Il tema della sicurezza dei dati, personali e non, è sempre più caldo, soprattutto nelle PMI: l’entrata in vigore del GDPR, infatti, ha palesato l’inconsapevolezza celata dalle piccole e medie imprese che sino ad ora hanno sempre sottovalutato la questione.
D’altro canto anche le indicazioni che spesso vengono lette su siti e riviste, ma anche quelle divulgate da specialisti del settore, sono spesso allarmanti. Sembra quasi che le misure tecniche ed organizzative da attuare debbano sempre essere estese alla massima potenzialità possibile a prescindere dal tipo di dato trattato e dalle possibilità economiche che le imprese hanno.
Questo però, non è vero. Il regolamento stesso consiglia di fare una valutazione dei rischi potenziali e delle possibilità economiche dell’impresa che intende attuare tali misure.
Indice degli argomenti
GDPR nelle PMI: misure tecniche e organizzative a basso costo
È chiaro che idealmente l’opzione migliore sarebbe quella di poter investire tempo e denaro in modo illimitato, ma sappiamo che questa è un’utopia.
Lo è soprattutto in un Paese nel quale l’evoluzione tecnologica è indiscutibilmente più lenta rispetto al resto d’Europa.
Non è raro trovarsi ad avere a che fare con imprenditori ed impiegati poco avvezzi persino ad usale usare una mail, che non conoscono le caratteristiche di un antivirus o che sottovalutano l’importanza della conservazione dei dati in loro possesso in nome di una sicurezza ed una privacy inesistenti da decenni.
Tutte queste considerazioni sono da ricondursi ad una mentalità non sempre aperta all’innovazione, ed alla paura che gli imprenditori hanno di dover spendere soldi che non ritengono necessari per l’evoluzione della propria impresa. Il tutto è condito dalla scarsa conoscenza che questi individui hanno in riferimento alle risorse tecnologiche oggi disponibili, a volte anche gratuitamente.
L’Italia, si sa, non è al passo con i tempi per quanto riguarda la tecnologia.
È quindi necessario comprendere che siamo di fronte ad una possibilità, quella di iniziare uno sviluppo tecnologico di base, persino nelle microimprese.
Partiamo per gradi. Come accennavamo inizialmente, non tutte le aziende hanno la necessità di attivare delle misure tecniche ed organizzative dispendiose. La maggior parte delle PMI italiane lavorano in settori a ristretto utilizzo di dati personali, spesso quasi solo quelli dei propri dipendenti. È chiaro, quindi, che queste aziende si troverebbero a poter attuare misure semplici ed a basso costo.
Vediamone alcune:
- Password: moltissime PMI sottovalutano l’importanza di questa misura di sicurezza disattivandola, spesso per comodità. Altre volte i dipendenti stessi di propria iniziativa ne disattivano la funzionalità. Eppure parliamo di un’opzione totalmente gratuita, di semplice utilizzo e poco limitante.
- Time-out: ricollegandosi alla misura precedente, sono pochissime le imprese che adottano questa caratteristica, anch’essa gratuita e presente tra le funzionalità di default di qualsiasi sistema operativo. Gli imprenditori spesso parlano di scomodità nel dover accedere con password ogni qual volta ci si allontana dalla propria postazione. Nella maggior parte dei casi questa argomentazione risulta essere falsa, poiché è difficile che ci si allontani spesso e per lunghi periodi dal proprio PC. Ma per quelle situazioni borderline esistono sistemi di sblocco rapidi e sicuri come Windows Hello, sempre gratuito su PC di ultima generazione.
- Sistema operativo: è semplice, veloce ed economico acquistare un PC Windows, ma non è di certo il sistema operativo più sicuro. Stante che, ogni S.O. ha le proprie peculiarità e le proprie falle, viviamo in un mondo nel quale abbiamo almeno tre macro categorie di S.O. ovvero: Windows, Mac OS, e Linux (in tutte le sue distribuzioni). Ognuna di queste opzioni ha vantaggi e svantaggi anche per quanto riguarda il tema della sicurezza: non sarebbe pertanto scorretto considerare, in fase di acquisto di sistemi informativi aziendali, quale dei tre sia il più opportuno per la propria impresa.
- Antivirus: tutte le aziende ne hanno uno, il problema è che viene mal utilizzato, disattivato o non aggiornato. Di questi software ne abbiamo a disposizione a migliaia, sia a pagamento che gratis. È importante per le imprese avere una licenza dedicata all’uso in azienda e non personale, ma anche in questo caso esistono diversi antivirus gratuiti o a basso costo che prevedono la licenza adeguata alle proprie esigenze. Una volta installato, però, questo utile e potente software andrebbe aggiornato e, soprattutto, non andrebbe mai disattivato.
- Wi-Fi: quasi tutte le imprese al giorno d’oggi hanno un modem Wi-Fi. Il problema sta nel concederne l’accesso indiscriminatamente a chiunque, magari con una password semplice se non addirittura assente. È buona prassi creare sempre due reti distinte e separate, una dedicata all’uso aziendale da parte dei dipendenti ed una dedicata ai visitatori. In entrambi i casi sarebbe opportuno limitare l’accesso solo ad alcuni siti web così come è consigliabile utilizzare password che abbiano una difficoltà minima nell’essere eventualmente scoperte e che vengano cambiate con cadenza regolare. Il tema del Wi-Fi e delle reti aziendali in generale è sempre sottovalutato più di altri, eppure la maggior parte degli attacchi informatici avvengono proprio attraverso le falle presenti nella rete internet aziendale.
- Accesso alle cartelle di rete: per quanto piccola sia un’azienda, è fondamentale che non tutti gli individui abbiano accesso a tutte le cartelle di rete presenti. Queste restrizioni sulle cartelle di rete sono semplici da impostare ed hanno un grande valore intrinseco rispetto al tema della sicurezza informatica nelle aziende.
L’importanza della sicurezza dei dati
Come visto sopra, la maggior parte delle opzioni elencate sono assolutamente gratuite o applicabili con un basso dispendio economico. Stiamo parlando di misure minime applicabili da qualsiasi impresa senza grossi sforzi.
Non dimentichiamoci che uno dei principi fondamentali sul quale il GDPR fonda le proprie radici è la privacy by default e privacy by design ovvero la valutazione e la progettazione antecedente al trattamento dei dati per rendere sicuro il trattamento stesso nel momento in cui l’impresa lo effettua.
Il primo passo che ogni imprenditore deve fare, però, sta nel capire l’importanza della sicurezza dei dati che raccoglie.
Un’ esempio semplice ma lampante riguarda la classica bottega della parrucchiera, la quale spesso si trova ad avere la sua agenda aperta sul bancone con gli appuntamenti ed i numeri di telefono dei propri clienti. Nessuno le vieta di avere un’agenda, ma è palese che, come ella non vorrebbe che il proprio numero di cellulare fosse sotto gli occhi di chiunque, lei stessa dovrebbe quanto meno chiudere la sua agenda e metterla in un cassetto, quando non utilizzata.
L’economicità applicativa per ottenere la GDPR compliance
È chiaro, poi, che la potenzialità economica dell’impresa e il margine di rischio rispetto ai dati conservati sono due variabili fondamentali. Un medico avrà necessità organizzative diverse rispetto ad un’officina di riparazione auto. Nel primo caso avremo a che fare con l’esigenza di mettere in atto misure tecniche ed organizzative ben più complesse, con l’utilizzo di sistemi di cifratura e pseudonimizzazione.
Purtroppo non si può sfuggire da questa necessità, né tanto meno si può giustificare una scarsa sicurezza dietro alla complessità di utilizzo delle proprie procedure.
Che lo si voglia capire o meno, allo stato attuale, ogni dato, anche il più generico ha un valore e siamo noi cittadini, e le imprese che rappresentiamo, a doverci fare carico, ora che esiste un Regolamento Europeo che ce lo concede, di limitare l’uso indiscriminato dei dati nostri ed altrui.
Il buon senso è la discriminante e come dimostrato l’economicità applicativa è un mezzo percorribile oggi più che mai.
