Imprese e professionisti nell’era digitale: tra rischio informatico e legalità

Imprese e professionisti nell’era digitale: tra rischio informatico e legalità

Il rischio informatico è oggi in assoluto quello più sottovalutato, soprattutto dalle piccole imprese e dai professionisti. Questo perché, se nelle grandi realtà ci sono spesso budget importanti, nelle piccole attività (che sono il cuore pulsante della nostra nazione) il “budget sicurezza” viene perlopiù speso per l’installazione di dispositivi posti a tutela fisica dei luoghi (cancelli, porte blindate, antifurti…).

Oggi la dimensione informatica e tecnologica ha assunto autonoma identità. Tanti sono i dati che circolano in quella che possiamo definire la “nazione più grande del mondo”: internet.
Un vero
microsistema nel sistema, con delle regole e delle logiche tutte sue, che spesso chi ha vissuto nell’era pre-internet difficilmente riesce a comprendere.

Un imprenditore, seppur piccolo, o un libero professionista non può più disinteressarsi del rischio informatico. Deve conoscerlo, sia per ragioni di “sopravvivenza economica” che per ragioni di legalità.
La legge non ammette una tale mancanza. La legge pretende che chi vuole intraprendere un’attività (che sia di tipo commerciale o di tipo professionale) deve porsi il problema della nuova società digitale e sottostare alle sue regole.

Dal punto di vista della normativa di settore, sia di hard che di soft law, i problemi che bisogna affrontare sono molteplici. Il principale è quello della sicurezza dei sistemi informatici e della protezione dei dati.

Attività a norma: Iniziare bene è metà dell'opera

Tutto inizia da una valutazione che l’imprenditore o il professionista deve svolgere per valutare quali sono i rischi, sia quelli tradizionali che quelli legati al mondo digitale. Un documento che parte dalla valutazione ed arrivi alle contromisure messe in atto.

Si parte dalla valutazione e non dalle contromisure (per contromisure intendo tutte quelle soluzione che si possono mettere in atto per abbassare il rischio. Per fare un esempio del mondo tradizionale, la porta blindata è una contromisura contro il rischio di accesso non autorizzato e sottrazione di beni).
Inutile ribadire
quindi che partire con l’idea di installare determinati apparati (contromisure) senza prima aver capito se questi possono o meno servire, potrebbe risultare, non solo inutilmente dispendioso (prima), ma anche inutile (dopo).

La procedura di “messa a norma” è quindi un percorso abbastanza complesso ed incrocia nella maggior parte dei casi quello sulla protezione dei dati (comunemente conosciuto come “privacy” – qui un intero approfondimento su “Come si svolge un giusto adeguamento privacy-GDPR”].

L’intera procedura termina con la redazione di un documento a cui è possibile abbinare un’assicurazione dedicata [qui un intero approfondimento su “POLIZZA CYBER RISK: COSA SAPERE PRIMA DI ASSICURARSI”].

cyber risk - armando de lucia - legale informatico - avvocato

Quali sono i rischi

Ci possono essere molti tipi di rischio all’interno dell’azienda, che vanno attentamente valutati e non sottovalutati. Tra quelli attinenti al rischio informatico, definiamo 3 categorie di eventi:

  1. riconducibili al comportamento umano

  2. riconducibili agli strumenti informatici

  3. riconducibili al contesto fisico-ambientale

1.Eventi riconducili al comportamento umano

1.1 Sostituzione di persona
Un soggetto esterno o interno alla società potrebbe accedere ai dati aziendali con lecredenziali del legittimo proprietario, sostituendosi interamente al titolare delle stesse. Il seguente caso può avvenire ad esempio per
•distrazione del dipendente che lascia incustodita la propria postazione di lavoro
•scambio di credenziali tra dipendenti
•negligenza nel lasciare in posti non sicuri le credenziali
•problematiche nel sistema di gestione delle autenticazioni

1.2 Distrazione / negligenza
Possono essere di tipo “fisico” o “logico”. La distrazione/negligenza di tipo “fisico” comporta danni fisici agli strumenti di lavoro e potrebbe causare anche danni ai dati. La distrazione/negligenza di tipo “logico” invece determina solo un danneggiamento ai dati. Ad esempio un lavoratore distratto potrebbe non salvare correttamente un file.

Altri esempi sono cancellare file ed eseguire comandi non voluti che provocano la perdita di dati.

1.3 Atto doloso
È il rischio più grave e pericoloso perché c’è una diretta volontà nel creare problematiche, manomettere strumentazioni o distruggere dati.

2. Eventi riconducibili agli strumenti informatici

2.1 Virus informatico
Esistono dei virus appositamente creati per cancellare o danneggiare i dati o per causare l’interruzione del lavoro aziendale. Negli ultimi anni sono stati creati dei virus particolari che vanno a criptare i dati aziendali, per cui i file rimangono integri e presenti sul PC della vittima ma non sono utilizzabili. La soluzione proposta dai criminali informatici attori dell’attacco è invitare la vittima al pagamento di un riscatto per riavere i dati come prima. L’azione dei virus informatici potrebbe avvenire tramite download da siti non sicuri, download e apertura di allegati provenienti da mail o macro dannose presenti in documenti.

2.2 Malfunzionamento delle strumentazioni aziendali

Le strumentazioni informatiche possono essere soggette a rotture o malfunzionamenti dati dalla macchina stessa. Una macchina potrebbe essere obsoleta e rompersi inavvertitamente. A seconda del guasto si può avere un’interruzione delle attività lavorative o potrebbe anche portare alla perdita di dati.

2.3 Malfunzionamento software
Ci possono essere difetti nel software utilizzato dall’azienda che al momento dell’acquisto non erano facilmente identificabili o non erano presenti. Ogni programma dipende da altro software e hardware presente nella macchina. Un esempio di problematica è la corruzione dei file di sistema. I problemi software possono portare ad una indisponibilità temporanea dei servizi e dei dati aziendali necessari per l’attività lavorativa.

2.4 Accesso esterno non autorizzato
Intrusioni e accessi non autorizzati mediante attacco informatico diretto via internet, senza furto di credenziali. Questi avvengono sfruttando vulnerabilità del sistema informatico.

3. Eventi riconducibili al contesto fisico-ambientale

3.1 Ingresso non autorizzato a locali ad accesso riservato
Esiste la concreta possibilità che soggetti non autorizzati entrino fisicamente all’interno dei locali aziendali in cui sono presenti le infrastrutture e strumentazioni informatiche. Si possono verificare quindi gravi perdite di dati causati dalla modifica o dalla distruzione delle infrastrutture e strumentazioni.

3.2 Sottrazione/furto di strumenti contenenti dati personali
È possibile che venga sottratto un PC o uno storage contente i dati aziendali. Nel caso questi dati non fossero presenti su altri strumenti di archiviazione (anche su internet) c’è la perdita di tutti i dati.

3.3 Guasto elettrico/internet
I sistemi elettrici e le connessioni internet potrebbero venire a meno. Questo non a causa dell’azienda ma del provider fornitore del servizio.I provider potrebbero essere andati incontro a dei guasti sulle linee. Questi guasti potrebbero provocare dei disservizi lavorativi anche gravi.

3.4 Eventi distruttivi naturali o artificiali
Si considerano gli eventi di diversa natura che provocano distruzione parziale o totale di infrastrutture e strumentazioni informatiche. Questo potrebbe portare ad una indisponibilità prolungata di dati e servizi. Nei casi più gravi anche la perdita parziale o totale dei dati. A titolo esemplificativo: incendio, allagamento, fulmini, terremoti, vento/tornado, vulcano, neve, emergenza sanitaria, terrorismo…

Chi deve fare la valutazione

La valutazione sul rischio informatico e sulla protezione dei dati di cui sopra può essere svolta dal Titolare stesso, da solo, ove ne ha abbia le competenze, o insieme ad un suo consulente, meglio se indipendente e di fiducia.
Entrambe le soluzioni prospettate hanno dei vantaggi e degli svantaggi. Se si fa tutto da soli si dovrà essere sicuri di averne le competenze (innanzitutto legali e informatiche) e ci si assumerà il rischio di quello che si è scritto nel documento. Di contro si avrà una valutazione a costo zero.
Se invece c
i si affida ad un consulente esterno, si scaricherà su di lui la responsabilità della valutazione ma dovrà ovviamente essere retribuito. Nella scelta del consulente è opportuno segnalare che sarebbe preferibile un professionista indipendente, con delle qualifiche riconosciute e con delle alte conoscenze specialistiche in ambito legale ed informatiche. Oggi l’aspetto legale è diventato centrale poiché è lì che si giocano la maggior parte delle questioni inerenti alla protezione dei dati (di cui il rischio informatico è componente essenziale), soprattutto in termini di rapporti con le Autorità e con gli interessati.
Inutile ribadire quanto possa essere azzardato affidare la valutazione a chi di professione vende
le contromisure (i prodotti). Indovina quale sarà la soluzione migliore per le tue esigenze!

Conclusioni

Il digitale fa parte oramai della nostra vita. Siamo tutti connessi e le nostre attività dipendono inevitabilmente dalle macchine. Porsi il problema del rischio informatico e della protezione dei dati oggi permetterà alle nostre attività di restare floride sul mercato (vedesi, di contro, la quantità assurda di imprese e professionisti che sono stati costretti a chiudere o che sono in crisi profonda perché non più concorrenziali in un mercato che è cambiato in pochissimi anni).

La società digitale è oramai tra noi già da qualche anno, e chiudersi o addirittura negare l’evidenza è la scelta più sbagliata che si possa fare per il futuro.