Cybersecurity: le 12 azioni dell’Enisa applicabili anche agli studi professionali
Lo scorso 28 Giugno 2021, l’Enisa, Agenzia dell’Unione Europea per la cibersicurezza, ha pubblicato un report denominato “Cybersecurity per le PMI - Sfide e raccomandazioni”
In risposta alla pandemia di Covid-19, l'Enisa ha analizzato la capacità delle pmi all'interno dell'Unione Europea di far fronte alle sfide della cybersecurity poste dalla pandemia e ha determinato le best practies per affrontare tali sfide. La suddetta relazione, secondo l’Agenzia, vuole fornire consulenza in materia di sicurezza informatica per le piccole e medie imprese , ma anche proposte di azioni che gli Stati membri dovrebbero prendere in considerazione per aiutare le stesse pmi a migliorare la loro posizione in materia di cybersecurity.
(Nella foto: Aldo Giacomo Colantuono, Delegato Federprivacy nella provincia di Chieti, e Coordinatore del Gruppo di Lavoro per l’agevolazione dell’esercizio dei diritti dell’interessato)
Il report è accompagnato da una breve guida, che fornisce alle pmi dodici azioni pratiche di alto livello su come proteggere meglio i propri sistemi e le proprie attività. Tale guida, denominata “Guida alla cibersicurezza per le pmi: 12 azioni per rendere sicura la propria impresa” può certamente essere un valido strumento anche per studi professionali di commercialisti e avvocati che per loro natura, direttamente o attraverso i propri collaboratori, trattano una notevole mole di dati personali, gestiti e archiviati mediante processi e supporti informatici, ancor di più nel periodo pandemico. Infatti gli studi professionali si sono trovati, sebbene non tutti fossero pronti, a dover gestire adempimenti, clienti, dipendenti, appuntamenti, completamente a distanza, sfruttando mai come ora le potenzialità della rete internet e del cloud, forse non considerando adeguatamente anche tutti i relativi rischi e vulnerabilità.
Di seguito un estratto delle 12 azioni pratiche dell’Enisa, applicabili anche agli studi professionali:
1 - Sviluppare una solida cultura della cibersicurezza, quindi attribuire la responsabilità della gestione, coinvolgere il personale, eseguire audit per la cibersicurezza, tenere a mente la protezione dei dati (Reg. UE 679/2016), pubblicare politiche in materia di cibersicurezza.
2 - Fornire una formazione appropriata, quindi formare periodicamente i dipendenti e sensibilizzarli alla cibersicurezza.
3 - Garantire un’efficace gestione dei terzi, quindi tutti i fornitori, in particolare quelli che hanno accesso a dati e/o sistemi sensibili, siano gestiti attivamente e soddisfino i livelli di sicurezza concordati.
4 - Sviluppare un piano di risposta agli incidenti, che contenga orientamenti, ruoli e responsabilità chiari e documentati per garantire che tutti gli incidenti a livello della sicurezza siano affrontati in modo tempestivo, professionale e appropriato.
5 - Rendere sicuro l’accesso ai sistemi, scegliendo password lunghe, complesse e non riutilizzarle altrove.
6 - Rendere sicuri i dispositivi, quindi mantenere il software corretto e aggiornato, anti-virus su tutti i tipi di dispositivi, utilizzare strumenti di protezione per i messaggi di posta elettronica e il web, crittografia, attuare la gestione dei dispositivi mobili.
7- Rendere sicura la propria rete, utilizzando firewall, analizzando le soluzioni di accesso remoto.
8 - Migliorare la sicurezza fisica, quindi attuare controlli fisici adeguati nei luoghi in cui sono presenti informazioni importanti.
9 - Rendere sicuri i backup, per consentire il recupero di informazioni essenziali.
10 - Lavorare con il cloud, considerandone attentamente tutti i rischi.
11 - Rendere sicuri i propri siti online, quindi configurarli e tenerli in modo sicuro e da proteggere i dati che vengono trattati su di essi.
12 - Cercare e condividere le informazioni, come strumento efficace nella lotta contro la criminalità informatica.
Svolgendo i professionisti tali azioni pratiche, non necessariamente troppo dispendiose in termini di investimenti, garantirebbero maggiore sicurezza nel trattamento dei dati personali presso i propri studi, anche in considerazione del principio di accountability alla base del Regolamento Europeo sulla protezione dei dati personali.
Il report e la guida completa sono consultabili e scaricabili sul sito dell’Enisa. La guida è stata tradotta anche in lingua italiana.
Di cybersecurity negli studi professionali e di questo utile strumento a beneficio anche di avvocati e commercialisti, se ne è parlato nella giornata del 24 Settembre 2021 in un convegno che si tenuto a Pescara, denominato “Lo studio sotto attacco - Il Cybercrime ai danni di uno studio professionale e l’impatto che può avere un attacco informatico sotto il profilo della privacy e dei dati sensibili dei clienti e degli studi stessi”, a cui sono intervenuto in qualità di relatore e di delegato Federprivacy per la provincia di Chieti e che ha ottenuto i patrocini di Federprivacy, dell’Autorità Garante per la protezione dei dati personali e del Comune di Pescara. È Stato organizzato dall’Agenzia Vittoria Assicurazioni Pescara Centro, in collaborazione con l’Ordine degli Avvocati di Pescara, l’Ordine dei Dottori Commercialisti e degli Esperti Contabili di Pescara, la Fondazione per la promozione della cultura professionale e dello sviluppo economico, l’Associazione Italiana Giovani Avvocati di Pescara.