Le Dodici Azioni per rendere sicura la propria impresa
In risposta alla pandemia di Covid-19, l’Enisa ha analizzato la capacità delle pmi all’interno dell’Unione Europea di far fronte alle sfide della cybersecurity poste dalla pandemia e ha determinato le best practies per affrontare tali sfide. La suddetta relazione, secondo l’Agenzia, vuole fornire consulenza in materia di sicurezza informatica per le piccole e medie imprese , ma anche proposte di azioni che gli Stati membri dovrebbero prendere in considerazione per aiutare le stesse pmi a migliorare la loro posizione in materia di cybersecurity.
Il report è accompagnato da una breve guida, che fornisce alle pmi dodici azioni pratiche di alto livello su come proteggere meglio i propri sistemi e le proprie attività. Tale guida, denominata “Guida alla cybersicurezza per le pmi: 12 azioni per rendere sicura la propria impresa” può certamente essere un valido strumento anche per studi professionali di commercialisti e avvocati che per loro natura, direttamente o attraverso i propri collaboratori, trattano una notevole mole di dati personali, gestiti e archiviati mediante processi e supporti informatici, ancor di più nel periodo pandemico. Infatti gli studi professionali si sono trovati, sebbene non tutti fossero pronti, a dover gestire adempimenti, clienti, dipendenti, appuntamenti, completamente a distanza, sfruttando mai come ora le potenzialità della rete internet e del cloud, forse non considerando adeguatamente anche tutti i relativi rischi e vulnerabilità.
Di seguito un estratto delle 12 azioni pratiche dell’Enisa, applicabili anche agli studi professionali:
1 – Sviluppare una solida cultura della cybersicurezza, quindi attribuire la responsabilità della gestione, coinvolgere il personale, eseguire audit per la cybersicurezza, tenere a mente la protezione dei dati (Reg. UE 679/2016), pubblicare politiche in materia di cibersicurezza.
2 – Fornire una formazione appropriata, quindi formare periodicamente i dipendenti e sensibilizzarli alla cybersicurezza.
3 – Garantire un’efficace gestione dei terzi, quindi tutti i fornitori, in particolare quelli che hanno accesso a dati e/o sistemi sensibili, siano gestiti attivamente e soddisfino i livelli di sicurezza concordati.
4 – Sviluppare un piano di risposta agli incidenti, che contenga orientamenti, ruoli e responsabilità chiari e documentati per garantire che tutti gli incidenti a livello della sicurezza siano affrontati in modo tempestivo, professionale e appropriato.
5 – Rendere sicuro l’accesso ai sistemi, scegliendo password lunghe, complesse e non riutilizzarle altrove.
6 – Rendere sicuri i dispositivi, quindi mantenere il software corretto e aggiornato, anti-virus su tutti i tipi di dispositivi, utilizzare strumenti di protezione per i messaggi di posta elettronica e il web, crittografia, attuare la gestione dei dispositivi mobili.
7– Rendere sicura la propria rete, utilizzando firewall, analizzando le soluzioni di accesso remoto.
8 – Migliorare la sicurezza fisica, quindi attuare controlli fisici adeguati nei luoghi in cui sono presenti informazioni importanti.
9 – Rendere sicuri i backup, per consentire il recupero di informazioni essenziali.
10 – Lavorare con il cloud, considerandone attentamente tutti i rischi.
11 – Rendere sicuri i propri siti online, quindi configurarli e tenerli in modo sicuro e da proteggere i dati che vengono trattati su di essi.n il cloud, considerandone attentamente tutti i rischi.
12 – Cercare e condividere le informazioni, come strumento efficace nella lotta contro la criminalità informatica.
Svolgendo i professionisti tali azioni pratiche, non necessariamente troppo dispendiose in termini di investimenti, garantirebbero maggiore sicurezza nel trattamento dei dati personali presso i propri studi, anche in considerazione del principio di accountability alla base del Regolamento Europeo sulla protezione dei dati personali.
Il report e la guida completa sono consultabili e scaricabili sul sito dell’Enisa. La guida è stata tradotta anche in lingua italiana.
Articolo ripreso da : Federprivacy.org