di Redazione odisseoprivacy.it
scritto il 27 agosto 2021
Garantire la cybersecurity in azienda con un piano strategico e competenze specifiche: affidarsi a un Security Provider qualificato in outsourcing può fare la differenza.
Le piccole e medie imprese, esattamente come le aziende di grandi dimensioni, subiscono continuamente attacchi che hanno come bersaglio la sicurezza informatica.
La digitalizzazione che ormai coinvolge la stragrande maggioranza delle imprese, inoltre, sta rendendo ancora più cogente e concreto questo pericolo.
Anche le piccole attività che si affacciano al digitale devono fare uno sforzo in più per proteggersi in modo sicuro, efficace e conforme al Regolamento Europeo sulla privacy 2016/679 (DGPR).
Qual è la strategia più efficace per proteggere i dati dei propri clienti, fornitori e dipendenti, le risorse, i sistemi e le reti aziendali?
Questo quesito pone le PMI davanti a una scelta che richiede impegno, ponderatezza e conoscenza dell’importanza del problema.
La maniera più semplice sembra essere quella di incaricare della cybersecurity e della privacy chi già si occupa della manutenzione e aggiornamento delle infrastrutture informatiche aziendali.
Questo soggetto può essere sia una figura interna all’azienda sia un consulente esterno. Questa decisione è legata a problemi di natura economica, dettate da possibili carenze di risorse. Non tutte le imprese, infatti, hanno la possibilità di assumere un responsabile interno della sicurezza informatica o il cosiddetto DPO previsto dal Regolamento UE 2016/679 o il meno impegnativo Responsabile interno incaricato per la privacy.
Considerare la sicurezza della privacy e la manutenzione ed aggiornamento del sistema IT aziendale come un’unica responsabilità, può rivelarsi una scelta negativa, deleteria e controproducente in quanto può impedire che la sicurezza privacy venga svolta in modo conforme alla norma e nel migliore dei modi.
Anche perché bisogna “costruire” tutto un sistema, affidare gli incarichi fra i soggetti adibiti al trattamento dei dati (ufficio acquisti, ufficio vendite, ufficio del personale, videosorveglianza, ecc.). Verificare quali sono i possibili rischi fisici (incendio, cortocircuito, furto, danni atmosferici, ecc.) e quelli informatici veri e propri e trovare le soluzioni idonee e conformi alle disposizioni normative. Verificare, infine, con audit interni o esterni se il sistema funziona adeguatamente e secondo le regole o continuare con corsi di formazione rivolti agli addetti per sanare i difetti e garantire il funzionamento del sistema. Periodicamente, almeno annualmente, va ripetuta la ricerca di possibili rischi e soluzioni per porvi rimedio.
A sottolineare l’importanza di avere un sistema autonomo di gestione della cyber security e della privacy, interno o in outsourcing (esterno) sono anche gli standard di settore (ISO 27001:2013 e NIST CSF e Regolamento UE 2016/679 sulla privacy). Ostacolo per dare l’incarico all’interno al responsabile della sicurezza ed aggiornamento del sistema IT potrebbe essere l’insufficiente conoscenza da parte del soggetto o dei soggetti di quelle importanti norme che regolano il tutto e che si riferiscono a temi tanto impegnativi che potrebbero comportare sanzioni pecuniarie e financo penali per il Titolare dell’azienda.
Per rendere realmente efficace una simile strategia, infatti, è basilare ed indispensabile rivolgersi a competenze specifiche e nel continuo aggiornamento delle stesse, che devono individuare le possibili minacce in continua evoluzione e trovare le soluzioni idonee per controbatterle.
Le priorità dei soggetti addetti alla manutenzione ed aggiornamento del sistema IT che supporta il business, inoltre, possono non adeguarsi alle necessità di chi deve garantire la massima protezione ai dati, ai sistemi e ai dipendenti, generando una disputa ed un mancato allineamento alle norme che può nuocere alla stessa azienda.
Un piano strategico di sicurezza informatica e della privacy, idoneo nel lungo periodo, dovrebbe prevedere l’opportunità di rivolgersi a uno specialista da assumere all’interno o in outsourcing o un’azienda specializzata in materia, in grado di supportare la ditta nella gestione del rischio e nel trovare le soluzioni in ogni direzione. La sicurezza informatica comprende funzioni e necessità che non riguardano solo gli aspetti hardware e software di un sistema, ma anche i pericoli legati ai dati che sono gestiti e conservati nei sistemi tecnologici.
La nostra azienda (odisseoprivacy.it) ha nel suo organico specialisti nella materia che provvedono a predisporre tutto quanto necessario per essere conforme alle norme ed in particolar modo al Regolamento europeo sulla privacy 2016/679 (GDPR) per la sicurezza fisica e la sicurezza informatica per PMI e grandi imprese private e pubbliche:
L’impatto di una minaccia informatica può essere importantissimo per un’azienda dal punto di vista economico (oltre che penale). È quindi necessario che la strategia di contrasto a questi potenziali rischi debba essere riconducibile a una decisione ai massimi livelli aziendali. La mancata cognizione comporta che la decisione nelle piccole aziende vengano affidate ai manutentori ed aggiornamento dei sistemi IT.
A cura di Odisseoprivacy.it