dedicato a Commercialisti e Consulenti del Lavoro per scoprire Processi di Digitalizzazione e nuovi Modelli di Business per le libere professioni.
19.04.2022 | Redazione
100 Best in Class 2022, l’iniziativa che seleziona i Commercialisti e Consulenti del Lavoro più eccellenti
Novità digitali
100 Best in Class 2022, l’iniziativa che seleziona i Commercialisti e Consulenti del Lavoro più eccellenti
Commercialisti e Consulenti del Lavoro possono mettersi in gioco e vedere riconosciuti gli sforzi che quotidianamente si compiono per rendere sempre più competitive ed efficienti le imprese italiane.
08.02.2022 | Redazione