Lo scorso 28 gennaio si è celebrata la Giornata europea della protezione dei dati personali (o Data Privacy Day). L’evento annuale è giunto nel mezzo di un periodo storico per l’umanità, coinvolta in modo diretto o indiretto dalla pandemia da COVID-19. Fra i vari cambiamenti innescati dalla minaccia del virus, uno dei più rilevanti è sicuramente l’incremento del telelavoro o smart working. Si è venuto a creare un nuovo ambiente, con nuove reti e sistemi informatici, molto più parcellizzati e suscettibili ora più che mai ad attacchi lesivi dei dati personali.
La Giornata europea della protezione dei dati personali ha come obiettivo quello di sensibilizzare gli utenti di tutte le estrazioni sui temi della sicurezza nel mondo digitale e di spronare le aziende e chi ha potere decisionale ad agire. Tutto questo al fine di proteggere le informazioni personali e rendere trasparenti le modalità in cui queste vengono raccolte, memorizzate e utilizzate.
Privacy dei dati, un tema di portata planetaria
La privacy dei dati è una questione internazionale. Lo abbiamo visto con leggi come la normativa GDPR, con ripercussioni dirette sulle nostre vite quotidiane. Ma è importante sottolineare come il Covid-19 abbia rimescolato le carte in tavola, rendendo inapplicabili, poiché inadeguati, protocolli e procedure per la sicurezza informatica e la privacy dei dati.
A novembre, le Nazioni Unite hanno rilasciato una dichiarazione secondo cui la privacy dei dati deve rimanere una priorità assoluta anche durante la lotta al virus e, anche a fini sanitari, la raccolta dei dati deve essere effettuata in modo da proteggere i diritti di tutti i cittadini.
Non si può però proteggere un diritto se mancano le informazioni sullo stesso. Nonostante i timori di molti, a seguito dello spostamento della forza lavoro dalle aziende alle abitazioni, il nuovo sistema informatico frammentato non ha provocato la nascita di nuove tecniche progettate per accedere ai dati dei consumatori e sottrarli.
Giornata europea della protezione dei dati personali: smart working e cyber attacchi
Gli schemi basati sul phishing sono diventati ancora più frequenti e sempre più mirati. I threat actors non si sono fatti problemi a impersonare organizzazioni sanitarie al fine di raccogliere dati sensibili o truffare gli utenti, sottraendo denaro.
La frammentazione delle reti aziendali ha determinato un ampliamento della superficie utile d’attacco per le organizzazioni criminali. Queste ultime ora stanno cercando di accedere a informazioni aziendali sensibili attraverso dispositivi personali di dipendenti e manager.
Ecco perché è fondamentale che gli utenti che lavorano da casa stiano all’erta e conoscano (e applichino) le migliori pratiche in tema di cyber security. Ecco perché ogni dipendente che lavora attraverso un sistema informatico dovrebbe sapere l’importanza di:
- aggiornare regolarmente i software.
- Installare tutte le ultime patch a elementi hardware o software.
- Riconoscere le e-mail oggetto di campagne di phishing.
Se si riescono ad anticipare le prossime mosse dei gruppi hacker, rilevando le strategie programmate per cercare di infiltrarsi nella rete aziendale, è possibile coinvolgere la forza lavoro, applicando a tutti i livelli un protocollo di protezione dei dati più affidabile.
Rafforzare le norme sulla privacy dei dati anche nel lavoro da casa
Il tema per il Data Privacy Day del 2021 si muove su due binari. Per i singoli individui, la direzione è quella della “ownership della privacy” (termine inglese che può essere tradotto come “proprietà consapevole”), mettendo l’enfasi sulle modalità operative per proteggere le loro informazioni personali.
Per quanto concerne i dipendenti che continuano a lavorare a distanza o che lavorano in un ambiente ibrido, c’è molta confusione tra comportamenti personali e organizzativi, specialmente quando si utilizzano dispositivi personali o si condividono con altri membri della famiglia. Pertanto, è necessario modificare l’approccio con cui si intende far rispettare la privacy dei dati.
Le aziende dovranno quindi adottare piani completi che non si limitino a definire politiche di sicurezza efficaci, ma che comprendano anche la formazione di tabelle di marcia per i loro team IT e che abbraccino la formazione continua sulla sicurezza informatica come elemento fondamentale della cultura del posto di lavoro.
I team IT devono essere attenti a garantire che gli hardware e i software aziendali siano il più aggiornati possibile e che i dipendenti siano sempre al corrente delle minacce informatiche e come evitarle.
Questo approccio consentirà ai team IT non solo di assicurarsi che i loro protocolli interni di cybersecurity siano aggiornati e rispettati al 100%, ma anche che le aziende di riferimento rispettino le normative vigenti.
Perché è necessario aggiornarsi in tema di protezione della privacy dei dati
Il regolamento europeo GDPR e il Consumer Privacy Act californiano sembrano i due atti normativi di maggiore interesse quando si parla di privacy dei dati in questo ultimo periodo. In questo ambito, il tema della conformità non scompare solo perché gran parte dei dipendenti lavorano fuori sede.
Tuttavia, quando l’attività si svolgeva sul posto di lavoro “classico”, si poteva fare riferimento al responsabile interno per tutte le questioni relative alla privacy dei dati. Se un dipendente non conosceva la risposta a un quesito, c’era qualcuno pronto a trovare la soluzione. Ora i responsabili in materia sono ancora disponibili, ma ottenere la risposta potrebbe non essere semplice come un tempo. Quindi il rischio di fare confusione e generare errori è più alto che mai.
Anche se mantenere la sicurezza dei dati può sembrare un onere eccessivo per alcune persone, una protezione efficace inizia semplicemente dall’impegno di ogni singolo dipendente che deve verificare la sicurezza della propria postazione di lavoro e applicare gli aggiustamenti necessari.
Modificare le password per renderle più solide o installare un software di sicurezza su tutti i dispositivi potrebbe portare enormi benefici al rafforzamento degli sforzi per la privacy dei dati personali e aziendali. Inoltre, i dipendenti dovrebbero essere incoraggiati a controllare individualmente le impostazioni sulla privacy nei propri dispositivi.