La sicurezza delle informazioni
L’informazione è un asset aziendale e – al pari degli altri asset strategici – ha un valore spesso difficilmente quantificabile. Un danno al patrimonio informativo di un’azienda può causare ingenti perdite economiche, che molte volte non sono immediatamente identificate poiché gli effetti si realizzano in modo indiretto e diluito nel tempo.
L’obiettivo è quello di proteggere le informazioni in qualsiasi modo esse siano conservate o trasmesse, contrastando efficacemente ogni minaccia accidentale o intenzionale, interna o esterna alla propria organizzazione.
Se si potesse osservare il percorso di un documento all’interno del sistema informatico aziendale, scopriremmo che esso non è mai costituito da una linea retta, ma piuttosto da un groviglio complesso di passaggi legati a: verifiche, approvazioni, momenti di condivisione, erase, ricicli ecc.
Durante questo iter tortuoso gli utenti spesso non sono supportati da strumenti tecnici o chiare linee guida e sono chiamati in ogni momento a scegliere tra diverse priorità tra le quali, non sempre sono ricomprese quelle della sicurezza.
Il data leakage è uno degli effetti più diffusi che si realizza proprio tramite strumenti e comportamenti apparentemente leciti e talvolta conformi alle policy aziendali quali uso di email, social o web.
Le statistiche ci mostrano come la maggior parte degli incidenti avvenga per colpa o negligenza di coloro cui giungono queste informazioni piuttosto che per dolo, sebbene anche essi debbano essere adeguatamente fronteggiati.
La sicurezza delle informazioni non è un problema solo tecnico, ma piuttosto di maturità aziendale.
Anche in questo caso è necessario un percorso composto da step successivi come la classificazione dei dati, l’identificazione dei requisiti di sicurezza necessari, la formalizzazione dei livelli di sicurezza e dei gap rilevati, l’individuazione delle soluzioni e, infine, la definizione delle possibili strategie di gestione del rischio attraverso la sua mitigazione, trasferimento o accettazione.
Una corretta gestione delle informazioni si riflette positivamente anche sugli adempimenti normativi previsti dalla legge sulla responsabilità penale delle imprese (D.Lgs. 231/2001) e sulla privacy (GDPR- Regolamento (UE) 2016/679) prevenendo le gravi sanzioni che la loro violazione comporta.
