un Computer sicuro ? …quello spento!

Discutendo in materia di sicurezza informatica nella sua azienda con un valido Professionista a capo di una importante rete di distribuzione di farmaci nonché farmacista anch’esso titolare di una famosissima farmacia.

Lo stimato Professionista, dimostrando sensibilità all’argomento ma riconoscendo una imperdonabile ignoranza informatica; Delega ogni decisione/informazione al responsabile informatico.

Il quale; Da vecchio praticone del PC, smanettone del VIC 20 poi dell’olivetti M24 infine si dimostra impolverato mago di un RM-COBOL elefantiaco sorpassato e dal 2010 anche alieno nella cyber productivity.

In luogo di comprendere che l’ambiente informatico in rete, all’inizio era oscuro ma sta sempre più diventando anche pericoloso.

Apostrofa ed etichetta inutile il DPSI, perché non più obbligatorio, infatti in tema di adempimenti è necessario ricordare che la redazione del Documento Programmatico sulla Sicurezza Informatica entro il 31 marzo. Sappiamo che il D.L. 5/2012 l’ha abrogata, a partire dal 10 febbraio 2012 sia la sua redazione che l’aggiornamento annuale entro la data indicata.

Ovviamente nulla eccepito. Neanche questa sembra la sede dove si elencano crimini e misfatti perpetrati ai danni di sprovveduti o navigatori d’acqua dolce o sempliciotti fiduciosi.

Per l’occasione occorsa; rammarica il fatto che i nostri dati sensibili sanitari siano mantenuti nelle mani di persone più che sprovvedute. Anche se muovono masse di merci e cifre a molti zeri.

Per tutti gli altri, una buona copertura assicurativa potrebbe essere la soluzione dai molteplici vantaggi. Però bisogna prestare la dovuta attenzione all’organizzazione interna dell’azienda.

Infatti neanche la più sprovveduta delle compagnie pagherebbe un rischio previsto e non valutato o presidiato.

per avere un quadro correttamente esaustivo per le cyber coperture possibili, basta leggere l’interessante articolo a firma dello stimato consulente salernitano Marcello Savella. Il broker, sempre attento alle esigenze delle imprese, ci aggiorna affinché  le imprese abbiano sempre validi riferimenti. Per non trovarsi, nelle spesso inevitabili difficoltà sicuramente almeno attenuate se valutate correttamente, ma in maniera preventiva.

Valutare in maniera preventiva significa anche ricordare che le banche e le assicurazioni non sempre fanno gli interessi dei clienti.

Quindi, attenzione non tanto alle regole se ci sono o non ci sono; Ma al tipo di gioco, far giocare anche le Compagnie nella nostra azienda o studio professionale, significa che in materia esistono relazioni ed obblighi provenienti dalla L.675/1996 quindi pura filosofia; La sicurezza è una condizione non una serie sterile di regole.

Se pur il D.L. 5/2012 ha abrogato, a partire dal 10 febbraio 2012, l’obbligo di redigere il Documento Programmatico per la Sicurezza dei dati trattati (D.P.S.) – in forma ordinaria o abbreviata, la  legge n. 675/1996, distingue altri due distinti empirici obblighi non aboliti neanche in ambito in informatico:

  1. l’obbligo più generale di ridurre al minimo determinati rischi.
  2. nell’ambito del predetto obbligo più generale, il dovere di adottare in ogni caso le “misure minime”.

È chiaro che un’azienda che ha abolito dal 2012 il dps ed il dpsi per la gestione del suo anagrafico clienti o per la gestione della contabilità ovviamente perché non più obbligatori, nulla potrà eccepire in sua difesa se chiamata per l’uso fraudolento di qualcuno dei dati contenuti nei suoi pc perchè casomai un dipendente ha aperto una email infetta dal famoso ricattatore ramsomware, oppure semplicemente si smarrisce una pennetta usb, ecc. ecc..

È facile, prevedere quindi; Che nessuno possa determinare siano correttamente gestiti i dati informatici se non preventivamente programmate le procedure di raccolta, gestione e conservazione, relativo controllo accessi alle fasi.

In aggiunta alle conseguenze da quantificare, di un danno informatico prodotto a terzi, il Codice ad oggi conferma l’impianto sanzionatorio di base secondo il quale l’omessa adozione di alcune misure indispensabili (“minime”), le cui modalità sono specificate tassativamente nell’Allegato B) dello stesso Codice, costituisce anche reato art. 169 del Codice della Privacy, che prevede l’arresto sino a due anni o l’ammenda da 10 mila euro a 50 mila euro.

Unica e costosa scappatoia al carcere si offre con l’eventuale “ravvedimento operoso” se si adempie puntualmente alle prescrizioni impartite dal Garante una volta accertato il reato, si effettua il pagamento in sede amministrativa, ottenendo così l’estinzione del reato.

La nostra esperienza fonda le sue radici nella norma originaria, da allora non ha mai subito censure in occasione delle verifiche programmate e non, non abbiamo mai subito interruzioni alle stesure del DPSI o ripensamenti, ma solo analisi dell’organizzazione aziendale, stesure di processi operativi specifici, applicazioni reali ed aggiornamenti in relazione alle mutate e crescenti capacità dell’informatica di produrre danni alle imprese ed ai professionisti, gli aggiornamenti riguardano le procedure di sicurezza che si sono anche concentrate sulla prevenzione interna spesso sull’affidabilità proprio dei dipendenti.

Infatti il mix esplosivo composto da :

  1. un mezzo potente il PC;
  2. un collegamento IN/OUT incontrollabile, quale internet;
  3. molti e diversamente dislocati esperti del settore hardware e software gli Haker;
  4. la mancanza di procedure di controllo, se ci sono misure di controllo;
  5. la superficialità dei responsabili…

Genera una vera e propria insussistenza di attivo nel bilancio dell’azienda, in caso di diffusione oppure di utilizzo dei dati non autorizzati o semplicemente una mail privata inviata o ricevuta da un pc aziendale.

Il responsabile legale dell’azienda o dello studio dovrà provvedere a difendere con adeguata tutela legale se stesso e dal 2001 sappiamo che in virtù del D.Lgs. 231 anche la eventuale società amministrata o di cui fa parte in qualità di socio, ivi compresi i professionisti titolari di studi professionali e gli studi associati.

Ben vengano quindi;  Anche le coperture assicurative specifiche e mirate come ci ricorda l’arguto broker;

Ma solo se correttamente affrontato in azienda! Il problema dei danni di provenienza informatica.

Infatti una copertura sicuramente inapplicabile, genera un senso di sicurezza e di copertura appunto, pericoloso per un’azienda e le garanzie che deve prestare ai terzi rating bancario compreso.

tracciare e nominare uno o più responsabili nelle attività:

  1. Informazione preventiva del cliente,
  2. raccolta,
  3. utilizzo,
  4. conservazione dei dati forniti dai clienti od eventuali enti,
  5. conservazione dei dati prodotti per i clienti.

Val bene quindi, la pena di richiedere la valutazione dello stato della vostra impresa o del vostro studio in materia di sicurezza informatica ed indirizzare così ogni decisione sopratutto verso la adeguata copertura assicurativa la quale nel tempo mantiene le dovute garanzie di bilancio, sempre più valutate positivamente in termini di rating dalle banche.

Forse la stessa compagnia assicuratrice sarà felice di sapere quale grado di coscienza informatica ha l’azienda di cui si rende garante per la copertura in caso di danni. È anche possibile che ne tenga conto sulla costruzione del premio annuale.

 

Fonti:

coverbroker.net

studiprofessionali.net

chicercatrova2000.it/

[contact-form-7 id=”204″ title=”Modulo di contatto”]

Leave A Comment