Protezione dei dati sensibili

I dati dell’azienda sono un bene prezioso e la loro protezione è fondamentale per mantenere la fiducia di clienti, partner e dipendenti. Un aspetto importante in un momento in cui gli attacchi informatici stanno diventando sempre più sofisticati e aggressivi.   

L’universo delle minacce è in continua evoluzione ed è quindi essenziale che le misure di sicurezza siano sempre aggiornate. Occorre monitorare costantemente l’architettura dei dati, eseguire audit periodici sulla sicurezza e analizzare le potenziali vulnerabilità.  

1. Inventario  

Il primo passo consiste nel comprendere in dettaglio l’architettura dei propri dati. Un inventario completo contribuisce a mantenere una visione d’insieme delle proprie informazioni e a individuare eventuali punti deboli. Identificare quali dati sono presenti in azienda, dove sono conservati e chi vi ha accesso. Solo conoscendo i dati in possesso dell’azienda sarà possibile controllarli e, se necessario, limitarne l’accesso.   

2. Classificazione dei dati      

Il passo successivo è classificare i dati in categorie quali dati pubblici, interni, confidenziali e strettamente confidenziali.  Questa operazione consente di assegnare diversi livelli di sicurezza, definire priorità e implementare in modo mirato le misure di protezione necessarie. Definire i dati altamente sensibili, ad esempio i dati personali, le informazioni sui clienti o i segreti commerciali. Una classificazione chiara crea trasparenza e facilita l’implementazione di misure di sicurezza adeguate per ogni categoria di dati. 

3. Linee guida  

Regolamentare il trattamento dei dati sensibili è il fattore chiave per garantirne la sicurezza. Elaborare linee guida e procedure chiare che regolino l’accesso, il salvataggio, il trasferimento e la distruzione dei dati. Definire chi ha accesso alle varie tipologie di dati e in quale misura. Creare password policy forti e implementare tecnologie di crittografia per garantire la protezione dei dati sensibili per la trasmissione e l’archiviazione.   

La legge sulla protezione dei dati, entrata in vigore nel settembre 2023, stabilisce anche che occorre notificare un’eventuale perdita di dati se riguarda dati personali particolarmente sensibili. La persona responsabile in caso di violazioni della legge sulla protezione dei dati nelle PMI è generalmente l’amministratore. 

4. Coinvolgimento di partner esterni  

È inoltre utile coinvolgere partner esterni e fornitori di servizi nella protezione dei propri dati sensibili. Controllare le misure di sicurezza e le linee guida sulla protezione dei dati (vedi riquadro) dei propri fornitori e assicurarsi che rispettino gli stessi standard elevati della propria azienda. Implementare clausole contrattuali appropriate per garantire che i propri dati siano adeguatamente protetti quando vengono condivisi con terzi.   

Suggerimento extra: Protezione adeguata anche dei documenti cartacei  

Oltre a quelli digitali, anche i documenti cartacei devono essere adeguatamente protetti. Quelli confidenziali come contratti, dossier dei dipendenti ecc. non devono essere liberamente accessibili. Anche se ci si assenta per 5 minuti per prendere un caffè, i dati sensibili devono essere inaccessibili.  

Per garantire che in futuro persone, aziende, infrastrutture e catene di approvvigionamento siano sufficientemente protette dalle minacce informatiche, da ottobre si applicherà una nuova direttiva dell’UE denominata NIS2. L’obiettivo è migliorare la sicurezza informatica delle aziende e delle infrastrutture critiche. La direttiva si applica alle aziende con almeno 50 dipendenti e un fatturato annuo di almeno 10 milioni di euro. Contiene una serie di requisiti minimi per le misure di sicurezza informatica, come la formazione dei dipendenti, la gestione degli incidenti e la pianificazione della continuità aziendale. Anche le PMI svizzere saranno interessate da questi cambiamenti.