[ad_1]

Con l’avvenuta applicabilità del nuovo regolamento europeo sulla tutela dei dati personali (c.d. G.D.P.R.) il 25.05 di quest’anno, l’attenzione dei media e degli operatori verso la tutela dei dati aziendali, e quindi in ultima analisi dei sistemi IT, è certamente cresciuta.

La statistica relativa ai primi 6 mesi del 2018 fa emergere la certezza che il rischio informatico rappresenta la minaccia più concreta e sottovalutata degli ultimi decenni. Quali azioni deve mettere in campo un’azienda o uno studio professionale per ottenere una soluzione di gestione del rischio efficace e nel contempo mirare alla compliance al nuovo regolamento sulla protezione dei dati?

Come evidenziato dal recente articolo del sole24ore, il galoppare a briglie sciolte della società digitale porta con sé numerosi elementi di criticità volendo volgere lo sguardo all’obbiettivo comune del diritto alla protezione dei dati personali:

  • Difficoltà di “aggiornamento culturale”;
  • Scarsa percezione del rischio intrinseco;
  • Velocità di crescita della industria 4.0 e dell’operation technology.

Se innovare significa “fare le cose vecchie in modo nuovo”, governare i nuovi rischi significa ripensare al concetto stesso di sicurezza in modo più ampio, connettendo tra loro i vari processi e creando una mappatura attraverso la quale improntare il trattamento nei modi più opportuni.

Passo 1 – La conoscenza del “nemico”

E’ difficile sconfiggere l’avversario senza conoscerlo. Questo vale in ogni ambito, compreso il risk management; identificare i rischi principali operanti nel soggettivo contesto aziendale può non essere immediato ma rappresenta la base di partenza per ogni valutazione in quanto permette di “disegnare” concettualmente il perimetro e le caratteristiche del “terreno di gioco”. Nel cyber risk è necessario dotarsi di personale IT qualificato (interno o esterno) per poter mappare i sistemi in modo chiaro e professionale.

Passo 2 – La valutazione delle priorità

Se la mia azienda produce bulloni la mia priorità riguardo alla sicurezza dei dati sarà certo differente da quella di un poliambulatorio medico MA non per questo meno importante. Semplicemente valuterò come rischio prioritario il blocco dei sistemi che possa fermare produzione-logistica e amministrazione rispetto ad eventuali richieste di risarcimento di terzi per la diffusione illecita di dati sensibili. E’ un errore infatti pensare che l’azienda produttiva non tratti dati personali, è sufficiente la busta paga di un dipendente per essere i titolari del trattamento di quel dato personale.

Passo 3 – Il trattamento dei rischi

A questo punto lo schema delle priorità creato al punto precedente diventa la guida per iniziare il trattamento dei rischi evidenziati come i più minacciosi. Lo step della protezione/prevenzione consiste nelle misure poste a mitigazione rispettivamente della magnitudo e della frequenza, nel rischio informatico può trattarsi di:

  • Software antivirus
  • Firewall
  • Procedure chiare e condivise
  • Formazione specifica del personale

Tutto questo è sufficiente? Decisamente NO. L’evento accidentale è dietro l’angolo e non possiamo correre il rischio di perdere continuità di business. E’ necessario ora cercare ove possibile di trasferire i rischi a un soggetto terzo, un assicuratore.

Il mercato delle polizze cyber sta crescendo a buona andatura, sospinto dai sempre più numerosi attacchi informatici subiti dalle aziende con conseguenti danni. L’importanza di comunicare preventivamente all’assicuratore (ai sensi dell’art. 1893 c.c.) la situazione del rischio tramite gli appositi questionari presuppone il consiglio di non saltare il passo 1; solo un’attenta analisi dei sistemi svolta da personale qualificato può mettere l’azienda nelle condizioni di fornire informazioni dettagliate e veritiere sullo stato della rete, dei sistemi e delle procedure.

Quest’attenzione non viene fornita da tutti gli operatori del mercato ma risulta vincente per due principali motivi:

  • Il mercato “acerbo” pone nei testi di polizza diverse esclusioni legate a mancate procedure, aggiornamenti, backup ecc.. Ultimata l’analisi può rivelarsi inutile la stipula del contratto, risparmiando cosi l’importo di un eventuale premio assicurativo;
  • Con una mappatura chiara siamo in grado di metter mano alle criticità più evidenti e di aver un controllo ulteriore sulla sicurezza dei sistemi.

La polizza potrà ora trasferire le spese a seguito di incidente informatico per:

  • Ripristino dati compromessi, sottratti, distrutti
  • Interruzione dell’attività
  • Cyber estorsione
  • Responsabilità civile verso terzi
  • Trasferimento fraudolento di fondi

Oggi i testi contrattuali sono molto variabili da una Compagnia ad un’altra, è quindi necessario (direi quasi obbligatorio) dotarsi di un interlocutore esperto e non alle prime armi, data la delicatezza della tematica.

Passo 4 – la ritenzione

Franchigie, scoperti di polizza, eventuali esclusioni o rischi di diversa natura saranno tenuti in proprio dall’azienda e la consapevolezza della portata di tutto ciò rappresenta un obbiettivo importante per poter stabilire ed adottare la politica di rischio aziendale presente e futura.

Concludendo possiamo affermare come il mondo interconnesso ha radicalmente cambiato il modo in cui dobbiamo proteggere la nostra azienda, guardando alle varie problematiche come un puzzle da completare ove ogni tassello ha dei punti di contatto con il successivo. Nuove normative, come ad esempio il GDPR, o il recente codice dell’ambiente stanno ponendo sull’imprenditore responsabilità sempre più grandi la cui gestione mal si concilia con mercati sempre più veloci ed esigenti.

[ad_2]

Articolo pubblicato su Non Solo Fisco al seguente link