LE TUE DIFESE DAI PERICOLI INFORMATICI

Visita questa pagina per approfondire.

Sopralluogo

I nostri tecnici saranno lieti di effettuare una visita presso la Vostra Azienda, per conoscere la vostra infrastruttura IT e verificare l'attuale livello di sicurezza informatica.
E' possibile, in alternativa alla presenza sul posto, procedere comunque grazie al nostro servizio offerto da Remoto.
[ Approfondisci ]

Tutela

L'Analisi dei Rischi Informatici viene effettuata nel pieno rispetto dei principi di tutela delle persona, delle norme poste a tutela della libertà e dignità dei lavoratore, e di tutte le normative vigenti in materia di Privacy e Sicurezza dei Luoghi di Lavoro.
[ Approfondisci ]

Analisi

L'Analisi dei Rischi Informatici viene eseguita con i migliori strumenti che la moderna tecnologia ci offre. I programmi utilizzati per l’Analisi dei Rischi non costituiscono alcun pericolo per la rete informatica aziendale e vengono attentamente scansionati alla ricerca di virus prima del loro utilizzo.
[ Approfondisci ]

Sicurezza

L’analisi dei rischi informatici vi permette di mettere in sicurezza la vostra azienda ed è da considerarsi un valore aggiunto per la tutela della salute dei lavori, sia essa legata allo stress lavorativo dovuto all’utilizzo di macchine non idonee al carico di lavoro, sia essa legata alla loro salute fisica.
[ Approfondisci ]


  Il nostro studio di informatica forense è aperto da 18 anni !

informatica in azienda 5 stelle su google

Vuoi essere sempre informato sui pericoli informatici?
Scarica la nostra App :
allerta pericoli informatici su google play allerta pericoli informatici su apple store
analisi dei rischi informatici

Sicurezza Informatica per difesa da minacce e pericoli.
Consulta il nostro MOTORE DI RICERCA INFORMATICA LEGALE

Mettiamo a disposizione dei nostri visitatori un potente Motore di Ricerca di termini appartenenti all'informatica legale per aiutarvi a trovare una risposta veloce a tutti quesiti informatici sulla privacy, sulla sicurezza, sui rischi informatici e la tutela dei vostri diritti su internet. Per iniziare una ricerca fare click sul testo nel BOX QUI SOTTO con dicitura "Ricerca Personalizzata" ed inserire un termine di ricerca. Poi premere invio da tastiera o l'icona con la lente.

analisi dei rischi informatici

Tutti (
)
Aspetti Legali (
)
Furti e Truffe (
)
Localizzazione (
)
Guide Utili (
)
copia autentica pagina web
VAI ALLA PAGINA
Copia Autentica Pagina Web
Autenticazione o copia conforme con valore legale di una pagina web [ approfondisci ]
denuncia per diffamazione su internet
VAI ALLA PAGINA
Denuncia per Diffamazione
Supporto e raccolta di prove informatiche con valore legale per effettuare una denuncia per diffamazione su internet [ approfondisci ] .
denuncia per appropriazione indebita immagini
VAI ALLA PAGINA
Appropriazione Immagini
In questa sezione vi indichiamo quali strade percorrere per diffidare l'autore del furto di immagini e denunciarlo [ approfondisci ]
furto casella di posta elettronica
VAI ALLA PAGINA
Furto casella di posta
Furto casella di posta elettronica o accesso abusivo account email : cosa fare ? [ approfondisci ]
estorsione o ricatto sessuale online
VAI ALLA PAGINA
Ricatto Sessuale
Offriamo assistenza nei casi di estersione sessuale o ricatti sessuali online [ approfondisci ]
Furto di Identità : cosa fare
VAI ALLA PAGINA
Furto di Identità : cosa fare ?
Tutto quello che occorre sapere in caso di furto di identità [ approfondisci ]
Localizzare tramite ip una persona
VAI ALLA PAGINA
Localizzare tramite ip una persona
Vi indichiamo quali strade percorrere per individuare l'indirizzo ip del vostro interlocutore su chat o social o email [ approfondisci ]
rimozione di recensioni negative
VAI ALLA PAGINA
Rimozioni recensioni negative
Rimozioni di recensioni online negative, offensive o comunque inappropriate [ approfondisci ]
I segreti della Truffa online
VAI ALLA PAGINA
I segreti della Truffa online
Offriamo un aiuto a tutti coloro che sono stati vittima di una truffa online [ approfondisci ]
Non riesco ad accedere al mio account
VAI ALLA PAGINA
Aiuto per accesso Account
un aiuto a tutti coloro che NON RIESCONO AD ACCEDERE AL LORO ACCOUNT [ approfondisci ]
Come trovare indirizzo ip di chi ha violato il mio account
VAI ALLA PAGINA
Come trovare indirizzo ip di chi ha violato il mio account
Rimozioni di recensioni online negative, offensive o comunque inappropriate [ approfondisci ]
Disattivare e riattivare tutti gli account su internet
VAI ALLA PAGINA
Disattivare e riattivare Account
Disattivare e riattivare tutti gli account su internet [ approfondisci ]




Elenco dei principali termini collegati ai rischi informatici

Il rischio informatico può essere definito come il rischio di danni economici (rischi diretti) e/o di reputazione (rischi indiretti) derivanti dall’uso delle tecnologie. I danni economici si sviluppano su tre assi : interruzione (danno per interruzione di un servizio), distorsione (danno per diffusione di informazioni errate che compromettono la fiducia e l'integrità delle informazioni stesse) e deterioramento (danni per la perdita di dati).

 

Desideri proteggere te stesso ed i tuoi cari dai pericoli informatici ? Vuoi tutelarti delle frodi online, degli attacchi di virus e malware e attivarti sempre in anticipo sui pericoli della rete che vi elenchiamo qui sotto ? Vuoi navigare in tutta sicurezza sui social network ? Il tuo account è sicuro e ben protetto ? Hai bisogno si supporto per gli aspetti legali legati al web ?

 

Ora hai un valido aiuto con il nostro blog di Allerta Pericoli Informatici [ ENTRA ]
allerta pericoli informatici


Segue un elenco non esaustivo dei principali termini collegati ai rischi informatici in ordine alfabetico accompagnati da una breve descrizione che permette di comprenderne il significato :


  • - Adware e Spyware. Con "adware" consideriamo qualsiasi software progettato per tracciare i dati delle tue abitudini di navigazione e, sulla base di ciò, mostrarti pubblicità e pop-up. L'adware raccoglie i dati con il tuo consenso - ed è persino una fonte di reddito legittima per le aziende che consentono agli utenti di provare il proprio software gratuitamente, ma con pubblicità mostrate durante l'utilizzo del software. La clausola adware è spesso nascosta nei relativi documenti dell'accordo con l'utente, ma può essere verificata leggendo attentamente tutto ciò che si accetta durante l'installazione del software. La presenza di adware sul tuo computer è evidente solo in quei pop-up e talvolta può rallentare il processore del computer e la velocità della connessione Internet. Quando l'adware viene scaricato senza consenso, viene considerato dannoso. Lo spyware funziona in modo simile all'adware, ma è installato sul tuo computer a tua insaputa. Può contenere keylogger che registrano informazioni personali tra cui indirizzi e-mail, password, anche numeri di carta di credito, rendendolo pericoloso a causa dell'elevato rischio di furto di identità. [ per rimozione adware e spyware click qui ]

  • - APT Threats o Minacce APT. Gli APT (Advanced Persistent Threats) sono una forma di attacco informatico in cui un codice attaccante non autorizzato entra in una rete di sistemi ignari e rimane lì per un lungo periodo senza essere rilevato. Invece di infliggere danni a questi sistemi, gli APT rimangono in silenzio, rubando informazioni finanziarie e altre informazioni critiche sulla sicurezza. Gli APT utilizzano una varietà di tecniche per ottenere l'accesso iniziale, inclusi malware, kit di exploit e altri mezzi sofisticati. Una volta scoperte le credenziali di accesso, gli APT possono scansionare e infettare parti più profonde del sistema infetto, compromettendo inevitabilmente tutte le forme di dati e navigando facilmente tra le reti connesse. Mentre queste forme di attacco sono difficili da rilevare, ci sono alcuni indicatori chiave che gli amministratori di sistema possono notare per aiutare a identificare e contrastare gli APT, inclusa la ricerca di schemi insoliti nell'attività di rete o grandi quantità di accesso ai dati, al di fuori del normale intervallo di lavoro per l'azienda. Inoltre, i professionisti IT possono migliorare la difesa segmentando la rete per isolare i dati critici, utilizzare gli honeypot per intercettare gli attacchi interni e utilizzare le white list specifiche dell'applicazione per limitare l'accesso ai dati solo alle poche applicazioni che dovrebbero essere consentite.

 

- Attacchi BEC (Business E-mail Compromise) che colpiscono la posta elettronica aziendale. Un attacco BEC è una campagna mirata dei cybercriminali che impiega le seguenti tattiche: intraprendere uno scambio di e-mail con un dipendente della compagnia di interesse, o prendere il controllo di un account già esistente; guadagnarsi la fiducia di un dipendente grazie all’ingegneria sociale; incoraggiare azioni che vanno contro gli interessi dell’azienda o dei suoi clienti. Di solito tali azioni hanno a che vedere con il trasferimento di fondi sui conti dei cybercriminali o l’invio di file riservati. Le e-mail inviate dai criminali non contengono link o allegati dannosi ma i cybercriminali provano a ingannare il client di posta (e di conseguenza il destinatario) affinché sembri una normale e-mail


  • - Botnet. Le botnet sono potenti reti di macchine compromesse che possono essere controllate a distanza e utilizzate per lanciare attacchi su vasta scala, a volte perfino milioni di computer Zombie. Le botnet sono controllate da reti di comando e controllo (C&C), gestite da un hacker. Possono essere utilizzati per lanciare attacchi DDOS (Distributed Denial of Service), per rendere un sito Web di destinazione così occupato da non poter elaborare richieste legittime. In effetti, a volte gli attacchi DDOS sono in grado di bloccare completamente il sito di destinazione ed hanno termine solo se il proprietario del sito Web di destinazione paga un riscatto. Le botnet possono anche essere utilizzate per attaccare sistemi sicuri, con ogni bot che opera a bassa frequenza di attacco per eludere il rilevamento per poi sferrare un attacco a forza bruta tramite un successivo approccio cooperativo. La prima difesa contro le botnet è impedire alle proprie macchine di diventare "Zombi" di botnet, utilizzando tecniche per prevenire l'infezione da worm e virus, incluso l'uso di software antivirus e l'aggiornamento del software del sistema operativo. Ma anche se tutte le macchine di una azienda sono tenute pulite, i malcapitati possono essere attaccati egualmente ed esternamente avendo come bersaglio il loro web server o la loro infrastruttura. A causa delle dimensioni, in questo caso la difesa richiede un approccio cooperativo che includa la collaborazione con l'ISP, i fornitori di software di sistema e le forze dell'ordine.

  • - Computer worm. I worm per computer sono pezzi di programmi malware che si replicano rapidamente e si diffondono da un computer all'altro. Un worm si diffonde da un computer infetto inviandosi a tutti i contatti del computer, quindi immediatamente ai contatti degli altri computer. È interessante notare che non sono sempre progettati per causare danni; ci sono worm creati solo per diffondersi. La trasmissione di worm viene spesso eseguita sfruttando le vulnerabilità del software.[ per rimozione adware e spyware click qui ]

  • - Connected Cars Attacks o Attacchi alle auto connesse. Un'auto connessa utilizza sensori di bordo per ottimizzare il proprio funzionamento e il comfort dei passeggeri. Ciò avviene in genere tramite l'integrazione integrata, tethered o smartphone. Con l'evoluzione della tecnologia, l'auto connessa sta diventando sempre più diffusa. Per gli hacker, questa evoluzione nella produzione e nella progettazione di automobili rappresenta un'ulteriore opportunità per sfruttare le vulnerabilità nei sistemi non sicuri e rubare dati sensibili e / o danneggiare i conducenti. Oltre ai problemi di sicurezza, le auto connesse pongono serie preoccupazioni per la privacy.

  • - Cryptojacking. Con l'aumento della popolarità del mining di criptovaluta, gli hacker hanno trovato modi ingegnosi di utilizzare risorse hardware da vittime ignare per il loro guadagno finanziario. Ingannando le loro vittime nel caricare codici di mining sui loro computer, gli hacker possono utilizzare le risorse di elaborazione della CPU del loro obiettivo per estrarre criptovaluta, con un impatto significativo sulle prestazioni dei loro sistemi. Senza comprendere la causa di questi rallentamenti delle prestazioni, le aziende possono sostenere costi reali cercando di reperire soluzioni di prestazioni o sostituire l'hardware di sistema per risolvere i problemi. Per difendersi da questi attacchi di risorse dannose, i team IT dovrebbero disporre di metodi per monitorare e diagnosticare continuamente l'utilizzo della CPU e avvisare dei cambiamenti nel tempo. Gli attacchi di crittografia sono simili a worm e virus, tranne per il fatto che l'obiettivo finale è rubare le risorse della CPU per non corrompere i dati. Pertanto, sono necessarie le stesse misure preventive degli altri attacchi di malware.

  • - Deepfake. Il deepfake è una tecnica molto avanzata che, sfruttando l’intelligenza artificiale grazie a software sofisticati, permette di sovrapporre il volto di una persona a quello di un’altra in un video e replicare esattamente il timbro di voce del personaggio facendogli dire le cose che si vuole fargli dire. Vengono così create sequenze manipolate talmente accurate che, a occhio nudo, è impossibile capire si tratti di un falso. [ Per rimozione deepfake click qui ]

  • - DDoS o DoS attacks .Un attacco DoS è un sovraccarico di traffico dannoso che si verifica quando gli aggressori sovraccaricano un sito Web con un traffico elevato e continuo. Quando un sito Web ha troppo traffico non è più in grado di offrire il suo contenuto ai visitatori. Un attacco DoS viene eseguito da una macchina e dalla sua connessione Internet, inondando un sito Web di pacchetti e rendendo impossibile per gli utenti legittimi accedere al contenuto del sito Web coinvolto. Un attacco DDoS o attacco denial-of-service distribuito è simile a DoS, ma è più efficace. È più difficile superare un attacco DDoS. Viene lanciato da diversi computer e il numero di computer coinvolti può variare da un paio a migliaia o anche di più. Poiché è probabile che non tutte queste macchine appartengano all'attaccante, vengono compromesse e aggiunte alla rete dell'attaccante, dal malware. Questi computer possono essere distribuiti in tutto il mondo e quella rete di computer compromessi si chiama botnet. Poiché l'attacco proviene da così tanti indirizzi IP diversi contemporaneamente, un attacco DDoS è molto più difficile da individuare e da difendere per chi ne è vittima.

  • - Drive-by Download Attacks. Un download drive-by è una forma di attacco che consente di scaricare codice dannoso da un sito Internet attraverso un browser, un'app o un sistema operativo integrato senza alcuna azione da parte dell'utente. Questi URL sono progettati per apparire e comportarsi come veri e propri siti Web, ma in realtà rappresentano un terreno fertile per diversi tipi di codice dannoso nella speranza che uno di essi riesca a superare la sicurezza del sistema. Mantenere il browser aggiornato è uno dei modi migliori per aiutare a identificare questi siti dannosi prima di visitarli. Puoi anche utilizzare uno strumento di ricerca sicuro, progettato per filtrare potenziali minacce e assicurarti di non essere in grado di accedervi.

  • - Hacker - Un hacker informatico è qualsiasi esperto di computer che utilizza le proprie conoscenze tecniche in modo brillante. Se lo fa per scopi dannosi, la persona può anche essere definita un cracker. Nella cultura popolare il termine "hacker" è tuttavia utilizzato in senso negativo come per riferisi ad un criminale informatico in grado di sovvertire la sicurezza di un sistema con le sue conoscenze tecniche, utilizzando bug o exploit ed agendo, appunto, contro la legge. In realtà esistono molti hacker etici che valutano lo stato di sicurezza di un sistema e promuovo la cultura della sicurezza nel mondo.

  • - IoT Attacks - L'Internet of Things sta diventando sempre più onnipresente di giorno in giorno (il numero di dispositivi collegati all'IoT dovrebbe raggiungere i 75 miliardi entro il 2025). Comprende laptop e tablet, ovviamente, ma anche router, webcam, elettrodomestici, smartwatch, dispositivi medici, apparecchiature di produzione, automobili e persino sistemi di sicurezza domestica. I dispositivi connessi sono utili per i consumatori e molte aziende ora li usano per risparmiare denaro raccogliendo immense quantità di dati approfonditi e semplificando i processi aziendali. Tuttavia, un numero maggiore di dispositivi connessi comporta un rischio maggiore, rendendo le reti IoT più vulnerabili alle invasioni e alle infezioni informatiche. Una volta controllati dagli hacker, i dispositivi IoT possono essere utilizzati per creare caos, sovraccaricare le reti o bloccare le attrezzature essenziali per un guadagno finanziario. [ per conoscere come proteggere le case intelligenti click qui ]

  • - Kit di exploit. Sono kit indipendenti e venduti sul dark web. Si prevede che l'attacco funzioni in più fasi a partire da una scansione del sistema dell'utente una volta che si accede a una pagina di destinazione. Se vengono rilevate vulnerabilità, il sito Web compromesso devia quindi il traffico Web verso un exploit e infine il payload dannoso. I kit di exploit sono progettati per essere discreti, quindi scoprirli mentre vengono eseguiti richiede le stesse tecniche utilizzate per difendersi da altre fonti di worm e virus. Le soluzioni software comprendono sistemi antivirus e di prevenzione delle intrusioni e le "soluzioni umane" includono la formazione anti-phishing per gli utenti.

  • - Malware Il termine malware è una contrazione di "software dannoso". È un termine generico per qualsiasi numero di programmi dannosi che infettano il tuo sistema con l'intento di corrompere o rubare i tuoi dati. Potrebbe essere un trojan, worm, virus, spyware. o ransomware. Viene quasi sempre introdotto nel sistema tramite un allegato di posta elettronica o un download non sicuro. Questo avviene spesso attraverso un sito attendibile, al fine di indurti a permetterlo tramite il tuo software antivirus. Il malware rappresenta una delle più grandi e prolifiche minacce alla sicurezza informatica. Quando proteggi la tua azienda da un attacco di malware, la vigilanza degli utenti è fondamentale. Il malware si trova su Internet, ma prevalentemente non può infettare il dispositivo a meno che non lo si permetta. Ad esempio, il malware ti chiederà di aprire un'e-mail o di scaricare un file. È fondamentale che i dipendenti siano vigili e informati quando si tratta di allegati dall'aspetto sospetto. Quando si tratta di minacce alla sicurezza informatica, l'istruzione e la consapevolezza sono fondamentali, facendo una grande differenza per il livello di rischio a cui ci si espone. [ per rimozione malware click qui ]

  • - Man-in-the-middle attacks o Attacchi man-in-the-middle. Gli attacchi man-in-the-middle sono attacchi di sicurezza informatica che consentono all'attaccante di intercettare la comunicazione tra due bersagli. Comunicazione che, in normali condizioni, dovrebbe essere privata. Ad esempio, un attacco man-in-the-middle si verifica quando l'attaccante vuole intercettare una comunicazione tra la persona A e la persona B. La persona A invia la sua chiave pubblica alla persona B, ma l'attaccante la intercetta e invia un messaggio contraffatto a persona B, rappresentandosi come A, ma invece ha la chiave pubblica degli aggressori. B ritiene che il messaggio provenga dalla persona A e crittografa il messaggio con la chiave pubblica degli aggressori, lo rispedisce ad A, ma l'attaccante intercetta nuovamente questo messaggio, apre il messaggio con chiave privata, eventualmente lo altera e lo ricodifica usando chiave pubblica inizialmente fornita dalla persona A. Ancora una volta, quando il messaggio viene trasferito nuovamente alla persona A, credono che provenga dalla persona B, e in questo modo abbiamo un attaccante nel mezzo che intercetta la comunicazione tra due bersagli. Ecco alcuni dei tipi di attacchi MITM: Spoofing DNS, Spoofing HTTPS, Spoofing IP, Spoofing ARP, Dirottamento SSL, Hacking Wi-Fi [ per richiedere assistenza dopo frode bancaria tramite la tecnica man-in-the-middle click qui ]

  • - Nudefake. Il nudefake è una tecnica di editing computerizzata che grazie a software sofisticati, permette di “svelare” in modo artefatto, a partire da una foto di una persona il suo corpo nudo compreso delle parti intime. Vengono così create immagini manipolate talmente accurate che, a occhio nudo, è impossibile capire si tratti di un falso. La tecnologia applicata si chiama GAN (rete generativa avversaria) ed è in grado di generare un’immagine di nudo il più realistica possibile con proporzioni, ombre, luci e creazione, pixel dopo pixel, di una nuova foto. Come base basta un’immagine qualunque, ma quando si arriva alle parti coperte il programma ‘spoglia’ il soggetto e ne ricostruisce da zero anche le parti intime. [ per rimozione nudefake click qui ]

  • - Phishing. Il phishing è un metodo di ingegneria sociale con l'obiettivo di ottenere dati sensibili come password, nomi utente, numeri di carte di credito. Gli attacchi si presentano spesso sotto forma di messaggi istantanei o e-mail di phishing progettati per apparire legittimi. Il destinatario dell'e-mail viene quindi indotto ad aprire un collegamento dannoso, che porta all'installazione di malware sul computer del destinatario. Può anche ottenere informazioni personali inviando un'e-mail che sembra essere inviata da una banca, chiedendo di verificare la tua identità fornendo i tuoi dati personali. [ per prevenire il phishing click qui ]

  • - Ramsonware. Tra tutte le ultime minacce alla sicurezza informatica che sono state scoperte nel corso degli anni, nessuna crea tanta paura e incertezza quanto gli attacchi ransomware. Il 67% delle aziende attaccate dal ransomware ha perso in modo permanente parte o tutti i dati dell'azienda. Infettando i sistemi di database sicuri, crittografando i dati e minacciando la cancellazione o la corruzione dei file a meno che non venga pagato un forte riscatto, il ransomware è una forma molto pericolosa di malware. Il massiccio aumento del ransomware è stato innescato dalla creazione di criptovalute come Bitcoin, che consente alle richieste di riscatto di essere pagate in modo anonimo. Poiché il ransomware è una forma di malware, sono necessarie le stesse strategie difensive: software antivirus, aggiornamento del software con le ultime patch di sicurezza e formazione dei dipendenti per riconoscere gli attacchi di phishing. Ma c'è una protezione aggiuntiva che è essenziale: ridurre l'impatto di una perdita di dati con una strategia di recupero di backup o mantenendo i dati in più posizioni replicate. In questo modo, l'azienda può continuare senza interruzioni, senza la necessità di pagare un riscatto.

  • - Reputation Management o gestione della Reputazione . La nostra società, Informatica in Azienda diretta dal Dott. Emanuel Celano, è in grado di offrirvi il Migliore Servizio di Monitoraggio sul web per tutelare la vostra reputazione personale e/o aziendale. E' il migliore perchè non si avvale solo degli strumenti tecnologici, necessari ma non sufficienti. E' gestito e supervisionato da veri operatori che riescono a cogliere significati, dati e sfumature in modo più preciso ed affidabile di una macchina. Una ricerca sulla vostra reputazione può fornirvi 30 falsi positivi ed un solo dato significativo. Noi elaboriamo unicamente quest'ultimo e lo facciamo rapidamente poiché il nostro team di monitoraggio è composto da esseri umani al vostro servizio anche 24h se necessario. [ per tutelare la vostra reputazione click qui ]

  • - Rogue security software o Software di sicurezza non autorizzato. Sfruttando la paura dei virus informatici, i truffatori hanno trovato un nuovo modo di commettere frodi su Internet. I software di sicurezza non autorizzati sono software dannosi che inducono gli utenti a credere che sul loro computer sia installato un virus o che le loro misure di sicurezza non siano aggiornate. Quindi offrono di installare o aggiornare le impostazioni di sicurezza degli utenti. Ti chiederanno di scaricare il loro programma per rimuovere i presunti virus o di pagare uno strumento. Entrambi i casi portano all'installazione di malware reali sul tuo computer. [ per richiedere un'analisi di un computer click qui ]

  • - Rootkit. Rootkit è una raccolta di strumenti software che consente il controllo remoto e l'accesso a livello amministrativo su un computer o su reti di computer. Una volta ottenuto l'accesso remoto, il rootkit può eseguire una serie di azioni dannose; sono dotati di keylogger, ladri di password e disabilitanti antivirus. I rootkit vengono installati nascondendosi in un software legittimo: quando dai l'autorizzazione a quel software per apportare modifiche al tuo sistema operativo, il rootkit si installa sul tuo computer e attende che l'hacker lo attivi. Altri modi di distribuzione di rootkit includono e-mail di phishing, collegamenti malevoli, file e download di software da siti Web sospetti. [ per richiedere un'analisi di un computer click qui ]

  • - Sextortion o Ricatto Sessuale. Sextortion definisce tre modalità di estorsione o ricatto sessuale presenti sul web : a) il ricatto sessuale tramite email, chiamato anche porno ricatto - b) il ricatto sessuale dopo attacco diretto alla vostra videocamera del telefono, alla webcam del computer o all'impianto di videosorveglianza domestico, chiamato anche ricatto sessuale dopo violazione di accesso - c) il ricatto sessuale dopo videochat con una ragazza, chiamato anche ricatto sessuale in chat [ per difendersi dalle estorsioni o ricatti sessuali click qui ]

 

- Spoofing. Lo spoof delle email è una tecnica di falsificazione del mittente e consiste nella creazione di mail con indirizzo del mittente contraffatto al fine di ingannare il destinatario circa l’origine del messaggio stesso. Condizioni ideali per poter inviare una email di spoofing sono : SPF con valore "all", DKIM inesistente, DMARC inesistente, Sistema di filtraggio inesistente.


  • - Smart Medical Devices and Electronic Medical Records (EMRs) Attacks o Attacchi ai dispositivi medici intelligenti e cartelle cliniche elettroniche (EMR) - Il settore sanitario sta ancora attraversando una grande evoluzione poiché la maggior parte delle cartelle cliniche dei pazienti sono ora online e i professionisti medici realizzano i vantaggi dei progressi nei dispositivi medici intelligenti. Tuttavia, poiché l'industria della sanità si adatta all'era digitale, ci sono una serie di preoccupazioni riguardo alle minacce alla privacy e alla sicurezza informatica. I dati e le informazioni dei pazienti saranno sempre più vulnerabili. Ancora più preoccupante è il rischio di compromissione a distanza di un dispositivo collegato direttamente a un paziente. Un attaccante potrebbe teoricamente aumentare o diminuire i dosaggi, inviare segnali elettrici a un paziente o disabilitare il monitoraggio dei segni vitali. Con gli ospedali e le strutture mediche ancora in fase di adattamento alla digitalizzazione delle cartelle cliniche dei pazienti, gli hacker stanno sfruttando le numerose vulnerabilità nelle loro difese di sicurezza. E ora che le cartelle cliniche dei pazienti sono quasi interamente online, sono un obiettivo primario per gli hacker che possono ricattare le persone a causa delle informazioni sensibili che contengono.

  • - SQL Injection attack o Attacco SQL Injection. Gli attacchi SQL injection sono progettati per colpire le applicazioni web basate sui dati sfruttando le vulnerabilità della sicurezza nel software dell'applicazione. Usano codice dannoso per ottenere dati privati, modificarli e persino distruggerli e possono arrivare fino a annullare le transazioni sui siti Web. È rapidamente diventato uno dei problemi di privacy più pericolosi per la riservatezza dei dati.

  • - Trojan horse o Cavallo di Troia. Metaforicamente, un "cavallo di Troia" si riferisce all'inganno di invitare un attaccante in un'area protetta in modo sicuro. Nell'informatica, ha un significato molto simile: un cavallo di Troia, o "Trojan", è un codice o software di attacco che induce gli utenti a eseguirlo volontariamente, nascondendosi dietro un programma legittimo. Si diffondono spesso via e-mail; può provenire da una e-mail di qualcuno che conosci e quando fai clic sull'e-mail e sul suo allegato incluso, hai immediatamente scaricato malware sul tuo computer. I trojan si diffondono anche quando si fa clic su un annuncio falso. Una volta all'interno del tuo computer, un cavallo di Troia può registrare le tue password registrando i tasti, dirottando la tua webcam e rubando tutti i dati sensibili che potresti avere sul tuo computer.[ per richiedere un'analisi di un computer click qui ]

  • - Virus Informatici. I virus informatici sono una delle minacce più comuni alla sicurezza informatica. Le statistiche mostrano che circa il 33% dei computer domestici è affetto da un qualche tipo di malware, più della metà dei quali sono virus. I virus informatici sono pezzi di software progettati per essere diffusi da un computer all'altro. Vengono spesso inviati come allegati di posta elettronica o scaricati da siti Web specifici con l'intenzione di infettare il computer e altri computer nell'elenco dei contatti utilizzando i sistemi sulla rete. È noto che i virus inviano spam, disabilitano le impostazioni di sicurezza, corrompono e rubano dati dal computer, comprese informazioni personali come password, arrivando persino a eliminare tutto sul disco rigido del dispositivo sia esso un computer, tablet o smartphone.[ per richiedere un'analisi di un computer click qui ]


Ultimo rapporto CLUSIT 2020 sui crimini informatici in Italia

Rispetto al 2018, in termini assoluti nel 2019 il numero maggiore di attacchi gravi si osserva verso le categorie “Multiple Targets” (+29,9%), “Online Services / Cloud” (+91,5%) ed “Healthcare” (+17,0%), seguite da “GDO/Retail” (+28,2%), “Others” (+76,7%), “Telco” (+54,5%) e “Security Industry” (+325%). Mentre nel triennio 2017-2019 il numero di attacchi gravi che abbiamo analizzato è cresciuto del +48% (da 1.127 a 1.670 all’anno), la crescita registrata nel triennio 2014-2016 era stata “solo” del +20% (da 873 a 1.050), ovvero nell’ultimo triennio il tasso di crescita del numero di attacchi gravi è più che raddoppiato rispetto al triennio precedente. Non solo, la valutazione della Severity media di questi attacchi (indice che abbiamo introdotto dal 2017) nei confronti di alcune categorie di vittime è contestualmente peggiorata, agendo da moltiplicatore dei danni. Questi trend avvalorano la nostra convinzione che sia avvenuto un vero e proprio cambiamento epocale nei livelli globali di cyber-insicurezza, causato dall’evoluzione rapidissima degli attori, delle modalità, della pervasività e dell’efficacia degli attacchi. Il numero di attacchi rilevati nel 2019 segna una differenza del +37,5% rispetto alla media degli attacchi per anno degli ultimi 6 anni (1.214). Complessivamente, rispetto al 2018, il numero di attacchi gravi che abbiamo raccolto da fonti pubbliche per il 2019 cresce del +7,6%. In termini assoluti, nel 2019 la categoria “Cybercrime” fa registrare il numero di attacchi più elevato degli ultimi 9 anni, con una crescita del +162% rispetto al 2014 (1383 contro 526). Dal campione emerge chiaramente che, mentre le attività riferibili ad attacchi della categoria “Hacktivism” diminuiscono ancora sensibilmente (-21,3%) rispetto al 2018, nel 2019 sono in ulteriore aumento gli attacchi gravi compiuti per finalità di “Cybercrime” (+12,3%), mentre rimangono stabili quelli riferibili ad attività di “Cyber Espionage” (+0,5%) e sembrano diminuire quelli appartenenti alla categoria “Cyber Warfare” (-37,5%). Va sottolineato che, rispetto al passato, oggi risulta più difficile distinguere nettamente tra “Cyber Espionage/Sabotage” e “Cyber Warfare”: sommando gli attacchi di entrambe le categorie, nel 2019 si assiste ad una diminuzione del 7,7% rispetto all’anno precedente (239 contro 259). Nel 2019 le categorie più colpite sono state Multiple Targets (395 attacchi, +29,9% rispetto al 2018), Online Services (247 attacchi, +91,5%), Government (203 attacchi, -19,4%) ed Healthcare (186 attacchi, +17%).

...

Il Software per la Sicurezza IT, segmentato nelle aree della Web Security, del Security & Vulnerability Management, della Network Security, dell’Identity & Access Management e dell’Endpoint Security, rappresenta in Italia un valore complessivo di oltre 400 milioni di euro nel 2019. La sicurezza si conferma tra le principali priorità tecnologiche delle aziende italiane, soprattutto per le organizzazioni di maggiori dimensioni che anche nel 2020 saranno impegnate su progetti di miglioramento della sicurezza dei sistemi e delle infrastrutture IT. La cybersecurity è centrale nei programmi di investimento delle imprese italiane, in particolar modo per il settore manifatturiero, che a differenze di altri comparti ad alta intensità di informazione, come il Finance o la Pubblica Amministrazione, soltanto in questi ultimi anni hanno cominciato a comprendere il potenziale valore strategico degli investimenti nella Sicurezza IT per affrontare le nuove sfide dell’Industria 4.0 e dell’Intelligenza Artificiale.

...

Tendenze IT che avranno un impatto sui professionisti italiani nel 2020 : 1. Le aziende cercheranno di misurare l’efficacia della cibersicurezza conducendo regolari report e KPI (indicatori chiave delle prestazioni. migliorare la sicurezza delle risorse informative e guidare l’azienda, aumentando la produttività degli utenti o riducendo la spesa per le operazioni legali e di conformità). 2. La riservatezza dei dati diventerà una necessità per tutte le aziende, indipendentemente dal settore, che guiderà la creazione di nuovi servizi alle imprese (Nel 2020 la privacy dei dati diventerà una priorità per un numero ancora più elevato di aziende in tutto il mondo). 3.Le aziende avranno difficoltà a soddisfare le richieste di accesso ai dati, ma inizialmente saranno poche le conseguenze dovute a inosservanza (Con l’entrata in vigore del GDPR, nel 2020, le aziende saranno messe alla prova per soddisfare le richieste di accesso ai dati (DAR) entro il periodo di tempo richiesto (30 giorni). 4. Le aziende renderanno la formazione sulla sicurezza parte integrante delle responsabilità professionali dei dipendenti. 5. La carenza di competenze IT accrescerà l’urgenza dell’automazione. 6. Le soluzioni basate sull’intelligenza artificiale diventeranno un nuovo obiettivo per gli attacchi e le aziende faranno fatica a difendersi (Nel 2020, i ricercatori continueranno a sperimentare metodi per cui le soluzioni basate sull’intelligenza artificiale (AI) e sull’apprendimento automatico (ML) possono essere deviate o utilizzate in modo improprio e i risultati saranno utilizzati sia dai fornitori, per sviluppare soluzioni di sicurezza informatica, sia dagli avversari, per realizzare attacchi mirati).

...

Fonte : clusit.it



Le norme Ue in tema di Sicurezza Informatica :

- il Regolamento n. 679/2016, Regolamento Generale sulla Protezione dei Dati (RGPD), entrato in vigore il 24 maggio scorso, applicabile dal 24 maggio 2018, che sostituisce la Direttiva 95/46/CE;
- il Regolamento n. 910/2014, Regolamento Electronic Identification Authentication and Signature (Regolamento EIDAS), entrato in vigore il 17 settembre 2014, applicabile dallo scorso primo luglio, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno, che sostituisce il quadro normativo definito dalla Direttiva Europea 1999/93/EC sulle firme elettroniche e dalle relative leggi nazionali di recepimento;
- la Direttiva n. 680/2016, entrata in vigore il 24 maggio scorso, sul trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati, che abroga la decisione quadro 2008/977/GAI del Consiglio;
- la Direttiva n. 1148/2016, Direttiva Network and Information Security (Direttiva NIS), entrata in vigore l’8 agosto scorso, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione.



Rapporto sulla sicurezza informatica in italia : serve una Policy sulla Sicurezza Informatica

Nell'ultimo anno l’ufficio del Garante per la Privacy ha adottato 561 provvedimenti collegiali. L’Autorità ha fornito riscontro a oltre 4.600 quesiti, reclami e segnalazioni con specifico riferimento ai seguenti settori: marketing telefonico (in costante aumento); credito al consumo; videosorveglianza; concessionari di pubblico servizio; recupero crediti; settore bancario e finanziario; assicurazioni; lavoro; giornalismo; enti locali; sanità e servizi di assistenza sociale. Sono stati decisi 277 ricorsi, riguardanti soprattutto editori (anche televisivi); banche e società finanziarie; datori di lavoro pubblici e privati; sistemi di informazione creditizia; Pa e concessionari di pubblici servizi. I pareri resi dal Collegio al governo e Parlamento sono stati 20 ed hanno riguardato, in particolare, l’attività di polizia e sicurezza nazionale; l’informatizzazione delle banche dati della Pa; il fisco; lo Spid; la carta elettronica degli studenti e dei docenti; i dai sanitari. Le audizioni sono state nove e hanno riguardato innanzitutto le norme in materia di telemarketing, di lotta al terrorismo, di trasparenza, di videosorveglianza. Le violazioni segnalate all’autorità giudiziaria sono state 53, in particolare per mancata adozione di misure minime di sicurezza a protezione dei dati.

In aumento il numero delle violazioni amministrative contestate, che sono state 2.339 (con un incremento del 38 per cento rispetto al 2015). Una parte consistente (1.817 violazioni contestate) ha riguardato l’omessa comunicazione agli interessati di data breach da parte dei gestori di telefonia e comunicazione elettronica. Vengono poi, il trattamento illecito dei dati per uso senza consenso; l’omessa o inadeguata informativa agli utenti sul trattamento dei loro dati personali; la conservazione eccessiva dei dati di traffico telefonico e telematico; la mancata adozione di misure di sicurezza; l’omessa esibizione di documenti al Garante; l’inosservanza dei provvedimenti dell’Autorità. Le sanzioni amministrative riscosse ammontano a circa 3 milioni e 300 mila euro.

Sono state effettuate 282 ispezioni. Gli accertamenti, svolti anche con il contributo delle Unità Speciali della Guardia di finanza, Nucleo speciale privacy, hanno riguardato numerosi e delicati settori, sia nell’ambito pubblico che privato. Per quanto riguarda il settore privato le ispezioni si sono rivolte principalmente ai trattamenti di dati effettuati da società che operano nel settore del car sharing; a quelle che si occupano di web marketing e marketing telefonico; alle società che si occupano di ricerca genetica; alle agenzie di lavoro interinale; alle società di assistenza tecnica e recupero dati per pc e telefonia mobile; ai giochi on line; alle finanziarie. Una importante operazione è stata svolta nei confronti di società operanti nel settore del trasferimento di denaro (money transfer) nell’ambito delle attività di contrasto al riciclaggio che ha portato all’applicazione di sanzioni per 11 milioni di euro. Per quanto riguarda il settore pubblico l’attività di verifica si è concentrata particolarmente sui Caf, sulle grandi banche dati pubbliche e sul sistema della fiscalità, con speciale riguardo alle misure di sicurezza e al sistema degli audit. Per quanto riguarda l’attività di relazione con il pubblico si è dato riscontro a oltre 24 mila quesiti, che hanno riguardato, in particolare, le problematiche legate alle telefonate promozionali indesiderate (33 per cento); agli adempimenti legati al nuovo Regolamento Ue (11 per cento); a Internet; alla videosorveglianza; a mail, fax e sms indesiderati; al rapporto di lavoro; ai dati bancari.

Molti si chiedono quali saranno Le modalità dei futuri attacchi ? Eccone una lista non esaustiva :

  • - Estorsioni per rientrare in possesso dei propri dati realizzati tramite “ransomware?, ovvero malware che cifra i dati della vittima chiedendo un riscatto per decifrarli;
  • - Frodi basate sui social engineering;
  • - Keylogger strumenti in grado di intercettare tutto ciò che un utente digita sulla tastiera del proprio, o di un altro computer;
  • - Trashing (detto anche information diving) è la pratica di risalire ad informazioni riservate attraverso il setacciamento dei rifiuti della vittima, come resoconti, bollette, corrispondenza …
  • - Truffe tramite malware, phishing, scam, pharming, vishing … ;
  • - Manomissioni dei sistemi Pos di pagamento ;
  • - Rischi associati ai Servizi Cloud ;
  • - Virus e malware diffusi tramite i cellulari ;
  • - Pericoli veicolati dai dispositivi indossabili wearable-device ;
  • - attacchi DDoS ai siti internet ;
  • - Cyber spionaggio ;
Quali azioni intraprendere ?
Il primo passo è la redazione della Policy sulla Sicurezza Informatica in Azienda


Legge 14 agosto del 2013, n. 93 : se il manager o il dipendente viola la privacy paga anche l'impresa.

A seguito dell'entrata in vigore del decreto Legge 14/08/2013 n. 93, le imprese rischiano sanzioni pecuniarie da 25.800 a 774.500 euro se il soggetto in posizione apicale o un dipendente di una società trattano dati senza il consenso (ricorrendo gli altri elementi previsti dall'articolo 167 del codice della privacy). A pagare sarà quindi anche la società oltre alla persona fisica.

Lo stesso vale per l'ipotesi in cui si siano inviate al garante notificazioni inveritiere o informazioni false, così come nel caso si sia omesso di osservare provvedimenti del garante: a pagare è sia la persona fisica autore dell'illecito sia l'ente cui la stessa appartiene.

Con l'articolo 9 del DL 93/2013 viene prevista inoltre un nuova aggravante del delitto di frode informatica (640–ter del codice penale) nel caso venga commesso con sostituzione dell'identità digitale in danno di uno o più soggetti, con pene che vanno da due a sei anni di reclusione e sanzioni da 600 a 3.000 euro. La ratio della norma, per la Corte suprema, è l'ampliamento della tutela dell'identità digitale per aumentare la fiducia dei cittadini nell'utilizzazione dei servizi online e porre un argine al fenomeno delle frodi realizzate mediante il furto di identità. La medesima norma prevede, come abbiamo già citato, che sia i reati di frode informatica che quelli in materia di violazione della privacy previsti dal decreto legislativo 196/2003 (trattamento illecito dei dati, falsità nelle dichiarazioni al Garante e inosservanza dei provvedimenti del Garante) siano ricompresi tra quelli sanzionati non solo a livello personale ma anche a livello aziendale come previsto nel decreto legislativo 231/2001 sulla responsabilità degli enti .

Le imprese devono rinnovare i modelli organizzativi, redigere protocolli interni atti a prevenire illeciti da parte dei propri dipendenti in questi ambiti ( vedisi il Documento Policy sulla Sicurezza Informatica ) e garantire le procedure di vigilanze idonee a prevenire la commissione dei reati all'interno dell'organizzazione. In mancanza di tali misure si riterrà che le violazioni sono riconducibili a una politica d'impresa e quindi anche l'ente sarà soggetto a sanzioni.



Legge 18 marzo 2008 sui crimini informatici : responsabilità delle imprese nel caso non adottino misure preventive nei confronti dei propri dipendenti.

La "Legge 18 marzo 2008, n. 4813 "Ratifica ed esecuzione della Convenzione del Consiglio d’Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, e norme di adeguamento dell’ordinamento interno" ha introdotto nuovi adempimenti per la sicurezza informatica in quanto ha modificato (art. 10) sia il "Codice in materia di protezione dei dati personali" sia (art. 7) il decreto legislativo 8 giugno 2001, n. 231.
Le disposizioni previste dalla Convenzione fanno specifico riferimento alla frode informatica, accesso abusivo al sistema informatico, pedopornografia, utilizzo di programmi non autorizzati, illecite intercettazioni di dati telematici ed in generale nei confronti di tutti i temi più discussi in ambito cyber criminalità.

Una conseguenza che riveste particolare importanza è sicuramente l'estensione della responsabilità amministrativa della persone giuridiche ai reati informatici, pertanto aumenta la responsabilità delle imprese nel caso non adottino misure preventive idonee ad evitare che gli addetti interni della società commettano reati informatici: per l'azienda si determina così una responsabilità patrimoniale anche di rilevante entità.
A seguito delle modifiche apportate al Decreto legislativo 231/2001 dalla Legge 48/2008, si prevede un esonero della responsabilità dell’azienda per reato informatico (art.24 bis) commesso al suo interno da un vertice o dipendente – quando lo stesso sia realizzato nel suo interesse o l’impresa ne abbia tratto un vantaggio -, esclusivamente allorché si dimostri che l’organo dirigente dell’Ente ha adottato ed efficacemente attuato, prima della commissione del fatto, un modello organizzativo idoneo a prevenire reati della specie di quello verificatosi (art. 6 decreto legislativo 231/2001). Tale modello classificabile come Policy sulla sicurezza informatica, non giustifica l'adozione di un codice etico come esonero della responsabilità di un'azienda. il documento del quale stiamo parlando, la Policy sulla sicurezza informatica risponde a specifiche prescrizioni contenute nel Decreto finalizzate a prevenire la commissione di particolari tipologie di reato.



Il Datore di lavoro ha il diritto di controllare direttamente o attraverso la propria struttura informatica l'effettivo adempimento della prestazione lavorativa ed il corretto utilizzo degli strumenti di lavoro

Il datore di lavoro ha il diritto di controllare (direttamente o attraverso la propria struttura informatica) l’effettivo adempimento della prestazione lavorativa e, se necessario, il corretto utilizzo degli strumenti di lavoro (cfr. provv. del Garante del 1° marzo 2007 "Lavoro: le linee guida del Garante per posta elettronica e internet" pubblicate in G. U. n. 58 del 10 marzo 2007 e artt. 2086, 2087 e 2104 cod. civ. ).
L'azienda facendo effettuare l'analisi dei rischi lavorativi e dei RISCHI INFORMATICI opera inoltre in accordo all’articolo 2087 del codice civile per l’adempimento degli obblighi in materia di sicurezza sul lavoro. La norma testualmente dispone che: “l’imprenditore è tenuto ad adottare nell’esercizio dell’impresa le misure che, secondo la particolarità del lavoro, l’esperienza e la tecnica, sono necessarie a tutelare l’integrità fisica e la personalità morale dei prestatori di lavoro?. Si tratta di una norma la cui inosservanza determina casi di responsabilità civile e che impone un continuo aggiornamento degli strumenti di prevenzione secondo quanto il progresso tecnico suggerisce in materia. La giurisprudenza è infatti unanime nell’individuare l’obbligo di tutela delle condizioni di lavoro anche da agenti esterni (Ex multis Cass. 5002/90);



Finalmente potrete trovare una risposta alle vostre domande :

×

Nella Nostra Azienda esisterà veramente una buona sicurezza informatica ? Abbiamo ottemperato a tutte le disposizioni preventive richieste dalla Legge 18 marzo 2008 sui crimini informatici ? Verifichiamolo !

×

In caso di rottura di un computer, la macchina sostitutiva con i dati di backup verranno ripristinati in tempi brevi ? ( in osservanza agli obblighi del datore di lavoro di adottare tutte le misure idonee a prevenire rischi di distruzione o perdita, anche accidentale dei dati art.31 d.lgs.196/2003 ) Verifichiamolo !

×

Nei computer dei nostri dipendenti saranno presenti software non autorizzati ? Verifichiamolo !

×

E' possibile che avvenga un furto di informazioni in azienda ? Le protezioni dalla masterizzazione di cd/ dvd, dalla scrittura dati sui dispositivi USB esterni, dalla archiviazione online su sistemi di free cloud storage e dall'accesso alle postazioni aziendali da remoto saranno efficaci ad impedire questi utilizzi non autorizzati ? Verifichiamolo !

×

A volte abbiamo avuto il sospetto che un dipendente possedesse un archivio privato criptato o comunque non visibile e non autorizzato dall'azienda ? Verifichiamolo !

×

L'azienda rispetterà tutte le normative in materia di Privacy e tutela del lavoratore per gli aspetti informatici e sarà tutelata in caso di dimissioni o licenziamento di un dipendente circa la riservatezza dei dati ? Verifichiamolo !

×

Non comprendiamo per quale motivo continuano ad essere rilevati ogni giorno, virus o malware nelle macchine aziendali ? Verifichiamolo !

×

Abbiamo il dubbio che i nostri dipendenti trascorrano ore sui social network, trascurando così il loro lavoro ? Verifichiamolo !

×

Vorremmo sapere se le postazioni dei computer sono protette durante l'assenza del loro proprietario ? Verifichiamolo !

×

Viene osservato l'obbligo di documentazione, proposto anche dal Nuovo Regolamento Europeo, secondo cui il Titolare del trattamento deve conservare la documentazione di tutti i trattamenti effettuati sotto la propria responsabilità ? Verifichiamolo !

×

Non comprendiamo perchè i nostri dipendenti sono sempre stanchi e scarsamente motivati ? ( lo sapevate che esiste lo stress lavorativo dovuto al fatto di lavorare con macchine troppo lente, non idonee al carico di lavoro ? ) Verifichiamolo !

×

Abbiamo assegnato ad un dipendente un computer portatile e vorremmo sapere se le informazioni ivi contenute saranno protette anche in caso di furto ? Assicuriamolo !

×

Siamo informati sulle nuove Leggi in materia di rischi informatici ? ( Lo sapevate che l'imprenditore è tenuto per legge ad adottare nell’esercizio dell’impresa le misure minime di sicurezza informatica la cui inosservanza determina casi di responsabilità civile ? ) Art. 2087 del codice civile !



L’analisi dei rischi informatici è da considerarsi un valore aggiunto per la tutela della salute dei lavori, sia essa legata allo stress lavorativo o alla loro salute fisica.

L’analisi dei rischi informatici è da considerarsi un valore aggiunto per la tutela della salute dei lavori, sia essa legata allo stress lavorativo dovuto all’utilizzo di macchine non idonee al carico di lavoro, sia essa legata alla loro salute fisica. In merito al primo fattore grazie all'analisi dei rischi, sarà possibile evidenziare criticità singole ( macchine con memoria insufficiente, spazio quasi esaurito, gravi problemi di stabilità, processi che si avviano in automatico e rallentano il lavoro ...) per le quali si auspica un intervento a breve termine ; per il secondo fattore sarà possibile escludere anomalie nelle schede grafiche dei computer aziendali che pregiudicano lo stato dei monitor, in osservanza alle norme previste dal Decreto Legislativo 81/08 che coinvolgono anche le attività che prevedono l’uso di attrezzature munite di videoterminali.

 

Nello specifico, l’articolo 172 e l’articolo 173 forniscono indicazioni sul campo di applicazione e sulle definizioni utilizzate all’interno del decreto, che prevedono di prestare molta attenzione da parte del datore di lavoro a elementi come la cattiva visualizzazione di singoli caratteri, frasi o di intere porzioni di testo o elementi come lo sfarfallio dei caratteri e dello sfondo, soprattutto con gli schermi di vecchia generazione, che possono causare dei problemi alla salute dei lavoratori, problemi per i quali potrebbe essere ritenuto responsabile e punibile ai termini di legge.



Lo sapevate che usare una password di un collega in azienda non è una violazione della Privacy se è divenuto un comportamento conforme ad una prassi aziendale, ovvero se l'azienda non ha provveduto a redigere e comunicare ai suoi dipendenti la Policy sulla Sicurezza Informatica ?

Lo ha stabilito la Corte di Cassazione nella sentenza n. 4258 del 16 marzo 2012, in cui la stessa dichiara illegittimo il licenziamento di una dirigente accusata di aver utilizzato la password altrui per accedere al sistema aziendale. La Suprema Corte, infatti, ha accolto le giustificazioni addotte dalla lavoratrice secondo cui la ripetuta utilizzazione di una password altrui era giustificata da esigenze connesse con lo svolgimento del proprio lavoro e di quello degli altri suoi colleghi ed era divenuto un comportamento compiuto da molti come "prassi aziendale". I Giudici hanno considerato decisivo per il rigetto del ricorso presentato dalla società ricorrente il fatto che tale comportamento attuato dalla dipendente fosse effettivamente conforme a una prassi aziendale e non fosse vietato da alcun codice di comportamento o Policy sulla Sicurezza Informatica che dovrebbe invece essere fornita ai dipendenti al momento della loro assunzione.

 

Ricordiamo che il corretto utilizzo e gestione delle password aziendali rientra tra le misure minime di sicurezza previste dall’art. 34 e dall’allegato B del Codice Privacy. La Policy sulla Sicurezza Informatica prevede che il lavoratore debba delegare un collega per la verifica dei messaggi di posta elettronica in caso di assenza improvvisa o prolungata o attivi il reindirizzamento della posta. Per necessità legate alla attività lavorativa l’Azienda ha infatti il diritto di conoscere il contenuto dei messaggi di posta elettronica. La nomina del collega deve essere ufficializzata tramite un modulo o un messaggio email al responsabile del trattamento dei dati. Il collega incaricato, se è stata scelta questa modalità, dovrà redigere un apposito verbale ed informare delle attività compiute il lavoratore assente al suo rientro.


Policy sulla Sicurezza Informatica

La Policy sulla Sicurezza Informatica è quel documento nel quale sono contenute tutte le disposizioni, comportamenti e misure organizzative richieste ai dipendenti e/o collaboratori aziendali per contrastare i rischi informatici.


Una buona Policy sulla Sicurezza Informatica regola :

A) L’UTILIZZO DEL PERSONAL COMPUTER
B) L’UTILIZZO DELLA RETE
C) LA GESTIONE DELLE PASSWORD
D) L’UTILIZZO PC PORTATILI, TELEFONI FISSI, CELLULARI, FAX E FOTOCOPIATRICI
E) L’UTILIZZO DELLA POSTA ELETTRONICA
F) L’USO DELLA RETE INTERNET E DEI RELATIVI SERVIZI
G) I COMPORTAMENTI DEGLI UTENTI NELLA PROTEZIONE ANTIVIRUS E MALWARE

Per comprendere l'importanza di avere una Policy sulla Sicurezza Informatica in Azienda è sufficiente considerare questi dati :

- Diverse ricerche effettuate a livello internazionale hanno rivelato che, in mancanza di regole e/o strumenti tecnologici di filtraggio, una percentuale tra il  30% e il 40% del tempo impiegato on line dal dipendente viene utilizzato per fini diversi da quelli aziendali.
- Una recente indagine evidenzia che il 25,1% dei lavoratori dipendenti dichiara di navigare per fini personali dal posto di lavoro da 10 a 30 minuti al giorno, il 22,4% da 30 minuti ad 1 ora, l'11,9% da 1 ora a 2 e ben il 12,6% oltre 2 ore. Solo il 27% dichiara di navigare meno di 10 minuti al giorno.
- Un'indagine interna dell'Internal Revenue Service, l'ente che negli Stati Uniti si occupa delle entrate fiscali, ha rivelato che la navigazione o l'utilizzo di e-mail da parte dei lavoratori per scopi personali rappresentava il 51% del totale del tempo dedicato ad attività on line.
- Più del 70% di tutto il traffico generato dai siti VIETATI AI MINORI viene generato durante l'orario d'ufficio.
- Il 32,6% dei lavoratori che accedono ad Internet durante l'orario di lavoro dichiarano di farlo senza nessuna specifica finalità.

 

In Azienda adottate già una POLICY SULLA SICUREZZA INFORMATICA ?

Approfondisci il Servizio :

Policy Sicurezza Informatica


Vi siete tutelati facendo firmare ai vostri dipendenti un documento di IMPEGNO ALLA RISERVATEZZA ?

Le nuove tecnologie permettono una distribuzione delle informazioni molto più veloce rispetto al passato. Documenti confidenziali possono essere trasferiti dalla vostra azienda ad un account personale online del dipendente o in un suo dispositivo esterno, con un semplice click, a vostra totale insaputa. Solo un documento di impegno alla riservatezza vi permette di essere tutelati e vi assicura ad esempio che in caso di dimissioni o licenziamento tali informazioni saranno restituite o distrutte entro 24 ore dalla vostra richiesta.

 

Il documento di riservatezza che vi possiamo redigere è composto da 8 pagine e rispetta tutte le normative di legge : Regolamento Ce 31 gennaio 1996, n. 96/240 ; Convenzione dell’Unione di Parigi sulla protezione della proprietà intellettuale resa esecutiva in Italia con il D.L. 10 gennaio 1926, n. 129 convertito con modifiche in legge 29 dicembre 1927, n. 2701 ; R.D. 29 giugno 1939 n. 1127 Legge invenzioni ; D.Lgs. 10 febbraio 2005, n. 30 Codice della proprietà industriale, a norma dell’art. 15 della legge 12 dicembre 2002, n. 273 Art. 98 Informazioni segrete-oggetto della tutela e Art. 99 Informazioni segrete-tutela ; Codice Civile : Art. 2105 obbligo di fedeltà e Art. 2598, n.3 atti di concorrenza sleale ; Codice Penale : Art. 622 Rivelazione di segreto professionale e Art. 623 Rivelazione di segreti scientifici o industriali

 

In Azienda avete già redatto una POLICY SULLA RISERVATEZZA che osservi tutte le nuove normative ?

Approfondisci il Servizio :

Accordo sulla Riservatezza


Misure di Sicurezza Informatica e Analisi dei Rischi :

Ecco come intervenire per rendere sicura dai rischi informatici la vostra Azienda [ click qui ]




Dal Dps al Gdpr (General Data Protection Regulation ): il nuovo Modello Organizzativo sul Trattamento dei Dati – Regolamento Europeo Privacy Ue 2016/679

Il 4 maggio 2016, sono stati pubblicati sulla Gazzetta Ufficiale dell'Unione Europea (GUUE) i testi del Regolamento europeo in materia di protezione dei dati personali e della Direttiva che regola i trattamenti di dati personali nei settori di prevenzione, contrasto e repressione dei crimini. Si tratta del passaggio finale per l'entrata in vigore del nuovo "Pacchetto protezione dati", l'insieme normativo che definisce un quadro comune in materia di tutela dei dati personali per tutti gli Stati membri dell'UE. Il regolamento è entrato in vigore il 24 maggio 2016 ma troverà applicazione negli Stati solo alla data del 25 maggio 2018 : le imprese e le pubbliche amministrazioni hanno pertanto due anni (un periodo di tempo congruo ma non troppo ampio) per organizzarsi e adeguarsi alle nuove regole. Il che non significa che automaticamente verrà abrogato il nostro D.lgs 196/2003, quindi almeno per un po’ di tempo le due norme convivranno. E’ opportuno quindi mantenere attivo il DPS e verificare almeno una volta l'anno che i requisiti richiesti dalla normativa ( lettere di incarico ai responsabili dei trattamenti, archiviazione dei documenti contenenti dati sensibili, salvataggi costanti e protetti, rotazione delle password …) siano rispettati redigendo un rapporto dettagliato a disposizione degli organi di controllo. Essenzialmente il GDPR univoca il mondo della Privacy (trattamento e protezione dei dati personali) con quello della Sicurezza Informatica (ICT-SEC).


Approfondisci : GDPR - NORMATIVA E ADEMPIMENTI - GDPR E-PRIVACY AUDIT CHECKLIST



  Perchè attendere ? Preventivo GRATUITO :