Cybersecurity: 12 azioni dell’Enisa applicabili anche agli studi professionali
Lo scorso 28 giugno 2021, l’Enisa, Agenzia dell’Unione Europea per la cybersicurezza, ha pubblicato un report denominato “Cybersecurity per le PMI - Sfide e raccomandazioni”
In risposta alla pandemia di Covid-19, l'Enisa ha analizzato la capacità delle pmi all'interno dell'Unione Europea di far fronte alle sfide della cybersecurity poste dalla pandemia e ha determinato le best practies per affrontare tali sfide.
La suddetta relazione, secondo l’Agenzia, vuole fornire consulenza in materia di sicurezza informatica per le piccole e medie imprese, ma anche proposte di azioni che gli Stati membri dovrebbero prendere in considerazione per aiutare le stesse pmi a migliorare la loro posizione in materia di cybersecurity.
Il report è accompagnato da una breve guida, che fornisce alle pmi dodici azioni pratiche di alto livello su come proteggere meglio i propri sistemi e le proprie attività.
Tale guida può certamente essere un valido strumento anche per studi professionali di commercialisti e avvocati che per loro natura, direttamente o attraverso i propri collaboratori, trattano una notevole mole di dati personali, gestiti e archiviati mediante processi e supporti informatici, ancor di più nel periodo pandemico. Infatti, gli studi professionali si sono trovati, sebbene non tutti fossero pronti, a dover gestire adempimenti, clienti, dipendenti e appuntamenti, completamente a distanza, sfruttando mai come ora le potenzialità della rete internet e del cloud, forse non considerando adeguatamente anche tutti i relativi rischi e vulnerabilità.
Di seguito un estratto delle 12 azioni pratiche dell’Enisa, applicabili anche agli studi professionali:
1 -SVILUPPARE UNA SOLIDA CULTURA PER LA CYBERSECURITY, quindi attribuire la responsabilità della gestione, coinvolgere il personale, eseguire audit per la cybersicurezza, tenere a mente la protezione dei dati (Reg. UE 679/2016), pubblicare politiche in materia di cybersicurezza.
2 - FORNIRE UNA FORMAZIONE APPROPRIATA, quindi formare periodicamente i dipendenti e sensibilizzarli alla cybersicurezza.
3 - GARANTIRE UN'EFFICACE GESTIONE DEI TERZI, quindi tutti i fornitori, in particolare quelli che hanno accesso a dati e/o sistemi sensibili, siano gestiti attivamente e soddisfino i livelli di sicurezza concordati.
4 - SVILUPPARE UN PIANO DI RISPOSTA AGLI INCIDENTI, che contenga orientamenti, ruoli e responsabilità chiari e documentati per garantire che tutti gli incidenti a livello della sicurezza siano affrontati in modo tempestivo, professionale e appropriato.
5 - RENDERE SICURO L'ACCESSO AI SISTEMI, scegliendo password lunghe, complesse e non riutilizzarle altrove.
6 - RENDERE SICURI I DISPOSITIVI, quindi mantenere il software corretto e aggiornato, antivirus su tutti i tipi di dispositivi, utilizzare strumenti di protezione per i messaggi di posta elettronica e il web, crittografia, attuare la gestione dei dispositivi mobili.
7- RENDERE SICURA LA PROPRIA RETE, utilizzando firewall, analizzando le soluzioni di accesso remoto.
8 - MIGLIORARE LA SICUREZZA FISICA, quindi attuare controlli fisici adeguati nei luoghi in cui sono presenti informazioni importanti.
9 - RENDERE SICURI I BACKUP, per consentire il recupero di informazioni essenziali.
10 - LAVORARE CON IL CLOUD, considerandone attentamente tutti i rischi.
11 - RENDERE SICURI I PROPRI SITI ONLINE, quindi configurarli e tenerli in modo sicuro e da proteggere i dati che vengono trattati su di essi.
12 - CERCARE E CONDIVIDERE INFORMAZIONI, come strumento efficace nella lotta contro la criminalità informatica.
Svolgendo i professionisti tali azioni pratiche, non necessariamente troppo dispendiose in termini di investimenti, garantirebbero maggiore sicurezza nel trattamento dei dati personali presso i propri studi, anche in considerazione del principio di accountability alla base del Regolamento Europeo sulla protezione dei dati personali.
Fonte Federprivacy
Tutte le news