Cnp Partners ha promosso i “Security Day”, giornate di formazione con l’obiettivo di aiutare a capire come gestire le informazioni in maniera sicura e mitigare il rischio di sanzioni e attacchi.
Analizzando i dati pubblici ad oggi disponibili, scrive la società in una nota, appare assolutamente evidente che in termini di gestione della sicurezza delle informazioni le aziende si trovano a gestire un’emergenza, proprio perché non esistono attualmente strumenti tecnologici in gradi di azzerare completamente i rischi di un possibile attacco, seppur banale e di scarso effetto. Basti pensare che secondo il “2016 Cost of Data Breach Study, Global Analysis” pubblicato dal Ponemon Institute, il costo medio per record rubato è tra i 200 e i 250$ per le aziende nel settore “Servizi/Finance” e questo costo è cresciuto con percentuali a due cifre negli ultimi anni. Inoltre se parliamo dell’Italia il 70% degli “incidenti” è causato da episodi di Cyber Crime, con un incidenza del 32% negli ultimi 5 anni, che comportano perdite ingenti per le aziende detentrici di dati potenzialmente manipolabili. Secondo i dati del 2014 pubblicati da Unicri, si parla di perdite aziendali per 7,4 miliardi di euro in danni di immagine, reputazionali, costi di recupero e perdita dati.
Per ridurre i rischi la conoscenza paga sempre.
Da anni il Gruppo Cnp Partners in Italia persegue una strategia a lungo termine tesa a garantire la sicurezza dei dati che tratta attraverso la mitigazione del rischio. Una visione olistica della cybersecurity che tiene conto del contesto di riferimento internazionale, dell’area territoriale di riferimento, del proprio core business e delle strategie di espansione, per arrivare alla creazione di un framework “tailor made” della gestione del rischio. Per rendere operativa questa strategia ha reso necessario attuare misure organizzative e tecnologiche dove la chiave di volta è la formazione ai dipendenti, che porterebbe, secondo Ponemon, a ridurre il costo di rischio di circa 10 dollari.
La linea rossa del maggio 2018, data in cui è prevista l’attuazione del regolamento europeo sulla data protection (general data protection regulation – Gdpr), finalizzato a creare un terreno normativo comune volto a disciplinare il trattamento dei dati a tutela dei cittadini e del mercato europeo, diventa uno spauracchio obbligatorio per tutte le realtà commerciali.
Per questo è risultato importante iniziare un percorso di consapevolezza normativa sul tema del cyber crime e far conoscere le continue evoluzione normative in ambito tecnologico, poichè appare chiaro che il pericolo peggiore è quello che prevede sanzioni pecuniarie che possono arrivare al 4% (fino a 20 milioni di euro) del fatturato mondiale annuo del gruppo a cui l’impresa fa capo. I “Security Day”, le giornate di formazione indette da Cnp Partners con la partecipazione di esperti dal settore It, security e legale, rappresentano uno dei passi fondamentali per far luce sul “Sistema Privacy” e coinvolgere tutti gli operatori quali primi attori coinvolti negli obblighi della Gdpr.
I 4 buoni consigli dei “Security Day” di Cnp Partners:
- È necessario utilizzare password difficili da indovinare per i programmi automatici, diverse per ogni servizio utilizzato, e cambiarle con adeguata frequenza. La gestione delle password è un tema ancora tanto banale quanto foriero di incidenti.
- Bisogna porre molta attenzione alle sempre più diffuse truffe basate sul social engineering, ossia l’uso del proprio ascendente e delle capacità di persuasione per ingannare gli altri, convincendoli di essere chi non si è, oppure manovrandoli, al fine di carpire informazioni utili o indurli ad azioni a proprio vantaggio. Sfruttando questa tecnica (via email, telefono o di persona) riesce a carpire informazioni e a sottrarre ai malcapitati somme di denaro a volte ingenti;
- Porre massima cautela nella gestione delle mail che riceviamo sia per gli allegati sia per i contenuti: oltre al rischio di contrarre malware cliccando maldestramente su link e allegati al messaggio, una email senza allegati o link potrebbe comunque essere un vettore di attacco basato sul social engineering.
- Si deve conoscere il valore delle informazioni gestite anche per poter adottare la corretta strategia di condivisione con terzi; gli strumenti utilizzati per elaborare e conservare queste informazioni devono essere calibrati su questo principio. A titolo di esempio, il cloud non è il luogo migliore dove custodire le scansioni dei propri documenti di identità e il post-it attaccato al monitor non è una buona soluzione per gestire la propria password.
