Secretary.it la community dedicata alle assistenti di direzione

Professione Assistenti di direzione

Cybersecurity e sicurezza dei dati, cosa evitare e sapere

Cybersecurity e Assistenti di Direzione: quanto siamo consapevoli dell’importanza della sicurezza dei dati?

Gli attacchi informatici negli ultimi anni sono cresciuti esponenzialmente! Oggi la formazione sulla cybersecurity è fondamentale, complici cambiamenti sociali derivanti dalla pandemia, la maggior digitalizzazione delle imprese e anche l’aumento dello smart working.

Questo può avere conseguenze non solo sul rispetto obblighi normativi e dunque la compliance al GDPR, ma anche sulla la continuità operativa e cioè la capacità di un ente di continuare ad erogare prodotti o servizi anche a seguito di un incident. Parliamo, in parole semplici, della sopravvivenza stessa dell’impresa.

La sicurezza dei dati

La sicurezza dei dati è costituita da tre requisiti: la riservatezza, l’integrità e la disponibilità del dato stesso. Partendo da qui, è facile capire come la minaccia non sia soltanto a livello “cyber”, ma anche fisico e può derivare da un intervento umano, un incidente, un evento naturale, una fatalità. Si pensi a classici esempi come un incendio o un allagamento che distruggano la sala server, il furto di un fascicolo cartaceo oppure il caso in cui una persona, anche involontariamente, stacchi un cavo.

Tutte queste circostanze possono minare la riservatezza delle informazioni, l’integrità o la disponibilità delle stesse.

Su tutti questi aspetti, così come su quelli più propriamente informatici, è importante effettuare un’attenta valutazione dei rischi, affinché le misure di sicurezza, tecniche ed organizzative, siano “cucite addosso” a ciascuna struttura.

Gli attacchi informatici

Se consideriamo il cybercrime come una vera e propria attività di business, ci è facile capire perché gli attacchi siano particolarmente rivolti laddove sia più probabile trovare una quantità importante di dati oppure dati qualitativamente interessanti: dati sanitari per esempio, informazioni riservate, servizi critici quali l’approvvigionamento alimentare, le forniture energetiche, i trasporti e attività di pubblico interesse.

Questo ci mostra facilmente come i soggetti anche di piccole dimensioni, che per questo si ritengono a volte non interessati dal problema, possano essere vittime appetibili per la criminalità informatica.

Il fattore umano come rischio principale

Gli attacchi, assai spesso, sono veicolati con il contributo – volontario o meno – di una persona, ad esempio attraverso campagne di phishing, quel tipo di attacco volto ad ottenere con l’inganno informazioni riservate, credenziali d’accesso o dati.

Come viene perpetrato questo inganno? Soprattutto attraverso tecniche di ingegneria sociale, una materia che unisce competenze tecniche con psicologia e sociologia e mira a sfruttare le leve psicologiche dell’animo umano per manipolare la potenziale vittima.

Alcune di queste leve, ad esempio, sono

  • l’autorevolezza: una mail che provenga da un soggetto percepito come autorevole, credibile affidabile (es. Agenzia delle Entrate, INPS, un’azienda importante e conosciuta, un proprio superiore), più probabilmente porterà la vittima a fare quanto richiesto
  • l’ignoranza: l’uso di termini difficili, tecnicismi, richiami a norme di legge porterà la persona a sentirsi in difetto e a compiere quanto richiesto per non apparire impreparata
  • il panico: una situazione urgente, una fonte di potenziale rischio, la richiesta di compiere immediatamente un’azione non permetterà al soggetto di riflettere e cogliere con razionalità i campanelli d’allarme,
  • l’avidità o, viceversa, i buoni sentimenti: promozioni, saldi, offerte imperdibili o, al contrario, richieste di aiuto strappalacrime muovono l’animo umano con due leve evidenti che sono il sentirsi fortunati o buoni.

L’importanza di formarsi e informarsi

La sicurezza e la protezione dei dati costituiscono infatti una grande opportunità: per creare un rapporto di fiducia con i clienti e i fornitori, per proteggere la continuità operativa e per tutelare le persone che in azienda trattano – e dunque “usano” – i dati.

Il tema della cybersecurity – e più in generale della sicurezza – non può dunque essere sottovalutato e richiede, oltre all’implementazione di misure tecniche ed organizzative, anche e soprattutto un progetto di formazione e informazione costante, volto a tenere sempre alte attenzione e consapevolezza.

Ne abbiamo parlato con grande interesse qualche settimana fa nel free webinar con l’avvocato Maria Elena Iafolla che ci ha davvero illuminati!

Occhio alle truffe, al phishing, spoofing, alla mail del CEO e a richieste anche telefoniche che vi appaiono “strane”. Mai dare i dati a soggetti terzi per nessun motivo.

Nel dubbio sempre meglio verificare a voce, con una telefonata o un messaggio.

Evitare la fretta del multitasking !