Cos'è la crittografia e che tipo di protezione offre?
La crittografia è il processo di codifica delle informazioni che ne impedisce l’accesso a persone non autorizzate. In caso di perdita dei dati crittografati di un'azienda, chiunque commetta il furto o ritrovi queste informazioni non sarà in grado di leggerle , in quanto saranno incomprensibili senza la chiave di decrittografia corretta.
Molte persone non sanno che gran parte delle informazioni è già protetta dalla crittografia. Ad esempio, lo shopping online e l'Internet banking non funzionerebbero senza questo strumento. La crittografia è stata concepita allo scopo di proteggere il denaro e le informazioni personali. Per quanto riguarda l'ambiente business, deve essere utilizzata per proteggere la proprietà intellettuale e il know-how aziendali, nonché i dati personali elaborati al suo interno.
Ulteriori informazioni
La proprietà intellettuale e il know-how possono riguardare i prodotti o i servizi creati da un’azienda, i metodi utilizzati per vendere correttamente tali prodotti o i processi utilizzati per garantirne un funzionamento efficace durante l’intero ciclo di vita. Allo stesso modo, possono includere business plan e piani di marketing per l’anno successivo. Tutte queste informazioni possono essere monetizzate o utilizzate in modo illecito dall’autore di un cyberattacco o da un ladro.
Le informazioni personali raccolte dall’azienda e i processi attuati possono includere dati relativi ai clienti e ai dipendenti. Per legge, l'utente è tenuto a proteggere l'accesso a tali informazioni, come stabilito dal Regolamento generale sulla protezione dei dati dell'Unione europea (GDPR).
GDPR e crittografia
Il GDPR fornisce una definizione di dati personali, vale a dire nomi e cognomi, fotografie, indirizzi e-mail, numeri di telefono, numeri di conto, impronte digitali e voci. Il regolamento, che è entrato in vigore in tutti gli Stati membri dell'UE dal 25 maggio 2018, descrive la crittografia come una forma di salvaguardia contro il rischio reputazionale .
Immagina che uno dei tuoi dipendenti smarrisca una chiavetta USB contenente un elenco dei clienti aziendali. Secondo il GDPR, sei tenuto/a a informare dell’incidente tutte le persone dell’elenco che potrebbero percepire la violazione dei dati come un motivo per cambiare fornitore. Tuttavia, l'obbligo di notifica nei confronti di tali persone non si applica in caso di crittografia delle informazioni personali .
Sai come comportarti nel caso in cui la tua azienda dovesse subire una perdita di informazioni personali?
Obbligo di notifica all’autorità di regolamentazione in materia di dati personali:
È necessario segnalare eventuali violazioni all'autorità competente in materia di protezione dei dati. Tale obbligo si applica non solo ai casi di maggiore entità, come ad esempio le perdite di grandi database, ma anche a errori minori. Ad esempio, se si confondono erroneamente i contenuti delle buste destinate a due destinatari diversi, è necessario segnalarlo.
72 ore
Dovrai comunicare l’incidente all'autorità di vigilanza competente entro 72 ore dal momento in cui ne sei venuto/a a conoscenza e non dal momento in cui si è verificato. Tuttavia, nel caso in cui non vengano rispettati questi termini, è necessario giustificare il ritardo nella notifica (vale a dire i motivi per cui la violazione non è stata segnalata entro 72 ore).
Obbligo di notifica nei confronti dei soggetti interessati
Nei casi più gravi, oltre alla notifica all'autorità per la protezione dei dati, è necessario informare anche i soggetti i cui dati sono stati interessati dall'incidente. Tuttavia, questo passaggio non è obbligatorio se l'incidente si è verificato in seguito all'attuazione di misure di sicurezza tecniche e organizzative appropriate da parte dell’azienda, specialmente quelle che rendono i dati personali incomprensibili ai soggetti non autorizzati ad accedervi. Il termine legale piuttosto complesso “misure tecniche” fa riferimento alla crittografia.
Possibili sanzioni correlate al GDPR
La mancata osservanza dell'obbligo di segnalare una violazione dei dati all'autorità di vigilanza competente è perseguibile con una sanzione fino a 10 milioni di euro o, nel caso di un'impresa, fino a un massimo del 2% del fatturato annuo mondiale dell'esercizio precedente . Oltre a questi criteri di carattere economico, l'autorità garante della protezione dei dati può anche attuare le seguenti misure:
- una limitazione temporanea o definitiva, che comprende un divieto di elaborazione dei dati personali
- l’eliminazione dei dati personali
Ciò significa che l’azienda potrebbe perdere tutti i contatti dei clienti esistenti o che le potrebbe essere temporaneamente vietata la facoltà di archiviare tali dati.
Le violazioni dei dati riguardano le aziende di tutte le dimensioni
A causa delle dimensioni ridotte e limitate delle proprie risorse, molte aziende ritengono di non essere vulnerabili a cyberattacchi o violazioni dei dati. Sfortunatamente, però, la verità è un’altra: gli analisti IDC sostengono che oltre il 70% dei casi di violazione della sicurezza riguardi le aziende di piccole e medie dimensioni . Tuttavia, la buona notizia è che queste non sono tenute a segnalare i cyberattacchi a meno che i dati personali non siano stati compromessi o non siano trapelati.
Il falso mito secondo cui esistono aziende immuni dai cyberattacchi spinge alcune di esse a provare un sentimento di vergogna o di paura per l'attenzione negativa scaturita dalla segnalazione di un attacco.
ESET ha rilevato che, durante il primo anno di attuazione del GDPR, le autorità di vigilanza in Europa non avevano ancora del tutto familiarizzato con le nuove regole. È quindi probabile che ora decidano di imporre un maggior numero di sanzioni.
Tuttavia, l'esperienza dimostra che in caso di collaborazione da parte delle aziende interessate, l’entità delle sanzioni tende a subire una riduzione . È stato inoltre osservato che, se la società in questione non è un gigante Internet, è improbabile che le venga comminata una sanzione di livello massimo.
È pertanto consigliabile che le aziende osservino sempre l'obbligo di notifica, cooperino con le autorità di vigilanza e informino i propri dipendenti sul contenuto dei dati personali e sulle modalità di protezione.
Soluzioni di crittografia ESET
ESET Endpoint Encryption protegge i dati sensibili sui dispositivi aziendali attraverso la crittografia. Applica questo strumento a file e cartelle, e-mail e allegati, supporti rimovibili, dischi virtuali e all'intero disco. È di facile utilizzo, offre un controllo remoto completo delle chiavi crittografiche e non richiede alcun server per la distribuzione. Ottieni una versione di prova gratuita di 30 giorni e prova ESET Endpoint Encryption nella tua azienda.
Maggiori informazioni
