HR non conformi al GDPR

Risposta di

Redazione PMI.it

scritto il

Enrico chiede

Alla mia azienda, in fase di analisi per l’adeguamento al GDPR, sono state indicate una serie di anomalie legate alla gestione della sicurezza informatica da parte del mio personale, volevo capire se è solo un problema tecnologico o anche legato alla modalità operativa dei miei collaboratori: in tal caso cosa devo fare?

Redazione PMI.it risponde

Risposta a cura di Idea Services
(per approfondimenti: esperto.risponde@ideaservices.eu)

 

In molti attacchi informatici i cyber criminali non utilizzano sistemi tecnologici particolarmente sofisticati, ma sfruttano aspetti del comportamento umano, come la distrazione o la mancanza di consapevolezza, per fare breccia nei sistemi aziendali.
Si calcola che circa il 95% degli attacchi IT siano causati dal fattore umano.

Nell’era in cui il fenomeno del BYOD (Bring Your Own Device – ossia l’utilizzo per lavoro del proprio smartphone o altro dispositivo) è sempre più diffuso all’interno delle aziende – che permettono ai propri dipendenti di utilizzare i propri terminali personali all’interno del contesto lavorativo – si sono infatti moltiplicati i casi in cui il furto o smarrimento di un dispositivo (portatile, telefono, tablet, chiavetta USB…) provocano la conseguente esposizione di dati riservati o di informazioni che mettono a rischio la sicurezza dei sistemi aziendali.

=> Sicurezza IT: PMI italiane ferme al GDPR

Un ulteriore (diffusissimo) fenomeno riguarda gli attacchi informatici basati sul tentativo di inganno degli utenti aziendali: email fraudolente che contengono link malevoli o che rimandano a pagine web clonate, simili in tutto e per tutto ai siti originali (attacchi phishing), possono spingere l’utente inconsapevole ad inserire proprie credenziali riservate (personali ma anche di lavoro) o inducono il destinatario a scaricare sul proprio dispositivo allegati infetti.

Per evitare i problemi sopra descritti dovrebbe avviare una mappatura di tutti i dispositivi in uso (anche quelli non “ufficializzati”e di tutti i trattamenti dei dati che vengono effettuati in azienda in modo da evitare eventuali falle (oltre che garantirsi la conformità al GDPR).

Questa analisi va effettuata utilizzando metodologie che permettono ai collaboratori di non dare risposte “standard” preconfezionate ma di analizzare nel dettaglio i problemi. Così da evitare rischi concreti per la sua azienda.

Per approfondimenti ci contatti pure: info@ideaservices.eu