Misure di sicurezza IT per la prevenzione della responsabilità penale d’impresa: linee guida

In un mondo sempre più digitale e interconnesso, la prima regola di ogni impresa è quella di difendersi da ogni possibile attacco informatico in grado di recare danno alla propria operatività, al proprio patrimonio, alla propria reputazione e, perché no, alla propria clientela: anche per questo è importante adottare le giuste misure di sicurezza IT per la prevenzione della responsabilità penale d’impresa, ai sensi del D.lgs.231/2001 sui reati informatici.

Il vero problema è riuscire a stare al passo con i tempi e con l’evoluzione tecnologica. Si pensi, ad esempio, alle sempre più sofisticate campagne di phishing, agli artificiosi casi di spear phishing, di whaling o di man in the middle, al costante impiego di ransomware che criptano i file per la richiesta di un riscatto, ma anche ai diffusi eventi di data breach, e l’elenco potrebbe continuare.

Indice degli argomenti

Misure di sicurezza IT e responsabilità penale d’impresa: lo scenario

Per molti anni, l’impiego delle misure di sicurezza IT nelle imprese ha risposto all’esigenza di difendere il patrimonio aziendale dagli assidui attacchi per opera di criminali informatici. Questo è diventato tanto più vero quanto più abbiamo assistito ad un duplice fenomeno: da una parte la cosiddetta dematerializzazione del dato, che porta a digitalizzare ogni informazione, rendendone facile la trasferibilità; e dall’altro l’incremento dell’utilizzo della comunicazione digitale, che non sempre consente di sapere «chi è presente nella rete» e chi sta realmente assistendo alla comunicazione.

Nell’ultima decade, però, abbiamo assistito ad un’ulteriore evoluzione in ambito di cyber security. Le imprese, infatti, sembrano essere sempre più coinvolte nella definizione di misure di protezione da possibili attacchi che non provengono più (o almeno non solo) dall’esterno, ma piuttosto dall’interno della propria organizzazione.

Questa maggiore responsabilizzazione è dipesa certamente dall’ingresso massivo nelle imprese di device (per esempio, tablet e smartphone), ma anche dall’utilizzo di server di cloud computing (per esempio, servizi di memorizzazione e archiviazione dei dati distribuiti su reti e server remoti) che hanno moltiplicato le opportunità di realizzazione di un reato informatico, introducendo criticità in relazione al loro utilizzo aziendale.

Lo sviluppo della tecnologia informatica e il suo ingresso nelle aziende hanno generato modifiche sostanziali nell’organizzazione del business di impresa, dilatando notevolmente il perimetro dei potenziali autori di reati informatici e coinvolgendo non più solo e unicamente la Funzione di Information & Communication Technology, ma praticamente quasi tutte le aree aziendali, che si sono via via digitalizzate. Per citarne alcune, Amministrazione e Contabilità, Marketing, Commerciale, Acquisti, Risorse Umane, ma anche Produzione o Distribuzione, le quali intervengono sui dati con capacità sempre maggiori di introspezione, analisi, ma anche di modifica massiva, aumentando in modo esponenziale la superficie d’attacco ed i rischi di sicurezza informatica.

Misure di sicurezza IT e responsabilità penale d’impresa: considerazioni

Proprio in risposta al dilagante fenomeno della criminalità informatica è intervenuta la L. 48/2008, di ratifica della Convenzione di Budapest che ha comportato l’estensione della responsabilità penale d’impresa ai sensi del D.lgs.231/2001 ai reati informatici. Dal 2008, quindi, ogni organizzazione che voglia prevenire la commissione di tali illeciti, realizzati nel proprio interesse o vantaggio, è tenuta ad implementare un proprio sistema di controllo, specifico per tutte le attività che comportano l’utilizzo dei sistemi informativi.

Tre sono le considerazioni di rilievo che possiamo fare a partire da questo aspetto.

In primo luogo, adottare misure di sicurezza tecniche in grado di prevenire la commissione dei reati informatici non è più solo una scelta, ma un vero e proprio onere. Si pensi, ad esempio, alla possibilità di vietare l’apertura di connessioni non autorizzate dall’interno verso l’Internet o impedire la divulgazione di un malware in grado di distruggere il sito di un concorrente, o di un trojan capace di consentire l’accesso abusivo al sistema informatico di un competitor al fine di sottrarre dati e informazioni utili per sviluppare il proprio business, o per conoscere le strategie di marketing altrui.

WHITEPAPER

Quali elementi considerare per capire se si è vulnerabili agli hacker?

La seconda considerazione è che gran parte delle misure di sicurezza necessarie per la conformità 231 sono anche e soprattutto misure a tutela del business: un sistema di controllo efficace per tenere fuori i cattivi, è in grado, con minor sforzo, di prevenire anche la commissione di reati dall’interno.

La terza è che, in ogni caso, affinché un modello 231 sia correttamente dispiegato, le misure di information security tradizionali devono essere integrate con ulteriori interventi: circa le misure di sicurezza di cui dovrebbe dotarsi l’ente per delineare un sistema di controllo interno che sia idoneo ed efficace a prevenire la commissione dei reati da cui potrebbe derivare la responsabilità 231, vengono in supporto delle imprese le Linee Guida redatte da Confindustria, dedicate alla costruzione dei Modelli Organizzativi ai sensi del D. Lgs. n. 231/2001.

Misure di sicurezza IT e responsabilità penale d’impresa: linee guida

Con riferimento proprio ai delitti informatici, richiamando esplicitamente lo standard ISO 27001 “Tecnologia delle informazioni – Tecniche di sicurezza – Sistemi di gestione della sicurezza delle informazioni – Requisiti”, Confindustria suggerisce, ad esempio, di:

  • definire un processo autorizzativo per la designazione dei profili di accesso ai sistemi aziendali, che preveda altresì l’accesso unicamente alle aree e ai sistemi necessari per lo svolgimento delle mansioni aziendali dell’utente;
  • adottare delle procedure atte a garantire sia la tracciabilità degli accessi ai sistemi informativi che il monitoraggio dei medesimi al fine di individuare eventuali anomalie e intercettare utilizzi illeciti dei sistemi medesimi;
  • cancellare i diritti di accesso ai sistemi informativi contestualmente alla cessazione del rapporto di lavoro o di collaborazione dell’utente;
  • prevedere il regolare e, ove possibile automatico, aggiornamento di tutti i sistemi informativi utilizzati;
  • predisporre procedure per rilevare e indirizzare tempestivamente le vulnerabilità tecniche dei sistemi;
  • adottare misure di protezione dei documenti elettronici e dell’integrità delle informazioni messe a disposizione su un sistema accessibile al pubblico, al fine di prevenire modifiche non autorizzate;
  • prevedere misure di sicurezza per apparecchiature fuori sede, che prendano in considerazione i rischi derivanti dall’operare al di fuori del perimetro dell’organizzazione;
  • effettuare delle verifiche periodiche sulla rete aziendale, sul rispetto delle politiche di sicurezza e sui software installati;
  • vietare l’impiego dei beni aziendali al fine di violare la tutela dei diritti d’autore, duplicando abusivamente un software.

Ciò che serve tenere a mente, nella configurazione della propria rete aziendale e nella gestione degli asset IT, è che le misure di sicurezza possono essere tanto più varie quanto più diversificate sono le finalità a cui esse devono rispondere e queste possono dipendere dalle differenti normative a cui la stessa impresa deve rispondere.

Tutto sta nel riuscire a definire il perimetro della propria sicurezza, in modo organico, completo e – possibilmente – integrato tra le normative (D.lgs. 231/2001, GDPR, Direttiva NIS ecc.), e i framework e standard riconosciuti a livello internazionale in tema di ICT Security Governance, Management & Compliance (Linee Guida ENISA, Gruppo delle ISO/IEC 27000 ecc.).

Conclusioni

A chiusura di quanto finora detto, vale però sempre la pena ricordare che tutte le misure di sicurezza informatiche che si possono adottare, per quanto opportunamente configurate, non possono tuttavia garantire la difesa dell’impresa se essa stessa non sviluppa una cultura della sicurezza informatica, come suggerito dalla stessa Confindustria.

Questa cultura della sicurezza aziendale non può più essere limitata all’Ufficio Information Technology ma deve partire dal Management per giungere fino ad ogni utente finale, il quale deve comprendere che impiegare un device aziendale comporta anche una responsabilità di utilizzo.

In quanto utenti, a qualsiasi livello organizzativo dell’impresa, dobbiamo essere tutti consapevoli del rischio intrinseco di utilizzo di uno strumento informatico e per questo è nostro dovere informarci circa l’affidabilità e la sicurezza delle attività informatiche quotidiane e segnalare qualsiasi tipo di anomalia riscontrata.

@RIPRODUZIONE RISERVATA
Sorgente articolo:
Misure di sicurezza IT per la prevenzione della responsabilità penale d’impresa: linee guida

User ID Campaign ID Link
d9a95efa0a2845057476957a427b0499 l-99999997 Videochiamate per le Aziende
d9a95efa0a2845057476957a427b0499 l-99999980 Ugo Fiasconaro
d9a95efa0a2845057476957a427b0499 l-99999986 Cloud Real Time
d9a95efa0a2845057476957a427b0499 l-99999988 Posiziona il tuo sito nelle prime pagine dei motori di ricerca