SICUREZZA INFORMATICA

Misure di sicurezza IT per la prevenzione della responsabilità penale d’impresa: linee guida

La dematerializzazione del dato ha di fatto obbligato le aziende a rivedere le misure di sicurezza IT anche per prevenire la responsabilità penale d’impresa. La loro adozione, però, deve camminare di pari passo con lo sviluppo di una cultura aziendale della sicurezza informatica. Ecco alcune utili linee guida

21 Lug 2020
B
Jennifer Basso Ricci

Associate Partner P4I

M
Margherita Masseroni

Consultant P4I


In un mondo sempre più digitale e interconnesso, la prima regola di ogni impresa è quella di difendersi da ogni possibile attacco informatico in grado di recare danno alla propria operatività, al proprio patrimonio, alla propria clientela e, perché no, alla propria reputazione: ecco perché è importante adottare le giuste misure di sicurezza IT (anche) per la prevenzione della responsabilità penale d’impresa, ai sensi del D.lgs.231/2001 sui reati informatici.

Il vero problema è riuscire a stare al passo con i tempi e con l’evoluzione tecnologica. Si pensi, ad esempio, alle sempre più sofisticate campagne di phishing, agli artificiosi casi di spear phishing, di whaling o di man in the middle, al costante impiego di ransomware che criptano i file per la richiesta di un riscatto, ma anche ai diffusi eventi di data breach, e l’elenco potrebbe continuare.

Misure di sicurezza IT e responsabilità penale d’impresa: lo scenario

Per molti anni, l’impiego delle misure di sicurezza IT nelle imprese ha risposto all’esigenza di difendere il patrimonio aziendale dagli assidui attacchi per opera di criminali informatici. Questo è diventato tanto più vero quanto più abbiamo assistito ad un duplice fenomeno: da una parte la cosiddetta dematerializzazione del dato, che porta a digitalizzare ogni informazione, rendendone facile la trasferibilità e dall’altro l’incremento dell’utilizzo della comunicazione digitale, che non sempre consente di sapere «chi è presente nella rete» e chi sta realmente assistendo alla comunicazione.

Nell’ultima decade, però, abbiamo assistito ad un’ulteriore evoluzione in ambito di cyber security. Le imprese, infatti, sembrano essere sempre più coinvolte nella definizione di misure di protezione da possibili attacchi che non provengono più (o almeno non solo) dall’esterno, ma piuttosto dall’interno della propria organizzazione.

Questa maggiore responsabilizzazione è dipesa certamente dall’ingresso massivo nelle imprese di device (per esempio, tablet e smartphone), ma anche dall’utilizzo di server di cloud computing (per esempio, servizi di memorizzazione e archiviazione dei dati distribuiti su reti e server remoti) che hanno moltiplicato le opportunità di realizzazione di un reato informatico, introducendo criticità in relazione al loro utilizzo aziendale.

Lo sviluppo della tecnologia informatica e il suo ingresso nelle aziende hanno generato modifiche sostanziali nell’organizzazione del business di impresa, dilatando notevolmente il perimetro dei potenziali autori di reati informatici e coinvolgendo non più solo e unicamente la Funzione di Information & Communication Technology, ma praticamente quasi tutte le aree aziendali, che si sono via via digitalizzate. Per citarne alcune, Amministrazione e Contabilità, Marketing, Commerciale, Acquisti, Risorse Umane, ma anche Produzione o Distribuzione, le quali intervengono sui dati con capacità sempre maggiori di introspezione, analisi, ma anche di modifica, aumentando in modo esponenziale la superficie d’attacco ed i rischi di sicurezza informatica.

Misure di sicurezza IT e responsabilità penale d’impresa: considerazioni

Proprio in risposta al dilagante fenomeno della criminalità informatica è intervenuta la L. 48/2008, di ratifica della Convenzione di Budapest che ha comportato l’estensione della responsabilità penale d’impresa ai sensi del D.lgs.231/2001 ai reati informatici. Dal 2008, quindi, ogni organizzazione che voglia prevenire la commissione di tali illeciti, realizzati nel proprio interesse o vantaggio, è tenuta ad implementare un proprio sistema di controllo, specifico per tutte le attività che comportano l’utilizzo dei sistemi informativi.

Tre sono le considerazioni di rilievo che possiamo fare a partire da questo aspetto.

In primo luogo, adottare misure di sicurezza tecniche in grado di prevenire la commissione dei reati informatici non è più solo una scelta, ma un vero e proprio onere. Si pensi, ad esempio, alla possibilità di vietare l’apertura di connessioni non autorizzate dall’interno verso l’Internet o impedire la divulgazione di un malware in grado di distruggere il sito di un concorrente, o di un trojan capace di consentire l’accesso abusivo al sistema informatico di un competitor al fine di sottrarre dati e informazioni utili per sviluppare il proprio business, o per conoscere le strategie di marketing altrui.

La seconda considerazione è che gran parte delle misure di sicurezza necessarie per la conformità 231 sono anche e soprattutto misure a tutela del business: un sistema di controllo efficace per tenere fuori i cattivi, è in grado, con minor sforzo, di prevenire anche la commissione di reati dall’interno.

La terza è che, in ogni caso, affinché un modello 231 sia correttamente dispiegato, le misure di information security tradizionali devono essere integrate con ulteriori interventi: circa le misure di sicurezza di cui dovrebbe dotarsi l’ente per delineare un sistema di controllo interno che sia idoneo ed efficace a prevenire la commissione dei reati da cui potrebbe derivare la responsabilità 231, vengono in supporto delle imprese le Linee Guida redatte da Confindustria, dedicate alla costruzione dei Modelli Organizzativi ai sensi del D. Lgs. n. 231/2001.

Misure di sicurezza IT e responsabilità penale d’impresa: linee guida

Con riferimento proprio ai delitti informatici, richiamando esplicitamente il COBIT (Control Objectives for Information and related Technology); lo standard ISO 27001 (la norma internazionale che fornisce i requisiti per un sistema di gestione della sicurezza), Confindustria suggerisce, ad esempio, di:

  • definire un processo autorizzativo per la designazione dei profili di accesso ai sistemi aziendali, che preveda altresì l’accesso unicamente alle aree e ai sistemi necessari per lo svolgimento delle mansioni aziendali dell’utente;
  • adottare delle procedure atte a garantire sia la tracciabilità degli accessi ai sistemi informativi che il monitoraggio dei medesimi al fine di individuare eventuali anomalie e intercettare utilizzi illeciti dei sistemi medesimi;
  • cancellare i diritti di accesso ai sistemi informativi contestualmente alla cessazione del rapporto di lavoro o di collaborazione dell’utente;
  • prevedere il regolare e, ove possibile automatico, aggiornamento di tutti i sistemi informativi utilizzati;
  • predisporre procedure per rilevare e indirizzare tempestivamente le vulnerabilità tecniche dei sistemi;
  • adottare misure di protezione dei documenti elettronici e dell’integrità delle informazioni messe a disposizione su un sistema accessibile al pubblico, al fine di prevenire modifiche non autorizzate;
  • prevedere misure di sicurezza per apparecchiature fuori sede, che prendano in considerazione i rischi derivanti dall’operare al di fuori del perimetro dell’organizzazione;
  • effettuare delle verifiche periodiche sulla rete aziendale, sul rispetto delle politiche di sicurezza e sui software installati;
  • vietare l’impiego dei beni aziendali al fine di violare la tutela dei diritti d’autore, duplicando abusivamente un software.

Ciò che serve tenere a mente, nella configurazione della propria rete aziendale e nella gestione degli asset IT, è che le misure di sicurezza possono essere tanto più varie quanto più diversificate sono le finalità a cui esse devono rispondere e queste possono dipendere dalle differenti normative a cui la stessa impresa deve rispondere.

Tutto sta nel riuscire a definire il perimetro della propria sicurezza, in modo organico, completo e – possibilmente – integrato tra le normative (D.lgs. 231/2001, GDPR, Direttiva NIS ecc.), e i framework e standard riconosciuti a livello internazionale in tema di ICT Security Governance, Management & Compliance (Linee Guida ENISA, Gruppo delle ISO/IEC 27000 ecc.).

Conclusioni

A chiusura di quanto finora detto, vale però sempre la pena ricordare che tutte le misure di sicurezza informatiche che si possono adottare, per quanto opportunamente configurate, non possono tuttavia garantire la difesa dell’impresa se essa stessa non sviluppa una cultura della sicurezza informatica, come suggerito dalla stessa Confindustria.

Questa cultura della sicurezza aziendale non può più essere limitata all’Ufficio Information Technology ma deve partire dal Management per giungere fino ad ogni utente finale, il quale deve comprendere che impiegare un device aziendale comporta anche una responsabilità di utilizzo.

In quanto utenti, a qualsiasi livello organizzativo dell’impresa, dobbiamo essere tutti consapevoli del rischio intrinseco di utilizzo di uno strumento informatico e per questo è nostro dovere informarci circa l’affidabilità e la sicurezza delle attività informatiche quotidiane e segnalare qualsiasi tipo di anomalia riscontrata.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5