Con l’evoluzione delle piattaforme digitali distribuite, la sicurezza dei propri dati è divenuta un fattore importante e strategico per un’azienda. In parallelo nascono e vengono diffuse minacce che possono mettere “letteralmente” in ginocchio le aziende, bloccandone la produzione con una reale perdita di immagine, ma soprattutto di fatturato.

Oggi la legislazione definisce le modalità che devono essere adottate per salvaguardare le proprie strutture ed i dati in esse contenuti. Non ammette inoltre che, in caso di evento dannoso, non ci sia la possibilità di ripristinare tutti i dati; le stesse norme dicono che il dato deve essere reso disponibile entro un massimo di sette giorni con particolare attenzione al dato amministrativo.

Ma quali sono queste norme?

In primis il D/Lgs. 196/2003 il Codice in materia di protezione dei dati personali, che definisce i requisiti minimi da adottare per la sicurezza dei dati. Va detto però che molte aziende hanno interpretato il D.Lgs. solo come norma di riferimento per la privacy senza tenere in debita considerazione quanto indicato dall’art. 30 in poi e nel Disciplinare Tecnico in materia di misure minime di sicurezza, in particolare dal 2012 dopo che è stato eliminato l’obbligo di allegare al Bilancio il DPS. Attenzione però: la legislazione non ammette che i dati non possano essere ripristinati in caso di eventi dannosi!

A seguire il nuovo Regolamento UE 2016/679 che dovrà essere adottato sia nella pubblica amministrazione che nel privato entro il 25 maggio 2018.

Oltre alla legislazione sono disponibili norme tecniche come la UNI ISO/IEC 27001:2014, che fornisce i requisiti per stabilire, attuare, mantenere e migliorare in modo continuo un sistema di gestione per la sicurezza delle informazioni: “La necessità di stabilire e attuare un sistema di gestione per la sicurezza delle informazioni di un’organizzazione, è influenzata dai suoi obiettivi, dai suoi requisiti di sicurezza, dai processi organizzativi e dalla sua dimensione e struttura. È previsto che tutti questi fattori cambino nel tempo”.

In conclusione, la mancata applicazione delle leggi e dei regolamenti comporta sanzioni pecuniarie e non solo per le aziende inadempienti ed ai suoi Rappresentanti, oltre al fatto che le minacce sono sempre dietro l’angolo e sono in grado di carpire le vulnerabilità della rete e dei sistemi.