24. maggio 2018

10 errori fatali del personale in materia di protezione dei dati (e come evitarli)

I dipendenti inesperti o imprudenti rappresentano l’anello debole della catena per quanto riguarda la protezione dei dati in azienda.
Quali sono gli errori più gravi in tema di protezione dei dati e come fare per evitarli? Chiariremo in questa sede gli aspetti principali.

1. I documenti finiscono nel cestino dei rifiuti
Nell’era digitale ci si dimentica spesso che i documenti stampati possono contenere anche dati personali e che chiunque, anche se non autorizzato può accedervi, soprattutto se gettati nel cestino dei rifiuti. I documenti che devono essere eliminati, devono essere completamente distrutti (ad es. distruzione meccanica mediante trituratore). Per rispettare pienamente le disposizioni legislative, è preferibile affidare la distruzione dei documenti a fornitori di servizi esterni. È più semplice, in ogni caso, distruggere i documenti nei contenitori o container di sicurezza che proteggono i dati piuttosto che utilizzare il trituratore.

2. Dispositivi elettronici privati sul posto di lavoro
Le chiavette USB, i dischi rigidi esterni e i CD-ROM sono spesso utilizzati per svolgere le proprie attività private al lavoro o per portare a casa documenti aziendali su cui continuare a lavorare al termine della giornata. Qui il pericolo è in agguato! I dispositivi possono essere infettati da malware che si diffondono nel sistema operativo e costituiscono una minaccia per i dati. Per questo motivo, i dispositivi privati non dovrebbero essere autorizzati all’interno dell’azienda e le apparecchiature elettroniche di proprietà dell’azienda dovrebbero essere dotate di strumenti di crittaggio.

3. I dispositivi dell’azienda sono utilizzati a fini privati
E’ molto diffuso lavorare in modalità home office e svolgere il proprio lavoro anche al di fuori dell’azienda. Gli strumenti forniti (laptop, tablet, smartphone) sono spesso utilizzati anche per scopi privati. Ciò consente a terzi non autorizzati, soprattutto in caso di smarrimento o furto, di accedere facilmente a documenti aziendali riservati. Pertanto, gli hard disk e le chiavette USB dovrebbero essere assolutamente crittografati e l’uso del wifi pubblico dovrebbe essere proibito.

4. Utilizzo dell’account privato di posta elettronica
Secondo un sondaggio Ipswitch sul trasferimento dei file, l’84% dei dipendenti utilizza indirizzi e-mail privati per inviare documenti aziendali contenenti informazioni personali riservate. Le ragioni: comodità, inesperienza con i programmi di posta elettronica aziendali, utilizzo di documenti per scopi privati. Spesso vengono, inoltre, utilizzati metodi non sicuri per trasferire i documenti. E di questo ne sono purtroppo a conoscenza anche molti hacker che non aspettano altro che escogitare dei sistemi per poter rubare dati riservati.

È pertanto opportuno vietare l’uso di caselle di posta elettronica private per scopi aziendali. Per crittografare gli allegati dei file è necessario utilizzare degli strumenti automatizzati.

5. La mia password per tutto: ciao123
I dipendenti che elaborano dati personali dovrebbero creare degli account personali per ogni applicazione. La condivisione degli account non può essere accettata! Tuttavia, gli account sono inutili se non sono protetti da password sicure. Per comodità, si usano spesso password semplici e preferibilmente sempre le stesse. Un errore gravissimo per la protezione dei dati! Una volta che una password è stata decifrata, è possibile accedere a tutti gli account dell’utente e quindi accedere ai dati riservati. I dipendenti dovrebbero essere tecnicamente costretti a utilizzare password lunghe. Password più lunghe danno una maggiore garanzia di sicurezza. Ci si può aiutare con espedienti mnemonici come l’utilizzo della prima lettera di ogni parola in una frase:”Dall’anno 2018 la mia Password è sicura”: Da2018lmPès.

6. Si accomodi!
Gli uffici presentano alcuni rischi in materia di violazione dei dati. Soprattutto quando persone esterne all’azienda vengono lasciate sole o non vengono accompagnate negli uffici. Un ufficio incustodito, l’ambiente dove si trova il server lasciato aperto o un documento dimenticato nella stampante possono rappresentare un grave pericolo ed avere conseguenze gravissime per la protezione dei dati di clienti e dipendenti. Le persone esterne all’azienda dovrebbero avere accesso agli uffici solo per attività legate a fini operativi dell’azienda e sotto supervisione.

7. Troppe informazioni date al telefono
Soprattutto a centralinisti inesperti può capitare di dare informazioni
contenenti dati personali a un interlocutore non autorizzato a riceverle. Per evitare che ciò accada, è essenziale istruire i dipendenti con largo anticipo su quali informazioni possono essere fornite o meno.

8. Caos sul posto di lavoro
Lettere riservate, contratti, appunti insieme alle password, chiavette USB e il tutto lasciato abbandonato in un cumulo di carta sulla scrivania: è chiaro che chiunque può vedere questo disordine ed è altrettanto chiaro che così facendo si è nel caos più completo con la protezione dei dati. Una “clean desk” policy che stabilisca che non venga lasciato incustodito alcun documento contenente dati riservati quando si lascia la propria postazione di lavoro può essere di aiuto. I computer devono, inoltre, essere bloccati quando si abbandona la propria postazione di lavoro.

9. Il PC come discarica
Uno dei principi del regolamento in materia di protezione dei dati è la limitazione della memorizzazione dei dati. I dati sono conservati solo per il tempo necessario allo scopo del trattamento. L’esempio migliore è la casella di posta elettronica traboccante. Questa dovrebbe essere svuotata regolarmente. I documenti con i dati personali che sono memorizzati sul disco rigido, ma non sono più necessari, devono essere spostati nel cestino. Attenzione: rispettare i termini per la conservazione dei dati.

10. Occultare le perdite di dati
Tutti sbagliano. Per evitare problemi con i superiori, i dipendenti tendono a nascondere le fughe di dati. Ne conseguono danni per gli interessati e per l’impresa. E’ essenziale sensibilizzare i dipendenti alla protezione dei dati, chiarirne l’importanza e dare il buon esempio. Per evitare questi rischi rivestono un’importanza fondamentale la formazione del personale e il dibattito costante in azienda sul tema della protezione dei dati.

20. settembre 2018
Calati nei panni di un hacker – Corso per la sicurezza informatica
PER SAPERNE DI PIU'
17. settembre 2018
lawpilots cerca consulenti, avvocati, e DPO
PER SAPERNE DI PIU'

Contatti

Scrivici o contattaci telefonicamente!

+39 02 94754886
[email protected]

Lavinia Polver
Customer service manager
lunedì – venerdì 9.00 – 18.30

Tutti i dati personali forniti saranno trattati nel rispetto della privacy al fine di consentire agli utenti l’accesso ai servizi richiesti. La trasmissione dei dati è crittografata. Per maggiori informazioni si rinvia alla nostra Informativa Privacy (EN).