4 PASSI VERSO LA SICUREZZA

Visita questa pagina per approfondire.

Sopralluogo

I nostri tecnici saranno lieti di effettuare una visita presso la Vostra Azienda, per conoscere la vostra infrastruttura IT e verificare l'attuale livello di sicurezza informatica.
E' possibile, in alternativa alla presenza sul posto, procedere comunque grazie al nostro servizio offerto da Remoto.
[ Approfondisci ]

Tutela

L'Analisi dei Rischi Informatici viene effettuata nel pieno rispetto dei principi di tutela delle persona, delle norme poste a tutela della libertà e dignità dei lavoratore, e di tutte le normative vigenti in materia di Privacy e Sicurezza dei Luoghi di Lavoro.
[ Approfondisci ]

Analisi

L'Analisi dei Rischi Informatici viene eseguita con i migliori strumenti che la moderna tecnologia ci offre. I programmi utilizzati per l’Analisi dei Rischi non costituiscono alcun pericolo per la rete informatica aziendale e vengono attentamente scansionati alla ricerca di virus prima del loro utilizzo.
[ Approfondisci ]

Sicurezza

L’analisi dei rischi informatici vi permette di mettere in sicurezza la vostra azienda ed è da considerarsi un valore aggiunto per la tutela della salute dei lavori, sia essa legata allo stress lavorativo dovuto all’utilizzo di macchine non idonee al carico di lavoro, sia essa legata alla loro salute fisica.
[ Approfondisci ]



  Il nostro studio informatico è aperto da 15 anni !



Ultime Notizie Tecnologie, Privacy, Sicurezza e Rischi Informatici in Azienda:



Nel 2016 i crimini informatici in Italia sono cresciuti del 9%

Il rapporto CLUSIT segnala un incremento degli attacchi ad aziende italiane. E dal convegno del CSI su cybersecurity e PA emerge la necessità di un costante scambio di informazioni tra pubblico e privato per arginare il fenomeno
Nel primo semestre del 2016 il cybercrime cresce del 9% sull’ultimo semestre del 2015; si impennano del 144% gli attacchi nel settore della Sanità; segnano + 129% i Malware e i Ransomware e + 1500% Phishing e Social Engineering. I primi mesi del secondo semestre hanno invece evidenziato un incremento esponenziale degli attacchi DDoS, che hanno segnato una serie di record di intensità: a giugno è stato lanciato un attacco da 360 Gbps contro un’azienda italiana, pochi mesi dopo l’asticella si è alzata a 600 Gbps. E con il diffondersi dell’Internet of Things, il numero di oggetti insicuri e non aggiornabili è destinato a crescere, facendo così aumentare il numero si oggetti connessi da utilizzare per guidare attacchi a basso costo. Questa è infatti una delle altre tendenze emerse: si riducono gli attacchi complessi e sofisticati. «Perché sviluppare attacchi complicati quando si può entrare in un sistema facilmente, con un semplice messaggio di posta elettronica?», si chiede Claudio Telmon. Dai numeri del CLUSIT emergono due problemi, che spesso viaggiano a braccetto: da una parte scarsi investimenti in “security”, nella convinzione che gli attacchi capitino agli altri, mentre, come ha sottolineato Riccardo Rossotto, Presidente del CSI: «Il problema non è se succederà, ma quando mi succederà che strumenti avrò adottato per difendermi?». O spostando ancora l’asticella, come evidenziato da Mario Terranova di AgID: «Il vero problema non è tanto quando succederà, ma quando è successo, considerando che in media passano 8 mesi dall’attacco a quando i diretti interessati se ne rendono conto». Accanto alla componente tecnologica, è altrettanto importante la formazione delle persone e la capacità di avere una visione complessiva del problema, perché, come ha concluso Claudio Telmon, «la sicurezza non è un tema solo IT».
SFIDE PRINCIPALI Sull’importanza trasversale della sicurezza torna, in apertura della tavola rotonda, Antonio Lioy, professore del Politecnico di Torino, Dipartimento di Automatica e Informatica: «Fino a pochi anni fa l’Unione Europea finanziava progetti verticali sulla cyber security, poi con Horizon 2020 i progetti di cybersecurity sembravano spariti. Semplicemente, perché il tema sicurezza è diventato trasversale: qualunque progetto deve avere una parte di cybersecurity, per essere approvato». Altro tema sempre più ricorrente quando si affrontano i temi legati alla cybersecurity è quello dell’inquadramento normativo e della cyber insurance: «Attualmente non esistono assicurazioni efficienti contro il cybercrime – sottolinea l’avvocato Giuseppe Vaciago –. Tema complesso, ma che bisogna iniziare ad affrontare». Partendo dalla Policy sylla Sicurezza Informatica in Azienda.
Sul versante normativo, potrebbe avere impatti interessanti anche sul tema sicurezza, il GDPR – General Data Protection Regulation , regolamento con cui la Commissione europea vuole rafforzare e unificare la protezione dei dati personali all’interno dei confini dell’UE. «Potrebbe rivelarsi una buona scusa per incrementare la sicurezza – ribadisce Vaciago –. Le aziende che adottano misure adeguate, verrebbero sollevate dall’obbligo di notificare e rendere pubblici gli attacchi e i danni subiti, diversamente previsto. E in settori delicati, come quello bancario, ad esempio, questo potrebbe essere un buon incentivo ad adottare tutte le misure di sicurezza necessarie». Per scoprirne l’efficacia però, dovremo aspettare ancora alcuni mesi: adottato nell’aprile 2016, il regolamento verrà applicato a partire dal 25 maggio 2018. Sul GDPR punta molto anche il professor Lioy: «Il regolamento introdurrà il concetto di privacy by design e di conseguenza la sicurezza dovrà essere integrata nel processo. Non sarà più una scelta successiva, ma come la cintura di sicurezza sulle macchine dovrà essere di serie, poi al massimo uno può scegliere di non usarla».
Un nuovo elemento di sfida la inserisce Stefano Gallo della Città della Salute: «Sarà fondamentale passare alla gestione di servizi esternalizzati standardizzati, attraverso privacy level agreement, che garantiscano rispetto della privacy e sicurezza, non solo nella trasmissione di documenti sensibili come le cartelle cliniche, ma in molti casi già a livello delle apparecchiature, come nel caso di interventi a distanza attraverso la fibra ottica». E in questo caso l’unica risposta possibile è innalzare il livello degli investimenti, perché come rimarca Franco Carcillo della Città di Torino, «Spesso la gratuità si paga in termini di sicurezza e la prevenzione vuol dire risorse». Risorse da investire non solo in tecnologia, ma anche e soprattutto in persone e formazione. «Alla fine, l’elemento umano ha un peso importantissimo – sottolinea Paola Capozzi, della Polizia Postale –. Le falle nei sistemi, nella maggior parte vanno imputati a errori umani». E le fa eco Terranova di AgID: «In Italia mancano persone competenti, anche perché quelli che formiamo li perdiamo, se ne vanno all’estero dove vengono pagati meglio».
POSSIBILI SOLUZIONI Una possibile risposta al problema sicurezza, la propone il professor Lioy: «Recentemente a Bruxelles abbiamo proposto un progetto che però non è stato colto dalle aziende italiane, mentre ha convinto Hewlett-Packard e Telefonica, che metteranno sul mercato un prodotto derivante dai nostri studi. Si tratta di un oggetto da frapporre tra il dispositivo utente, qualunque esso sia, e il resto del mondo». Il progetto cerca di definire la sicurezza per conto del singolo individuo e standardizzarla in tutte le situazioni, inserendolo però in un sistema gerarchico di controllo multilivello, perché con le politiche BYOD – Bring Your Own Device, anche l’azienda deve poter stabilire vincoli e limiti di sicurezza, sui dispositivi dei dipendenti. Così come un genitore che paga la connessione del figlio minorenne, deve poter intervenire sul tema security.
Accanto agli strumenti, servono le norme, evidenzia Vaciago: «Non ci sono incentivi per sviluppare sistemi di cybersecurity. È fondamentale definire degli standard e prevedere poi delle forme di incentivo anche economico per le aziende che investono in cybersecurity».
Ma al momento, uno degli elementi centrali nella lotta al cybercrime è la coordinazione. «Serve una rete continua di scambio di informazioni tra pubblico e privato – spiega Paola Capozzi –. È nata in quest’ottica la Polizia Postale: attraverso un’attività di monitoraggio continuo sulle strutture critiche e ricevendo le segnalazioni dei privati, che subiscono attacchi, è possibile intervenire con tempestività, limitare i danni e trovare rimedi e soluzioni efficaci». E sulla stessa lunghezza d’onda la chiusura di Carcillo: «Un Consorzio come il CSI ha proprio questa funzione: mette a fattore comune diverse esperienze, propone regole e standard di controllo omogenei, offrendo una grande opportunità per i consorziati».
E proprio questa esperienza il CSI è pronto a condividerla a livello nazionale, con il Team per la Trasformazione Digitale : «A inizio 2017 abbiamo un incontro con Diego Piacentini per metterci a disposizione, portando la nostra esperienza su temi delicati come quello della sicurezza». Non è un caso che il Manifesto dei principi tecnologici e operativi del team , reciti al primo punto: Sicurezza e privacy sono i principi più importanti; mai, per nessuna ragione, scenderemo a compromessi.
Fonte : www.la stampa.it



Le norme Ue che segnano il 2016 in tema di Sicurezza Informatica :

- il Regolamento n. 679/2016, Regolamento Generale sulla Protezione dei Dati (RGPD), entrato in vigore il 24 maggio scorso, applicabile dal 24 maggio 2018, che sostituisce la Direttiva 95/46/CE;
- il Regolamento n. 910/2014, Regolamento Electronic Identification Authentication and Signature (Regolamento EIDAS), entrato in vigore il 17 settembre 2014, applicabile dallo scorso primo luglio, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno, che sostituisce il quadro normativo definito dalla Direttiva Europea 1999/93/EC sulle firme elettroniche e dalle relative leggi nazionali di recepimento;
- la Direttiva n. 680/2016, entrata in vigore il 24 maggio scorso, sul trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati, che abroga la decisione quadro 2008/977/GAI del Consiglio;
- la Direttiva n. 1148/2016, Direttiva Network and Information Security (Direttiva NIS), entrata in vigore l’8 agosto scorso, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione.



Rapporto 2015 sulla sicurezza informatica in italia : serve una Policy sulla Sicurezza Informatica

Le aziende italiane sono molto lontane dagli standard europei e internazionali in fatto di sicurezza informatica.
Nel rapporto Clusit 2015 (l'associazione italiana per la sicurezza informatica), emerge una situazione alquanto allarmante per l'Italia ( citiamo dettagli e fonte nell'approfondimento dell'articolo ). Si stima che nel 2014 gli attacchi informatici sono aumentati nel mondo del 68% e che il punto dolente non è più essere attaccati o meno, divenuto una certezza, ma è il quando a preoccupare gli utenti (il 90% delle aziende inserite nel sondaggio, erano stata attaccate almeno 1 volta). La scarsa consapevolezza fra gli utenti e gli attacchi di vasta eco mediatica, come il caso Sony, hanno reso quindi il 2014 un anno nero per la sicurezza online. Sempre Clusit stima in nove 9 miliardi di euro i danni complessivi causati dal cyber-crimine. Molti si chiedono quali saranno Le modalità dei futuri attacchi ? Eccone una lista non esaustiva :

  • - Estorsioni per rientrare in possesso dei propri dati realizzati tramite “ransomware”, ovvero malware che cifra i dati della vittima chiedendo un riscatto per decifrarli;
  • - Frodi basate sui social engineering;
  • - Keylogger strumenti in grado di intercettare tutto ciò che un utente digita sulla tastiera del proprio, o di un altro computer;
  • - Trashing (detto anche information diving) è la pratica di risalire ad informazioni riservate attraverso il setacciamento dei rifiuti della vittima, come resoconti, bollette, corrispondenza …
  • - Truffe tramite malware, phishing, scam, pharming, vishing … ;
  • - Manomissioni dei sistemi Pos di pagamento ;
  • - Rischi associati ai Servizi Cloud ;
  • - Virus e malware diffusi tramite i cellulari ;
  • - Pericoli veicolati dai dispositivi indossabili wearable-device ;
  • - attacchi DDoS ai siti internet ;
  • - Cyber spionaggio ;
Quali azioni intraprendere ?
Il primo passo è la redazione della Policy sulla Sicurezza Informatica in Azienda
Leggi l'articolo completo qui [ Rapporto 2015 sulla sicurezza informatica in italia ]



Legge 14 agosto del 2013, n. 93 : se il manager o il dipendente viola la privacy paga anche l'impresa.

A seguito dell'entrata in vigore del decreto Legge 14/08/2013 n. 93, le imprese rischiano sanzioni pecuniarie da 25.800 a 774.500 euro se il soggetto in posizione apicale o un dipendente di una società trattano dati senza il consenso (ricorrendo gli altri elementi previsti dall'articolo 167 del codice della privacy). A pagare sarà quindi anche la società oltre alla persona fisica.

Lo stesso vale per l'ipotesi in cui si siano inviate al garante notificazioni inveritiere o informazioni false, così come nel caso si sia omesso di osservare provvedimenti del garante: a pagare è sia la persona fisica autore dell'illecito sia l'ente cui la stessa appartiene.

Con l'articolo 9 del DL 93/2013 viene prevista inoltre un nuova aggravante del delitto di frode informatica (640–ter del codice penale) nel caso venga commesso con sostituzione dell'identità digitale in danno di uno o più soggetti, con pene che vanno da due a sei anni di reclusione e sanzioni da 600 a 3.000 euro. La ratio della norma, per la Corte suprema, è l'ampliamento della tutela dell'identità digitale per aumentare la fiducia dei cittadini nell'utilizzazione dei servizi online e porre un argine al fenomeno delle frodi realizzate mediante il furto di identità. La medesima norma prevede, come abbiamo già citato, che sia i reati di frode informatica che quelli in materia di violazione della privacy previsti dal decreto legislativo 196/2003 (trattamento illecito dei dati, falsità nelle dichiarazioni al Garante e inosservanza dei provvedimenti del Garante) siano ricompresi tra quelli sanzionati non solo a livello personale ma anche a livello aziendale come previsto nel decreto legislativo 231/2001 sulla responsabilità degli enti .

Le imprese devono rinnovare i modelli organizzativi, redigere protocolli interni atti a prevenire illeciti da parte dei propri dipendenti in questi ambiti ( vedisi il Documento Policy sulla Sicurezza Informatica ) e garantire le procedure di vigilanze idonee a prevenire la commissione dei reati all'interno dell'organizzazione. In mancanza di tali misure si riterrà che le violazioni sono riconducibili a una politica d'impresa e quindi anche l'ente sarà soggetto a sanzioni.



Legge 18 marzo 2008 sui crimini informatici : responsabilità delle imprese nel caso non adottino misure preventive nei confronti dei propri dipendenti.

La "Legge 18 marzo 2008, n. 4813 "Ratifica ed esecuzione della Convenzione del Consiglio d’Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, e norme di adeguamento dell’ordinamento interno" ha introdotto nuovi adempimenti per la sicurezza informatica in quanto ha modificato (art. 10) sia il "Codice in materia di protezione dei dati personali" sia (art. 7) il decreto legislativo 8 giugno 2001, n. 231.
Le disposizioni previste dalla Convenzione fanno specifico riferimento alla frode informatica, accesso abusivo al sistema informatico, pedopornografia, utilizzo di programmi non autorizzati, illecite intercettazioni di dati telematici ed in generale nei confronti di tutti i temi più discussi in ambito cyber criminalità.

Una conseguenza che riveste particolare importanza è sicuramente l'estensione della responsabilità amministrativa della persone giuridiche ai reati informatici, pertanto aumenta la responsabilità delle imprese nel caso non adottino misure preventive idonee ad evitare che gli addetti interni della società commettano reati informatici: per l'azienda si determina così una responsabilità patrimoniale anche di rilevante entità.
A seguito delle modifiche apportate al Decreto legislativo 231/2001 dalla Legge 48/2008, si prevede un esonero della responsabilità dell’azienda per reato informatico (art.24 bis) commesso al suo interno da un vertice o dipendente – quando lo stesso sia realizzato nel suo interesse o l’impresa ne abbia tratto un vantaggio -, esclusivamente allorché si dimostri che l’organo dirigente dell’Ente ha adottato ed efficacemente attuato, prima della commissione del fatto, un modello organizzativo idoneo a prevenire reati della specie di quello verificatosi (art. 6 decreto legislativo 231/2001). Tale modello classificabile come Policy sulla sicurezza informatica, non giustifica l'adozione di un codice etico come esonero della responsabilità di un'azienda. il documento del quale stiamo parlando, la Policy sulla sicurezza informatica risponde a specifiche prescrizioni contenute nel Decreto finalizzate a prevenire la commissione di particolari tipologie di reato.



Il Datore di lavoro ha il diritto di controllare direttamente o attraverso la propria struttura informatica l'effettivo adempimento della prestazione lavorativa ed il corretto utilizzo degli strumenti di lavoro

Il datore di lavoro ha il diritto di controllare (direttamente o attraverso la propria struttura informatica) l’effettivo adempimento della prestazione lavorativa e, se necessario, il corretto utilizzo degli strumenti di lavoro (cfr. provv. del Garante del 1° marzo 2007 "Lavoro: le linee guida del Garante per posta elettronica e internet" pubblicate in G. U. n. 58 del 10 marzo 2007 e artt. 2086, 2087 e 2104 cod. civ. ).
L'azienda facendo effettuare l'analisi dei rischi lavorativi e dei RISCHI INFORMATICI opera inoltre in accordo all’articolo 2087 del codice civile per l’adempimento degli obblighi in materia di sicurezza sul lavoro. La norma testualmente dispone che: “l’imprenditore è tenuto ad adottare nell’esercizio dell’impresa le misure che, secondo la particolarità del lavoro, l’esperienza e la tecnica, sono necessarie a tutelare l’integrità fisica e la personalità morale dei prestatori di lavoro”. Si tratta di una norma la cui inosservanza determina casi di responsabilità civile e che impone un continuo aggiornamento degli strumenti di prevenzione secondo quanto il progresso tecnico suggerisce in materia. La giurisprudenza è infatti unanime nell’individuare l’obbligo di tutela delle condizioni di lavoro anche da agenti esterni (Ex multis Cass. 5002/90);



Finalmente potrete trovare una risposta alle vostre domande :

×

Nella Nostra Azienda esisterà veramente una buona sicurezza informatica ? Abbiamo ottemperato a tutte le disposizioni preventive richieste dalla Legge 18 marzo 2008 sui crimini informatici ? Verifichiamolo !

×

In caso di rottura di un computer, la macchina sostitutiva con i dati di backup verranno ripristinati in tempi brevi ? ( in osservanza agli obblighi del datore di lavoro di adottare tutte le misure idonee a prevenire rischi di distruzione o perdita, anche accidentale dei dati art.31 d.lgs.196/2003 ) Verifichiamolo !

×

Nei computer dei nostri dipendenti saranno presenti software non autorizzati ? Verifichiamolo !

×

E' possibile che avvenga un furto di informazioni in azienda ? Le protezioni dalla masterizzazione di cd/ dvd, dalla scrittura dati sui dispositivi USB esterni, dalla archiviazione online su sistemi di free cloud storage e dall'accesso alle postazioni aziendali da remoto saranno efficaci ad impedire questi utilizzi non autorizzati ? Verifichiamolo !

×

A volte abbiamo avuto il sospetto che un dipendente possedesse un archivio privato criptato o comunque non visibile e non autorizzato dall'azienda ? Verifichiamolo !

×

L'azienda rispetterà tutte le normative in materia di Privacy e tutela del lavoratore per gli aspetti informatici e sarà tutelata in caso di dimissioni o licenziamento di un dipendente circa la riservatezza dei dati ? Verifichiamolo !

×

Non comprendiamo per quale motivo continuano ad essere rilevati ogni giorno, virus o malware nelle macchine aziendali ? Verifichiamolo !

×

Abbiamo il dubbio che i nostri dipendenti trascorrano ore sui social network, trascurando così il loro lavoro ? Verifichiamolo !

×

Vorremmo sapere se le postazioni dei computer sono protette durante l'assenza del loro proprietario ? Verifichiamolo !

×

Viene osservato l'obbligo di documentazione, proposto anche dal Nuovo Regolamento Europeo, secondo cui il Titolare del trattamento deve conservare la documentazione di tutti i trattamenti effettuati sotto la propria responsabilità ? Verifichiamolo !

×

Non comprendiamo perchè i nostri dipendenti sono sempre stanchi e scarsamente motivati ? ( lo sapevate che esiste lo stress lavorativo dovuto al fatto di lavorare con macchine troppo lente, non idonee al carico di lavoro ? ) Verifichiamolo !

×

Abbiamo assegnato ad un dipendente un computer portatile e vorremmo sapere se le informazioni ivi contenute saranno protette anche in caso di furto ? Assicuriamolo !

×

Siamo informati sulle nuove Leggi in materia di rischi informatici ? ( Lo sapevate che l'imprenditore è tenuto per legge ad adottare nell’esercizio dell’impresa le misure minime di sicurezza informatica la cui inosservanza determina casi di responsabilità civile ? ) Art. 2087 del codice civile !



L’analisi dei rischi informatici è da considerarsi un valore aggiunto per la tutela della salute dei lavori, sia essa legata allo stress lavorativo o alla loro salute fisica.

L’analisi dei rischi informatici è da considerarsi un valore aggiunto per la tutela della salute dei lavori, sia essa legata allo stress lavorativo dovuto all’utilizzo di macchine non idonee al carico di lavoro, sia essa legata alla loro salute fisica. In merito al primo fattore grazie all'analisi dei rischi, sarà possibile evidenziare criticità singole ( macchine con memoria insufficiente, spazio quasi esaurito, gravi problemi di stabilità, processi che si avviano in automatico e rallentano il lavoro ...) per le quali si auspica un intervento a breve termine ; per il secondo fattore sarà possibile escludere anomalie nelle schede grafiche dei computer aziendali che pregiudicano lo stato dei monitor, in osservanza alle norme previste dal Decreto Legislativo 81/08 che coinvolgono anche le attività che prevedono l’uso di attrezzature munite di videoterminali.

 

Nello specifico, l’articolo 172 e l’articolo 173 forniscono indicazioni sul campo di applicazione e sulle definizioni utilizzate all’interno del decreto, che prevedono di prestare molta attenzione da parte del datore di lavoro a elementi come la cattiva visualizzazione di singoli caratteri, frasi o di intere porzioni di testo o elementi come lo sfarfallio dei caratteri e dello sfondo, soprattutto con gli schermi di vecchia generazione, che possono causare dei problemi alla salute dei lavoratori, problemi per i quali potrebbe essere ritenuto responsabile e punibile ai termini di legge.



Lo sapevate che usare una password di un collega in azienda non è una violazione della Privacy se è divenuto un comportamento conforme ad una prassi aziendale, ovvero se l'azienda non ha provveduto a redigere e comunicare ai suoi dipendenti la Policy sulla Sicurezza Informatica ?

Lo ha stabilito la Corte di Cassazione nella sentenza n. 4258 del 16 marzo 2012, in cui la stessa dichiara illegittimo il licenziamento di una dirigente accusata di aver utilizzato la password altrui per accedere al sistema aziendale. La Suprema Corte, infatti, ha accolto le giustificazioni addotte dalla lavoratrice secondo cui la ripetuta utilizzazione di una password altrui era giustificata da esigenze connesse con lo svolgimento del proprio lavoro e di quello degli altri suoi colleghi ed era divenuto un comportamento compiuto da molti come "prassi aziendale". I Giudici hanno considerato decisivo per il rigetto del ricorso presentato dalla società ricorrente il fatto che tale comportamento attuato dalla dipendente fosse effettivamente conforme a una prassi aziendale e non fosse vietato da alcun codice di comportamento o Policy sulla Sicurezza Informatica che dovrebbe invece essere fornita ai dipendenti al momento della loro assunzione.

 

Ricordiamo che il corretto utilizzo e gestione delle password aziendali rientra tra le misure minime di sicurezza previste dall’art. 34 e dall’allegato B del Codice Privacy. La Policy sulla Sicurezza Informatica prevede che il lavoratore debba delegare un collega per la verifica dei messaggi di posta elettronica in caso di assenza improvvisa o prolungata o attivi il reindirizzamento della posta. Per necessità legate alla attività lavorativa l’Azienda ha infatti il diritto di conoscere il contenuto dei messaggi di posta elettronica. La nomina del collega deve essere ufficializzata tramite un modulo o un messaggio email al responsabile del trattamento dei dati. Il collega incaricato, se è stata scelta questa modalità, dovrà redigere un apposito verbale ed informare delle attività compiute il lavoratore assente al suo rientro.


Policy sulla Sicurezza Informatica

La Policy sulla Sicurezza Informatica è quel documento nel quale sono contenute tutte le disposizioni, comportamenti e misure organizzative richieste ai dipendenti e/o collaboratori aziendali per contrastare i rischi informatici.


Una buona Policy sulla Sicurezza Informatica regola :

A) L’UTILIZZO DEL PERSONAL COMPUTER
B) L’UTILIZZO DELLA RETE
C) LA GESTIONE DELLE PASSWORD
D) L’UTILIZZO PC PORTATILI, TELEFONI FISSI, CELLULARI, FAX E FOTOCOPIATRICI
E) L’UTILIZZO DELLA POSTA ELETTRONICA
F) L’USO DELLA RETE INTERNET E DEI RELATIVI SERVIZI
G) I COMPORTAMENTI DEGLI UTENTI NELLA PROTEZIONE ANTIVIRUS E MALWARE

Per comprendere l'importanza di avere una Policy sulla Sicurezza Informatica in Azienda è sufficiente considerare questi dati :

- Diverse ricerche effettuate a livello internazionale hanno rivelato che, in mancanza di regole e/o strumenti tecnologici di filtraggio, una percentuale tra il  30% e il 40% del tempo impiegato on line dal dipendente viene utilizzato per fini diversi da quelli aziendali.
- Una recente indagine evidenzia che il 25,1% dei lavoratori dipendenti dichiara di navigare per fini personali dal posto di lavoro da 10 a 30 minuti al giorno, il 22,4% da 30 minuti ad 1 ora, l'11,9% da 1 ora a 2 e ben il 12,6% oltre 2 ore. Solo il 27% dichiara di navigare meno di 10 minuti al giorno.
- Un'indagine interna dell'Internal Revenue Service, l'ente che negli Stati Uniti si occupa delle entrate fiscali, ha rivelato che la navigazione o l'utilizzo di e-mail da parte dei lavoratori per scopi personali rappresentava il 51% del totale del tempo dedicato ad attività on line.
- Più del 70% di tutto il traffico generato dai siti VIETATI AI MINORI viene generato durante l'orario d'ufficio.
- Il 32,6% dei lavoratori che accedono ad Internet durante l'orario di lavoro dichiarano di farlo senza nessuna specifica finalità.

 

In Azienda adottate già una POLICY SULLA SICUREZZA INFORMATICA ?

Approfondisci il Servizio :

Redazione della Policy Sulla Sicurezza Informatica


Vi siete tutelati facendo firmare ai vostri dipendenti un documento di IMPEGNO ALLA RISERVATEZZA ?

Le nuove tecnologie permettono una distribuzione delle informazioni molto più veloce rispetto al passato. Documenti confidenziali possono essere trasferiti dalla vostra azienda ad un account personale online del dipendente o in un suo dispositivo esterno, con un semplice click, a vostra totale insaputa. Solo un documento di impegno alla riservatezza vi permette di essere tutelati e vi assicura ad esempio che in caso di dimissioni o licenziamento tali informazioni saranno restituite o distrutte entro 24 ore dalla vostra richiesta.

 

Il documento di riservatezza che vi possiamo redigere è composto da 8 pagine e rispetta tutte le normative di legge : Regolamento Ce 31 gennaio 1996, n. 96/240 ; Convenzione dell’Unione di Parigi sulla protezione della proprietà intellettuale resa esecutiva in Italia con il D.L. 10 gennaio 1926, n. 129 convertito con modifiche in legge 29 dicembre 1927, n. 2701 ; R.D. 29 giugno 1939 n. 1127 Legge invenzioni ; D.Lgs. 10 febbraio 2005, n. 30 Codice della proprietà industriale, a norma dell’art. 15 della legge 12 dicembre 2002, n. 273 Art. 98 Informazioni segrete-oggetto della tutela e Art. 99 Informazioni segrete-tutela ; Codice Civile : Art. 2105 obbligo di fedeltà e Art. 2598, n.3 atti di concorrenza sleale ; Codice Penale : Art. 622 Rivelazione di segreto professionale e Art. 623 Rivelazione di segreti scientifici o industriali

 

In Azienda avete già redatto una POLICY SULLA RISERVATEZZA che osservi tutte le nuove normative ?

Approfondisci il Servizio :

Redazione Documento Accordo sulla Riservatezza


Misure di Sicurezza Informatica e Analisi dei Rischi :

Ecco come intervenire per rendere sicura dai rischi informatici la vostra Azienda [ click qui ]




DPS Documento Programmatico sulla Sicurezza in Azienda

L'Analisi dei Rischi Informatici assume un ruolo fondamentale nella Redazione del DPS o Documento Programmatico sulla Sicurezza.

La conversione del Decreto Legge n. 5 del 9 febbraio 2012 (c.d. Decreto semplificazioni), avvenuta con la Legge 4 aprile 2012 n. 35, conferma definitivamente la soppressione dell’obbligo – in capo a titolari di trattamento di dati sensibili e giudiziari effettuato mediante strumenti elettronici – di redigere, e quindi di tenere aggiornato, il Documento Programmatico sulla Sicurezza (DPS).

Tuttavia l’abolizione del DPS non ha cambiato la sostanza della normativa sulla privacy stabilita dal D.Lgs. 196/03 e sono rimaste in vigore tutte le misure di sicurezza obbligatorie e i provvedimenti stabiliti del Garante sulla Privacy che continuano ad avere effetto di legge ; provvedimenti che se non vengono rispettati espongono i contravventori a delle forti sanzioni.


Approfondisci subito il nostro Servizio di Redazione Documento Programmatico sulla Sicurezza ( DPS )



850 violazioni e 4 milioni di euro di multe già riscossi dal Garante della Privacy

L'Autorità Garante per la protezione dei dati personali, composta da Antonello Soro, Augusta Iannini, Giovanna Bianchi Clerici, Licia Califano, ha presentato oggi la Relazione sul diciassettesimo anno di attività e sullo stato di attuazione della normativa sulla privacy.
La Relazione sull'attività [doc. web n. 3182545] traccia il bilancio del lavoro svolto dall'Autorità e indica le prospettive di azione verso le quali occorre muoversi nell'obiettivo di costruire una autentica ed effettiva protezione dei dati personali, in particolare riguardo all'uso delle nuove forme di comunicazione e dei nuovi sistemi tecnologici.

Gli interventi più rilevanti
La sorveglianza globale e il Datagate; Internet e il ruolo dei grandi provider; la trasparenza della Pa on line e le garanzie da assicurare ai cittadini; i social network e i problemi posti dal cyberbullismo; il fisco e la tutela delle riservatezza dei contribuenti; i sistemi di pagamento mediante smartphone e tablet (mobile payment); l'uso dei dati biometrici, anche sul posto di lavoro; la tutela dei minori sui media e sul web; la protezione dei dati usati a fini di giustizia; le telefonate promozionali indesiderate; i diritti dei consumatori; le semplificazioni per le imprese; le banche dati pubbliche e private; il mondo della scuola; i partiti e i movimenti politici; la conservazione dei dati di traffico telefonico e telematico: sono stati questi alcuni dei principali campi di intervento del Garante privacy.
Particolare importanza ha assunto il lavoro svolto dall'Autorità riguardo al mondo della Rete. Il Garante ha sanzionato per un milione di euro Google per il servizio Street View e ha intrapreso un'azione, in coordinamento con le altre Autorità europee, sempre nei confronti di Mountain View per le nuove regole privacy adottate. E' intervenuto per garantire maggiore trasparenza agli utenti dei servizi di messaggistica, anche vocale. E ha dettato regole per proteggere la privacy su smartphone e tablet. Di recente ha definito un modello di consenso per l'uso dei cookie da parte degli utenti. E' stato inoltre ulteriormente rafforzato il diritto delle persone interessate a vedere aggiornati gli archivi giornalistici on line.
Per garantire un corretto rapporto tra trasparenza della Pa e riservatezza delle persone sono stati presi provvedimenti di divieto nei confronti di decine di Comuni che avevano pubblicato sul web dati sanitari dei cittadini e, di recente, sono state adottate le Linee guida sulla trasparenza on line.
L'Autorità ha fissato le regole sull'obbligo per le società di Tlc di comunicare agli utenti e al Garante le violazione subite dai data base in caso di attacchi informatici, eventi avversi o calamità (i c.d. "data breach").
Rilevante anche l'impegno nel dettare regole per la tutela dei cittadini nei confronti dei call center delocalizzati nei Paesi extra Ue; per la tutela degli abbonati telefonici contro il telemarketing aggressivo (con prescrizioni e sanzioni adottate nei confronti di società che operano nel settore) e contro le cosiddette "telefonate mute"; per una corretta gestione dei dati presenti nelle centrali rischi; per la tutela della privacy nel condominio. Sono state adottate le Linee guida in materia di attività promozionale e contrasto allo spam.
Significativi anche gli interventi svolti per regolare l'uso della firma biometrica nelle banche e l'uso delle impronte digitali sul posto di lavoro.
Da ricordare, infine, il rinnovo delle autorizzazioni generali sull'uso dei dati sensibili e giudiziari da parte di diverse categorie, dell'autorizzazione generale sull'uso dei genetici e di quella sulla ricerca medico scientifica.

Le cifre
Stati adottati oltre 606 provvedimenti collegiali.
L'Autorità ha fornito riscontro a 4.185 tra quesiti, reclami e segnalazioni con specifico riferimento alle seguenti aree tematiche: telefonia, centrali rischi, centrali rischi, videosorveglianza, rapporti di lavoro, giornalismo.
Sono stati decisi 222 ricorsi, inerenti soprattutto a banche e società finanziarie, datori di lavoro pubblici e privati, attività di marketing, compagnie di assicurazione, operatori telefonici e telematici.
I pareri resi dal Collegio al Governo e Parlamento sono stati 22 ed hanno riguardato, in particolare, l'informatizzazione delle banche dati della Pa, l'attività di polizia e sicurezza nazionale, la formazione.
Sono state effettuate 411 ispezioni (+4% rispetto al 2012), che hanno riguardato diversi settori: call center e telefonate promozionali indesiderate; banche dati del fisco; credito al consumo e "centrali rischi"; sistema informativo dell'Inps; nuovi strumenti di pagamento elettronico gestiti dalle compagnie telefoniche (mobile payment); violazioni delle banche dati dei gestori tlc (data breaches).
Le violazioni amministrative contestate sono state 850, in aumento rispetto all'anno precedente (578): una parte consistente ha riguardato il trattamento illecito dei dati, legato principalmente al telemarketing e all'uso dei dati personali senza consenso; all'omessa o inadeguata informativa agli utenti; alla conservazione eccessiva dei dati di traffico telefonico e telematico; alla mancata adozione di misure di sicurezza; all'omessa o mancata notificazione al Garante; all'inosservanza dei provvedimenti dell'Autorità.

Le sanzioni amministrative riscosse ammontano a oltre 4 milioni di euro.
Le violazioni segnalate all'autorità giudiziaria sono state 71, in particolare per mancata adozione di misure minime di sicurezza a protezione dei dati. L'attività di relazione con il pubblico è aumentata rispetto all'anno precedente: si è dato riscontro a oltre 31.000 quesiti, che hanno riguardato, in particolare, le problematiche legate alle telefonate indesiderate, a Internet, alla pubblicazione di documenti da parte della Pa, alla videosorveglianza, al rapporto di lavoro.

L'attività internazionale
Non meno rilevante l'attività del Garante a livello internazionale, a partire da quella svolta nel Gruppo delle Autorità per la privacy europee (Gruppo Articolo 29) riguardo ai numerosi pareri e documenti adottati (cookies, app per telefonia mobile, sistemi di misurazione "intelligenti" nel settore energetico, open data, droni, data breach, anonimizzazione dei dati, cloud computing, clausole contrattuali per le multinazionali, etc.) o alle iniziative assunte, come quella nei confronti di Google.
I Garanti europei si sono occupati del nuovo Regolamento in materia di protezione dati che sostituirà la Direttiva del 1995 e della Direttiva che dovrà disciplinare il trattamento di dati per finalità di giustizia e di polizia.
In quest'ambito, l'Autorità italiana ha seguito costantemente il dibattito sulla revisione del quadro normativo europeo, in particolare partecipando quale esperto tecnico alle riunioni del competente Gruppo di lavoro (DAPIX) del Consiglio dell'Unione europea.
Da ricordare anche l'attività del Garante italiano per il Consiglio d'Europa, che sta rivedendo la Convenzione del 1981 sulla protezione dei dati, nonché quella svolta in seno ad altri gruppi di lavoro (anche OCSE).
Intenso infine il lavoro svolto nell'ambito delle Autorità di controllo Schengen, Europol, Eurodac.

FONTE : http://www.garanteprivacy.it




24 maggio 2016 : entrato in vigore il Nuovo Regolamento Europeo sulla Privacy

Il 4 maggio 2016, sono stati pubblicati sulla Gazzetta Ufficiale dell'Unione Europea (GUUE) i testi del Regolamento europeo in materia di protezione dei dati personali e della Direttiva che regola i trattamenti di dati personali nei settori di prevenzione, contrasto e repressione dei crimini.
Si tratta del passaggio finale per l'entrata in vigore del nuovo "Pacchetto protezione dati", l'insieme normativo che definisce un quadro comune in materia di tutela dei dati personali per tutti gli Stati membri dell'UE.
Il Regolamento sarà vigente 20 giorni dopo la pubblicazione in GUUE, per diventare definitivamente applicabile in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018, quando dovrà essere garantito il perfetto allineamento fra la normativa nazionale e le disposizioni del Regolamento.
Il documento sul nuovo regolamento europeo sulla protezione dei dati - privacy UE 2016/679 è disponibile [ click qui ] per la sua visione.


Punti fondamentali del Nuovo Regolamento Europeo sono :

  • 1) Viene introdotto il principio dell’applicazione del diritto dell’Unione Europea anche ai trattamenti di dati personali non svolti nell’UE, se relativi all’offerta di beni o sevizi a cittadini UE o tali da comportare il monitoraggio dei comportamenti di cittadini UE.
  • 2) L'istituzione di una nuova figura in azienda, il “Privacy Officer”. Una delle principali novità presentate è che le Aziende con più di 250 dipendenti/collaboratori e tutti i soggetti pubblici, dovranno istituire una figura specifica (denominata ”Privacy Officer” o “Responsabile della Protezione dei dati”).
  • 3) Ruolo proattivo dell’Azienda. Il Titolare del trattamento dovrà adottare politiche ed attuare misure adeguate per garantire ed essere in grado di dimostrare che il trattamento dei dati personali effettuato è conforme (fin dalla fase embrionale) a tutte le disposizioni del Regolamento.
  • 4) Aumento delle sanzioni in caso di violazioni.
  • 5) Principio della “Privacy by design”. Messa in atto di meccanismi per garantire che siano trattati da subito solo i dati personali necessari per ciascuna finalità specifica del trattamento.
  • 6) Valutazione degli impatti privacy fin dalla progettazione del processo aziendale e degli applicativi informatici di supporto, quello che viene definito Privacy Impact Assessment.
  • 7) Obbligo di documentazione. È il principio di rendicontazione (o, ancora meglio, principio della c.d. “accountability”), secondo cui il Titolare del trattamento deve conservare la documentazione di tutti i trattamenti effettuati sotto la propria responsabilità indicando obbligatoriamente – per ognuno di essi – una serie “nutrita” di informazioni, tali da assicurare e comprovare – per ciascuna operazione – la conformità alle disposizioni del Regolamento.
  • 8) Obbligo di analisi dei rischi compresi quelli informatici circa la sicurezza dei dati. Ovvero la messa in atto di una previa valutazione dei rischi, per proteggere i dati personali dalla distruzione accidentale o illegale o dalla perdita accidentale e per impedire qualsiasi forma illegittima di trattamento.
  • 9) Obblighi di segnalazione di violazione sui dati personali.
  • 10) Introduzione del “Diritto alla portabilità del dato”, ovvero il riconoscimento sia del diritto dell’interessato a trasferire i propri dati (es. quelli relativi al proprio “profilo utente”) da un sistema di trattamento elettronico (es. Social Network) ad un altro (senza che il Titolare possa impedirlo) sia del diritto di ottenere gli stessi in un formato elettronico strutturato e di uso comune che consenta di farne ulteriore uso.
  • 11) Diritto all’oblio e gestione della conservazione del dato. Secondo questo impianto – nato per regolare la diffusione del dato nella “rete” – l’interessato ha il diritto di ottenere dal Titolare del trattamento la cancellazione totale dei dati personali che lo riguardano e la rinuncia a una loro ulteriore diffusione. Per rafforzare il “diritto all’oblio” nell’ambiente on-line, il Titolare che ha pubblicato dati personali, potrà essere obbligato ad informare i terzi (che trattano i medesimi dati), della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali. Per garantire tale diritto, è necessario che il Titolare del trattamento prenda tutte le misure ragionevoli, anche di natura tecnica, in relazione ai dati della cui pubblicazione è responsabile.


Approfondisci l'argomento privacy qui : Dal DPS al GDPR (Modello Organizzativo Privacy Ue 2016/679)
Approfondisci l'argomento ANALISI DEI RISCHI INFORMATICI qui : Servizio di Analisi dei Rischi Informatici

  Perchè attendere ? Richiedi subito un Preventivo GRATUITO :