0522 436769
GDPR: cosa è e cosa occorre fare in azienda?

GDPR: cosa è e cosa occorre fare in azienda?

Il GDPR (General Data Protection Regulation) voluto dalla UE impone alle aziende piani di adeguamento sia a livello organizzativo che a livello tecnologico al fine di tutelare la privacy degli utenti e la raccolta dati.

Il GDPR (o General Data Protection Regulation) è un regolamento voluto dalla UE in materia di protezione dei dati personali raccolti da enti pubblici e imprese che trattano dati classificati (sensibili, biometrici, sanitari, giudiziari, etc) e/o che raccolgono grandi quantità di dati personali. Il GDPR entrerà in vigore in tutta UE il 25 maggio 2018 e la sua non applicazione prevede sanzioni fino a 20 milioni di euro o al 4% del fatturato annuo.

GDPR:  cosa occorre cambiare a livello aziendale?

La nuova normativa europea introduce cambiamenti nel trattamento dei dai personali su questi principali aspetti:

  • Diritto di Accesso. Per quali finalità stai raccogliendo i dati personali? Quali misure di sicurezza tecnica hai adottato per tutelare questi dati? Il GDPR impone la massima trasparenza in merito.
  • Consenso esplicito. L’utente deve dare esplicito consenso per ogni distinta finalità di cui al punto 1. 
  • Diritto all’Oblio. L’utente ha il diritto a chiedere la cancellazione dei propri dati personali, e qualora questo avvenga l’azienda dovrà cancellare tutto l’archivio dati relativo a quell’utente
  • Portabilità dei dati. I dati personali di un utente e archiviati dalla tua azienda potranno essere scaricati e trasferiti dall’utente stesso ad un altro titolare del trattamento.
  • Immediata comunicazione della violazione dei dati. In caso di attacco informatico dovrai notificare all’autorità di controllo le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque “senza ingiustificato ritardo”, ma soltanto se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati.
  • Introduzione della figura del Responsabile della protezione dei Dati. Si tratta di una figura di estrema rilevanza che è investita della gestione relazionale con vari soggetti; ad oggi però non è ancora stato stilato un preciso profilo dei requisiti professionali di questo nuovo soggetto aziendale
    Per maggiori dettagli su quanto previsto dal GDPR ti consigliamo di leggere l’informativa pubblicata sul sito del Garante della Privacy 

GDPR: come adempiere alla normativa?

Il nostro consiglio è quello di effettuare un check-up della infrastruttura informatica aziendale per verificare eventuali vulnerabiltà. L’adeguamento alla normativa è un processo che non va preso alla leggera, sia per l’eventuale sanzione in caso di accertamento, sia per le ripercussioni in termini di costi di ripristino e ricavi perduti in caso di un attacco cyber.

Esistono diverse aziende specializzate nel settore data protection in grado di fornire un supporto per l’adempimento alla GDPR – adempimento al quale anche noi in quanto agenzia assicurativa dobbiamo assolvere. Noi abbiamo scelto PROTECTION-CY di INNOVASS. Vuoi saperne di più?

Desideri un preventivo o maggiori informazioni?

Se trovi questa notizia utile, la puoi condividere su:
Cyber-risk: cosa è e come difendersi

Cyber-risk: cosa è e come difendersi

Rischio informatico o cyber-risk o rischio cibernetico:assicurare è possibile?

Rischio informatico, cyber-risk o rischio cibernetico. Se ne parla da tempo e tutti abbiamo almeno una volta avuto a che fare con un “intruso” digitale nel computer. Che si tratti di “virus”, “malware” o “trojan” non fa differenza: ne esistono di moltissimi tipi e con molteplici effetti negativi sui dispositivi personali,  ancora più amplificati e devastanti quando ad essere colpita è una rete aziendale.

Cyber-risk: un piccolo glossario

Una volta esistevano solamente i “virus”, ora la famiglia, quella dei malware, si è allargata includendo anche trojan horses, keystroke loggers, spyware, adware, worms, logic bombs, backdoors, rootkit e altri ancora. Il fine? Limitare se non impedire totalmente l’utilizzo del dispositivo informatico, bloccarne l’aggiornamento, carpire dati informatici.

Il ramsonware, fa parte della della famiglia malware, limita anch’esso l’accesso ai dispositivi che potrà essere effettuato solo successivamente al pagamento di un riscatto (ramson). Nel maggio 2017 è scattato l’allarme mondiale per WannaCry,  un potente malware in grado di crittografare rapidamente i documenti dei computer chiedendo un riscatto. Non si parla di fantascienza ma di minacce reali tant’è che l’Università degli Studi di Parma a maggio 2017 diffuse una informativa dettagliata a dipendenti e studenti. 

Per chi stesse pensando “Si tratta di minacce limitate solo ai sistemi Windows, ho un Apple quindi non mi preoccupo”: attenzione! In una recente news della BBC si conferma che un ramsonware e uno spyware “solo per Mac” sono attualmente in circolazione, occorre quindi prendere le dovute precauzioni anche sui computer Apple. Come proteggersi quindi?

Cyber-risk: come difendere la tua azienda dagli attacchi?

La risposta più ovvia è:  dotare il proprio computer di un software in grado di proteggere e rimuovere virus malware e altre minacce informatiche. Una breve ricerca sul web può fornire ottimi suggerimenti sia per dispositivi Windows che per computer Apple. 

Una rete aziendale richiede invece sistemi molto più complessi di un semplice software installato sui computer facenti parte della rete. Citiamo testualmente la introduzione allo studio effettuato dalla Banca d’Italia sul rischio informatico nelle aziende private e pubblicato a febbraio 2017:

…per quanto solo l’1,5 per cento delle imprese non adotti alcuna misura difensiva, il 30,3 per cento – corrispondente al 35,6 per cento degli addetti – dichiara di aver subito danni a causa di un attacco informatico tra Settembre 2015 e Settembre 2016. Correggendo i risultati per tenere conto delle intrusioni non individuate o non dichiarate, l’incidenza degli attacchi sale al 45,2 per cento per le imprese e al 56 per cento per gli addetti; sono più colpite le imprese di maggiori dimensioni, quelle con elevato contenuto tecnologico e quelle esposte sui mercati internazionali. Il livello di rischio nel complesso dell’economia è probabilmente ancora più alto; il settore finanziario, così come la sanità, l’istruzione e i servizi sociali sono esclusi dal campione, ma secondo altre fonti sono particolarmente attraenti per gli attaccanti.

La migliore tutela sarebbe quella di smettere di domandarsi “Ma perché dovrebbero colpire proprio la mia azienda?” ponendosi invece la domanda “Che impatto avrebbe un evento Cyber sulla mia attività?”

Un altro studio interessante è quello svolto dalla Università la Sapienza di Roma dal quale emerge che il danno medio finanziario subito da una PMI in caso di attacco informatico è di € 35.000/anno dovuti a:

  • recovery;

  • perdita di volume di affari;

  • tempi di inattività;

  • danno d’immagine

Cyber-risk: quali sono le tipologie di danno?

I danni derivanti da un attacco informatico, azienda o libero professionista non fa alcuna differenza, ricadono in tre tipologie differenti:

  • danni immateriali diretti, derivanti dall’impossibilità di esercitare la propria attività
  • danni immateriali indiretti, ossia la perdita di immagine e reputazione aziendale
  • eventuali richieste di risarcimento da parte dei clienti colpiti dall’interruzione dei servizi erogati, dalla diffusione di dati personali o pubblicazione di informazioni lesive all’immagine e reputazione su siti pubblici.

Tutte e tre le tipologie di rischio andrebbero gestite a priori tramite una accurata analisi, gestione e mitigazione dei rischi informatici aziendali e relativa strategia di implementazione.

Una indagine su scala mondiale ha messo in evidenza che solo il 9% degli imprenditori intervistati ritiene il rischio informativo un “rischio significativo”. 

Cyber-risk: è possibile stilare una assicurazione a copertura?

Non è purtroppo possibile assicurare la perdita dei dati aziendali in seguito ad un attacco cyber, perché occorrerebbe stimare a priori il valore di ogni record aziendale, valore che oscilla a seconda delle performances aziendali.

Sono invece assicurabili, quindi rimborsabili, i costi di ripristino del sistema informatico e di recupero dei dati. Anche le eventuali richieste di risarcimento da parte dei clienti possono essere ricondotte ad una casistica di Responsabilità Civile e quindi coperte da apposita polizza.

Pochi sono gli operatori assicurativi presenti sul mercato italiano in grado di effettuare una accurata analisi dei rischi cyber, offrendo adeguate coperture e tutele in caso di attacco informatico.

 

Se il rischio informatico ti preoccupa, noi possiamo aiutarti!

Se trovi questa notizia utile, la puoi condividere su: