Da molti anni, chiunque elabora dati con strumenti informatici sa che l’informazione è uno dei principali beni (asset) aziendali. Ogni organizzazione deve essere in grado di garantire la sicurezza dei propri dati, in un contesto nel quale ogni giorno si moltiplicano le minacce, specialmente informatiche.
Da quando sono sorti precisi obblighi di sicurezza, derivanti dai codici di protezione dei dati personali, le misure di sicurezza informatica non sono più solo desiderate o facoltative.
Ma cosa significa esattamente sicurezza informatica? In quale relazione si pone rispetto agli obblighi derivanti dalle leggi in vigore sulla protezione dei dati personali?
Innanzitutto definiamo cosa si intende per sicurezza informatica: si tratta di un insieme di strumenti, tecnologie e policy che tendono alla protezione dei sistemi informatici e quindi dei dati in essi contenuti, che dovranno essere sempre disponibili, in situazione di integrità, confidenzialità e autenticità.
Nella realizzazione di questi quattro aspetti della sicurezza delle informazioni debbono essere coinvolti tutte le funzioni aziendali, specialmente da quando il GDPR ha introdotto i concetti di accountability, privacy by design / default.
La protezione dei dati si deve realizzare in tutte le unità organizzative che trattano dati; una sola può minare il buon livello di sicurezza presente in tutte le altre.
Motivo per cui la necessità di sicurezza dei dati scaturisce dal board aziendale, per poi propagarsi a (praticamente) tutte le unità interne e a tutte le funzioni.
Spesso risulta difficile far comprendere che garantire la sicurezza delle infrastrutture informative aziendali è un investimento nel futuro dell’organizzazione; fare sicurezza è talvolta visto come un puro costo, i cui risvolti non sono evidenti.
Una violazione della sicurezza non è certa, ma qualora occorra, sono certi gli elevati costi da sostenere, così come la perdita della reputazione aziendale e gli altri effetti avversi sulla organizzazione.
GLI ARTICOLI RELATIVI A PROTEZIONE DEI DATI PERSONALI
Cassazione 40295/2024: credenziali aziendali e accesso disfunzionale
La recente sentenza n. 40295 del 31 ottobre 2024 della Corte di Cassazione ha affrontato…
Caso Equalize
Appare chiarissimo che l’ultimo “caso Equalize” certifica un livello di inadeguatezza della cybersecurity delle banche…
La firma autografa è dato personale
La firma autografa è un dato personale: lo sancisce una recente sentenza della Corte di…
Privacy: Sistema di Gestione o Modello Organizzativo?
Il GDPR non prescrive esplicitamente l’adozione di un framework strutturato, simile a quello previsto da…
Sospesa dal servizio dopo rifiuto della nomina ad incaricato del trattamento
La controversia nasce da una lavoratrice che, impiegata come caposquadra portalettere, impugnava il provvedimento di…
Provvedimenti ON-LINE e dati personali
ANAC – Autorità Nazionale AntiCorruzione ha rilevato che – in molti provvedimenti pubblicati nei rispettivi…