Oggi, 8 febbraio, si celebra il Safer Internet Day (SID), la giornata mondiale per la Sicurezza in Rete. Giornata istituita e promossa dalla Commissione Europea, alla sua 19esima edizione, con l’obiettivo di informare e far riflettere sull’utilizzo consapevole di internet.
Anche in azienda vogliamo celebrare il SID e, per l’occasione, abbiamo intervistato Andreas Spanò, IT Security Manager, che ci ha spiegato l’importanza di proteggere i nostri dati in rete e cosa significa per un’azienda come Wurth Italia proteggere i propri dati.
Quali competenze ritieni fondamentali per svolgere il tuo lavoro?
Modo di lavorare preciso e attento, intraprendenza e capacità di “autogestirsi” il lavoro, interesse per tematiche complesse, non disperare davanti a tematiche complesse, interesse e affinità per la tecnologia e le nuove tecnologie, comunicazione assertiva e personalità.
Quali sono gli aspetti del tuo lavoro che più ti piace affrontare in una azienda come Würth?
Le aziende di grandi dimensioni come Würth Italia raggiungono dei livelli di complessità molto elevati al loro interno. Il numero di sistemi informativi che ci troviamo a gestire è molto alto e quasi tutti questi sistemi sono interconnessi tra di loro. Non è facile mantenere una buona visione d’insieme sull’intera infrastruttura, ma quando poi ci si riesce la soddisfazione è grande. È un po’ come un sofisticato meccanismo di ingranaggi che gira in continuazione all’interno di un orologio. Mi piace leggere l’ora nel “front end” e riuscire ad intravedere i complessi meccanismi che girano nel “back end” affinché ciò sia possibile.
Riesci a spiegarci, in breve l’importanza, della protezione dei propri dati in rete ed i pericoli ad essa associati?
Viviamo in un’era in cui sempre più persone utilizzano servizi digitali online, senza capire effettivamente come funzionano. La combinazione “tante informazioni / poca consapevolezza” ci ha portato nell’attuale era d’oro delle frodi informatiche. Utilizziamo sempre più servizi di cui in verità non comprendiamo il funzionamento, ma ci basta vedere un front end carino o una promo allettante per conferire qualsiasi dato richiesto.
La verità è che una volta comunicati, i tuoi dati escono dal tuo effettivo controllo. Da lì in poi la protezione di questi dati dipende dal gestore del sito e da te. Ti fidi del gestore del sito? Sai chi è e dove risiede? Sei sicuro che questo tratti i dati in maniera sicura? Probabilmente no. Ma anche se il gestore protegge i tuoi dati in maniera adeguata, questi possono essere violati se tu, in qualità di utente finale, non fai attenzione (ad es. utilizzando password poco sicure o uguali per tutti i tuoi account).
E se stai pensando “ma io non ho dati importanti, che vuoi che succeda”, pensa che ci sono centinaia di siti sui quali hai fatto degli acquisti che sanno chi sei, dove abiti e cosa acquisti, Apple Google e Meta conoscono tutte le tue preferenze personali, le tue abitudini, le tue opinioni espresse sui social, i tuoi spostamenti, i siti che visiti, la tua corrispondenza email, il tuo numero di telefono e le tue password. Molto probabilmente gestiscono anche tutta una serie di documenti estremamente sensibili sulla tua persona (carta d’identità / documenti legali o sanitari salvati su Drive o iCloud ecc.). Inoltre il sito di medicina che hai consultato prima di andare dal dottore conosce le tue patologie. Volendo, con questi dati uno sa tutto di te. Una volta violati, non puoi sapere a che scopo verranno utilizzati. A quel punto le finalità di utilizzo dipende soltanto dalla creatività di chi li vuole sfruttare.
Quindi tieni presente che “più dati comunichi e più sei attaccabile”. Quando navighi su internet un po’ di sana paranoia non fa male.
Dove inizia e dove finisce la Privacy Policy?
La privacy policy è il documento principe, che informa le persone su come verranno trattati i loro dati. Questa deve rispondere almeno alle seguenti domande:
- Chi tratta, Quali dati, Per quale motivo?
- Chi li potrà vedere, per quanto tempo?
- A chi mi posso rivolgere in caso di domande?
Le informative devono rispondere a queste domande in maniera semplice e completa, ma purtroppo questi due termini non vanno sempre d’accordo. Infatti, un’informativa semplice rischia di non essere completa, mentre un’informativa davvero completa potrebbe risultare di difficile lettura per chi non è del mestiere. Bisogna quindi trovare un compromesso tra completezza e semplicità, in grado di creare trasparenza anziché confusione.
Quali sono gli errori da evitare in azienda?
Credo che in generale l’errore più grave che si possa commettere in questo ambito è quello di sottovalutare la tematica. Infatti, per adeguarsi al Regolamento non basta aggiornare le informative privacy e le procedure aziendali, ma è necessario formare tutti gli utenti e stabilire dei processi utili a garantire un’applicazione proattiva delle norme in materia. Questo richiede l’acquisizione di know-how, il coinvolgimento costante di reparti diversi e l’impiego di risorse economiche.
Se ti appassiona questo tema, ecco un contributo di approfondimento del nostro collega Andreas