SICUREZZA DATI E STRUMENTI DI GESTIONE E CONTROLLO
Le nuove tecnologie rappresentano un settore protagonista di un’esponenziale crescita della circolazione di dati digitali e ciò comporta la necessità di creare soluzioni in grado di gestire tale fenomeno.
L’attenzione per la sicurezza dei sistemi e dei dati aziendali ricopre oggi un investimento prioritario per il perseguimento dei fini societari, soprattutto alla luce dell’entrata in vigore di una serie di normative di riferimento che hanno un impatto particolarmente significativo sotto il profilo organizzativo.
Le conseguenze di una mala gestione della tematica “sicurezza informatica” si ripercuotono sulla società non soltanto da un punto di vista finanziario, ma anche legale, sanzionatorio e reputazionale.
Da un punto di vista di compliance aziendale, i punti di riferimento normativi sono la legge 48/08 che ha introdotto nel novero dei reati presupposto del D.Lgs. 231/2001 i reati informatici, Il Regolamento Europeo 679/16 (GDPR), la Direttiva (UE) 2016/1148, detta “Direttiva NIS” (Network and Information Security) e il Decreto legge 105/2019 in materia di cyber security.
In questa breve informativa riportiamo sinteticamente quali sono i principali processi sensibili e le aree di rischio delle organizzazioni(specialmente per quelle che operano nel settore ICT) connessi alla commissione di reati informatici:
- Gestione degli accessi (utenti esterni e interni, profili utente, autenticazione e autorizzazione, amministratore di sistema)
- Gestione dei profili di autorizzazione ai sistemi informatici (policies autorizzative per dipendenti)
- Gestione delle attività online (navigazione in rete con riferimento alle transazioni on-line e utilizzo di social network)
- Gestione della sicurezza informatica (procedure e policies di sicurezza, amministrazione della sicurezza applicativa, dei dati, della rete perimetrale e dei sistemi operativi, sia con terze parti che interna)
- Gestione degli accessi fisici ai locali (sicurezza fisica e ambientale dell’infrastruttura IT)
- Gestione del processo di creazione, trattamento, archiviazione, e distruzione delle informazioni sensibili (ciclo di vita del dato)
- Manutenzione degli applicativi (tracciabilità degli applicativi e test di conformità)
- Gestione degli strumenti informatici in dotazione agli utenti (gestione delle apparecchiature informatiche, della rete e dei sistemi presenti in aziendale le relative politiche di utilizzo)
- Gestione della progettazione e della installazione dei software interni ed esterni
- Gestione e tenuta dell’inventario, dell’infrastruttura informatica e degli strumenti informatici in dotazione agli utenti (censimento dei prodotti HW, SW, banche dati, licenze d’uso e relativa validità)
Aziende che operano nel campo ICT sono solitamente già ben consapevoli dell’importanza della sicurezza informatica ed hanno dei protocolli interni più o meno adeguati alla gestione della sicurezza.
Tale gestione però spesso non risulta sistematica, organizzata e “metodica”, col rischio che vengano tralasciate o affrontate superficialmente tutte queste criticità. Alla luce di ciò, sicuramente un sistema di gestione (ad es. lo standard UNI EN ISO/IEC 27001) o un modello organizzativo interno (MOG ex D.Lgs 231) aiutano a monitorare gli aspetti relativi alla sicurezza informatica e alla valutazione e relativa gestione del rischio associati