hronline
     n. 21 anno 2023

Il temporary management può alleviare la fragilità informatica delle PMI italiane

di Raffaele Mantovani

E’ stato da poco presentato il primo Rapporto Cyber Index PMI, relativo all’indice che misura lo stato di preparazione delle nostre PMI sui rischi informatici: realizzato da Generali e Confindustria, l’indice evidenzia il livello di conoscenza di tali rischi e soprattutto come questi vengono gestiti. Il quadro che ne emerge non è certamente roseo: il valor medio rilevato nel campione analizzato denota infatti un indice medio pari a 51 su 100 (60 su 100 è la sufficienza). Manca un approccio strategico (54 su 100), ma soprattutto mancano azioni di identificazione corrette (43 su 100!). E’ quindi necessario lavorare per diffondere e ampliare la cultura dei rischi informatici in questi contesti. Le PMI generalmente comprano temporary management per acquisire nuove competenze: sicuramente il tema ben si presta a questo tipo di interventi. Il contributo di Raffaele Mantovani può aiutare ad inquadrare in maniera appropriata il problema.

L'attacco hacker che ha colpito qualche giorno fa Feder privacy ha riportato all'attenzione del pubblico il tema della sicurezza informatica, ma soprattutto ha reso evidente che non esistono sistemi di difesa informatica invalicabili. Se qualcuno è organizzato, vuole attaccare e vuole i tuoi dati, i problemi arrivano, quindi che fare?

Per mettere in sicurezza i propri assets digitali bisogna agire con competenza, metodo e non credere che una volta messo in sicurezza il perimetro ed i nodi della propria infrastruttura informatica, di essere inattaccabili per gli anni a venire. Bisogna avvalersi di strumenti di risk management, ossia " il processo attraverso il quale le organizzazioni affrontano i rischi legati alle loro attività con lo scopo di ottenere benefici durevoli … e permette la comprensione dei potenziali aspetti positivi e negativi di tutti i fattori che possono influenzare l’organizzazione […] il risk management deve affrontare sistematicamente tutti i rischi che circondano le attività dell’organizzazione nel passato, nel presente e, soprattutto, nel futuro”. (cit. FERMA Federation of European Risk Management Associations) 

E' quindi importante che nei processi di innovazione, di trasformazione tecnologica e digitale delle PMI, queste siano affiancate da figure in grado di usare gli strumenti del risk management e di disegnare dei modelli organizzativi utili ad individuare le fonti di rischio e affrontarle. I predetti modelli dovranno fissare le regole di comportamento in grado di permettere a soggetti terzi di valutare la correttezza delle scelte effettuate dagli organi decisionali dell'azienda, le prevedibili conseguenze o l'impatto delle omissioni rispetto al quadro normativo di riferimento. 
In altre parole, si dovranno in prima battuta individuare le situazioni critiche, evitare che si trasformino in incidenti e, in tal caso, prevedere le modalità attraverso le quali rimettere in sesto la struttura aziendale o le parti di essa che siano state colpite , evitando pregiudizi in capo ai creditori delle obbligazioni connesse all'esercizio dell'impresa siano essi clienti , fornitori o terzi.
Pensiamo al blocco dell'infrastruttura informatica causato da un attacco informatico oppure da un incendio o un evento atmosferico, che taglia la catena logistica dell'impresa, la produzione e l'attività dell'amministrazione per una settimana. 

Non avere un adeguato Data Disaster Recovery Plan, all'interno del quale é necessario prevedere il Business Continuity Plan, potrebbe comportare spiacevolissime conseguenze per la proprietà e gli amministratori della società, conseguenze che possono sintetizzarsi come segue:

  • perdita economica immediata 
  • danno fisico subito dall'infrastruttura informatica e perdita di dati
  • richieste di risarcimento dei danni subiti da parte di coloro che interagiscono con l'impresa colpita.

Qualora le policy suddette non fossero state previste ed implementate, il team legale chiamato a difendere gli interessi dell'impresa avrebbe vita molto difficile; l'azienda correrebbe infatti il rischio, nemmeno tanto remoto, di non vedersi indennizzata, cio' anche nel caso in cui stipulato una polizza apposita contro il rischio informatico.

Perché? Perché nel caso non avesse redatto un adeguato Data Disaster Recovery Plan e/o non lo avesse aggiornato (questi modelli organizzativi NON SONO MAI STATICI, MA VANNO AGGIORNATI ALMENO OGNI SEI/OTTO MESI) l'assicurazione potrebbe non pagare e in ogni caso le possibilità di contenzioso con l'assicurazione stessa o con fornitori e clienti dell'impresa sarebbero elevate. Dovrebbe provare di avere adeguatamente formato il personale e che le dichiarazioni rese all'atto della stipula della polizza sullo stato dell'infrastruttura informatica erano corrispondenti al vero.

Chi sarebbero i responsabili? Proprietà ed amministratori nel caso in cui non avessero implementato adeguati modelli e procedure per affrontare l'evento critico, potrebbero essere chiamati a rispondere in solido con l'impresa oppure essere oggetto di azione di responsabilità.

Come porsi davanti al rischio? Con l'aiuto di un soggetto esterno, costituito da esperti legali ed informatici, che lavori assieme all'amministratore di sistema e alle figure apicali dell'impresa, le quali, una volta rese consapevoli dei rischi patrimoniali che corrono, si attiveranno con solerzia per reperire le risorse necessarie. Il team esterno procederà ad una anamnesi della struttura informatica, alla individuazione delle fonti di rischio, ai suggerimenti delle misure per ridurlo (il rischio zero NON esiste) e alla redazione delle procedure da seguire in caso di evento critico, formando il personale potenzialmente interessato dal rischio. 

Come si procede?  Prima di tutto bisogna costruire il team, individuando il responsabile, gli obiettivi che si vogliono raggiungere e la strada per conseguirli ( chi fa cosa, in quanto tempo e quali sono le aree da coinvolgere); attraverso degli stress test dell'infrastruttura informatica e attività di audit presso i vari dipartimenti interessati, si acquisiscono dati e informazioni necessari per il raggiungimento degli obiettivi che ci si é dati ; si analizzano i dati raccolti , il loro flusso e qualità allo scopo di valutare le criticità emerse e si definiscono le attività necessarie ad eliminarle o quantomeno a minimizzarle; infine, all’esito dell’analisi e delle valutazioni, si dovranno mettere in pratica le misure che si sono ritenute utili al fine di rimuovere, minimizzare i rischi e come gestire gli incidenti che dovessero verificarsi. Prima fra tutte l'addestramento delle persone che lavorano in azienda. 
Come diceva il mio istruttore più sudore in addestramento meno sangue in combattimento....

Come mantenere aggiornate le difese e le policy? Il loro rapporto con il GDPR? Poichè le minacce informatiche, per loro stessa natura, sono in continua evoluzione, sarà opportuna una periodica attività di verifica del rischio e delle relative procedure. Diciamo che attacchi simulati e prove d'allarme periodiche dovrebbero diventare uno strumento abituale, utile, in ottica GDPR, alla stesura di DPIA aggiornate. Molto brevemente, la DPIA – Data Protection Impact Assessment - é la procedura, prevista dall’articolo 35 e dai considerando n. 90 e 93 del GDPR, che identifica, valuta e indica le modalità di gestione dei rischi legati a un certo trattamento (legato, ad esempio, all’applicazione di una nuova tecnologia o di una nuova strategia oppure modifiche sostanziali a un trattamento già presente). Sempre in ottica GDPR, il Codice Privacy prevede, quale misura minima di sicurezza da applicare al trattamento di dati personali effettuato con strumenti elettronici, l'adozione di procedure per la custodia di copie di sicurezza e per il ripristino della disponibilità dei dati e dei sistemi.  Ecco perciò che la mancata redazione di un adeguato DDRP é rilevante anche sotto il profilo del GDPR, il quale, relativamente al "salvataggio periodico", ovvero alle operazioni di backup e recovery dei dati personali che costituiscono la base di qualunque piano di disaster recovery, prevede numerosi ed importanti adempimenti in capo ai titolari del trattamento. Quegli enti che usano sistemi informatici e gestiscono con strumenti elettronici banche dati contenenti (anche) dati personali (l'IBAN di un professionista o quello di un fornitore persona fisica ad esempio E' un dato personale), sono tenute a proteggerle adeguatamente, mediante l'adozione di idonee misure di sicurezza, al fine di ridurre al minimo il rischio, non solo di accessi non autorizzati o di trattamenti non consentiti o non conformi alle finalità della raccolta, ma anche di distruzione o perdita, anche accidentale, dei dati (art. 31 Codice Privacy).
All'articolo 34, comma 1, lettera f), il Codice Privacy prevede infine, quale misura minima di sicurezza applicabile al trattamento di dati personali effettuato con strumenti elettronici, l'adozione di procedure per la custodia di copie di sicurezza, nonché per il ripristino della disponibilità dei dati e dei sistemi.

Alla fine di queste righe, la conclusione che possiamo trarre è che un piano di disaster recovery, come strumento che riassuma al suo interno tutte le attività svolte per la gestione del rischio connesso agli asset digitali , è essenziale per ogni azienda perché al di là degli attacchi che possono subire, i dati immagazzinati su N supporti non sono eterni, possono corrompersi per i motivi più vari (rottura, usura, furto, cancellazione o manomissione dovuta ad errore umano tra i maggiori fattori di rischio) e si dovrebbe averne copia su supporto separato da aggiornare periodicamente.

 

Raffaele Mantovani – Avvocato (diritto delle nuove tecnologie, digitalforensic, gdpr)

 

 

 

 

Share
  • © 2024 AIDP Via E.Cornalia 26 - 20124 Milano - CF 08230550157 - tel.02/6709558 02/67071293

    Web & Com ®