Il valore delle informazioni

Le informazioni sono indispensabili per la gestione aziendale: aspetti quali definire e capire il mercato, progettare, realizzare e gestire i prodotti, conoscere e fidelizzare i clienti, gestire l’amministrazione, effettuare l’assistenza tecnica, fissare gli obiettivi e controllare i risultati non possono essere efficacemente svolti senza un’adeguata gestione delle informazioni.

Per comprenderne la portata, si può confrontare il valore di qualsiasi impresa con quello della stessa in una situazione ipotetica in cui siano cancellate tutte le informazioni necessarie per il suo funzionamento. Come se, tutto d’un tratto, non fosse più possibile utilizzare le conoscenze del personale aziendale.

Ne consegue che la distruzione, la divulgazione illegittima di un’informazione di business o l’accadimento di ogni altro rischio connesso alla gestione del sistema informativo aziendale produce sempre e comunque un danno all’azienda.

Informazioni critiche

Chiarita l’importanza in generale delle informazioni, è indispensabile sottolineare – all’interno del patrimonio informativo aziendale – la particolare rilevanza delle informazioni critiche, cioè di quelle informazioni che – se divulgate all’esterno con modalità non autorizzate e/o non controllate – possono arrecare danni anche estremamente significativi all’azienda.

A titolo esemplificativo, possono far parte di queste informazioni critiche:

  • Esperienze tecnico industriali (quali disegni tecnici esecutivi di impianti o di prodotti, informazioni sulle modalità di attuazione di un processo industriale, progetti, ricette, dosaggi degli ingredienti, prototipi);

  • Informazioni commerciali (quali liste clienti con indicazione delle preferenze o delle condizioni contrattuali applicate, lista fornitori con indicazioni sull’affidabilità/qualità dei prodotti, ricerche e strategie di mercato, piani finanziari, piani promozionali).

Cosa prevedono le norme per la tutela delle informazioni critiche?

Dal punto di vista normativo, la protezione di tali informazioni è disciplinata dal codice della proprietà industriale (c.p.i.) e successive modifiche. Tale norma prevede la tutela legale delle informazioni critiche solo in caso l’azienda le abbia preventivamente sottoposte a misure di sicurezza adeguate a mantenere segrete le informazioni stesse.

Inoltre, la tutela è invocabile solo nei casi in cui la condotta del soggetto accusato, che deve essere abusiva, rientri in una delle tre ipotesi previste dalla norma in oggetto: acquisizione, rivelazione a terzi o utilizzazione delle informazioni o esperienze aziendali.

Individuare, adottare e mantenere le misure di sicurezza adeguate

Le considerazioni esposte, oltre a quanto richiesto per poter invocare la tutela legale delle informazioni aziendali, evidenziano l’importanza fondamentale di proteggere con misure di sicurezza adeguate qualsiasi informazione necessaria per lo svolgimento delle attività aziendali, durante tutto il suo ciclo di vita, dalla creazione all’utilizzo fino all’eliminazione.

E’ opportuno chiarire che le scelte relative alla sicurezza delle informazioni – per essere efficaci – non si devono riferire esclusivamente alla salvaguardia delle informazioni gestite da elaboratori, ma devono avere come oggetto la salvaguardia di tutte le informazioni trattate e distribuite con ogni mezzo.

In concreto, la sicurezza non riguarda solo tenere lontane le minacce esterne contro i sistemi aziendali, quanto piuttosto proteggere le informazioni – durante tutto il relativo ciclo di vita – dai fattori di rischio cui sono esposte (che sono di origine molto diversa tra loro, in relazione ai molteplici modi con cui circola l’informazione in azienda, ai possibili errori umani, alle modalità con cui si svolgono le attività aziendali) e proteggere le persone e i processi aziendali interessati nella gestione delle informazioni critiche.

Ne consegue che la sicurezza non può essere focalizzata solo sugli aspetti tecnologici, a scapito degli altri fattori di rischio.

Per questo, per un’adeguata tutela del patrimonio informativo dell’azienda, vanno adottate e tra loro modulate – in relazione allo specifico contesto aziendale – tre diverse tipologie di misure di sicurezza:

  • Sicurezza fisica, il cui scopo è impedire a un intruso, un estraneo o una persona non autorizzata l’accesso ai luoghi fisici in cui i dati aziendali sono custoditi;

  • Sicurezza logica, il cui scopo è quello di impedire l’accesso ai luoghi digitali (come server, database e computer) dell’azienda da parte di persone non autorizzate;

  • Sicurezza organizzativa, il cui scopo è individuare le modalità necessarie per l’implementazione, gestione e controllo delle misure di sicurezza adottate (attraverso l’identificazione di ruoli, funzioni e responsabilità e di un sistema di autoregolamentazione).

La protezione efficace con l’approccio coordinato tra diversi ambiti e misure di sicurezza

Un’efficace protezione delle informazioni – per evitare costi determinati da misure tra loro non allineate, duplicate o in conflitto – richiede per ogni azienda:

  • una gestione dei rischi secondo un approccio vista azienda (c.d. “enterprise-wide” ), che fa riferimento ad una prospettiva che considera l’azienda nel suo complesso e in cui il rischio è valutato a livello azienda e gestito in modo integrato, considerando le interdipendenze che si possono creare. Ritiene fondamentale rilevare le interconnessioni esistenti tra tutte le componenti dell’impresa, in quanto condizionanti la manifestazione dei fattori di rischio, la gestione dei rischi e l’adeguatezza delle misure di controllo;

  • l’individuazione e l’attuazione di misure valutate adeguate in specifico riferimento ai rischi rilevati con il processo di risk assessment, mediante un piano così articolato:

    • un presidio continuo in grado di coordinare la protezione dei sistemi (il “contenitore”) e la sicurezza delle informazioni (il “contenuto”);
    • un insieme di interventi correlati (approccio sistemico) che concilino i diversi ambiti – tra loro complementari – cui rispettivamente si riferiscono Sicurezza delle informazioni, Sicurezza informatica e Cybersecurity;
    • una gestione integrata di tutte le attività aziendali che riguardano le informazioni, nell’ambito di un’impostazione organizzativa unitaria e con un approccio multidisciplinare (gestione integrata della sicurezza delle informazioni).

Peraltro, tale approccio – essendo pienamente conforme a quanto previsto dalle norme cogenti che disciplinano le operazioni riguardanti dati e informazioni (quali il GDPR) e da standard volontari (quale le norma ISO 27001 in riferimento a cui si sviluppa il Sistema di gestione per la sicurezza delle informazioni certificabile) – consente di realizzare in modo unitario una protezione efficace di tutto il patrimonio informativo, senza dover adottare ulteriori misure in riferimento alle norme – applicabili alla gestione di dati e informazioni – cui l’azienda rispettivamente deve adempiere e/o cui sceglie di aderire.

Da dove si parte per proteggere le informazioni critiche

Il punto di partenza per un’efficace protezione del patrimonio informativo aziendale e, in particolare, delle informazioni critiche è la conoscenza preventiva del complesso di informazioni necessarie al funzionamento (e allo sviluppo) dell’azienda e dei diversi livelli di criticità propri di ogni classe di informazione.

In altri termini, per prevenire i rischi cui sono esposte le informazioni è indispensabile prima definire e applicare un sistema di classificazione delle informazioni aziendali.

Approfondimenti gratuiti nella nostra area riservata

Sicurezza delle informazione e Cybersecurity

Il significato dei termini Sicurezza delle informazioni, Sicurezza informatica e Cybersecurity è illustrata nell’articolo “Sicurezza delle informazioni, Sicurezza informatica e Cybersecurity” all’interno dell’area riservata.

Come realizzare un sistema di classificazione delle informazioni

Una sintesi di come sviluppare un Sistema di classificazione delle informazioni aziendali è illustrata nell’articolo “Come realizzare un Sistema di classificazione delle informazioni” disponibile all’interno dell’area riservata.

Vuoi saperne di più?

Sono disponibili dei contenuti gratuiti aggiuntivi nella nostra area riservata
Per approfondire, accedi o registrati.
Registrati ora!
REGISTRAZIONE
Se sei già iscritto, Accedi.
Powered by Convert Plus

Contatta un consulente

Compila il modulo per fissare una riunione in videoconferenza con i nostri consulenti per ogni eventuale chiarimento e approfondimento

Ricorda di prestare il consenso per essere sempre aggiornato sulle novità normative e ricevere gli inviti ai nostri eventi gratuiti!

    (*) per i campi contrassegnati da * la compilazione è obbligatoria.

    Ho letto l’Informativa sulla Privacy e la Privacy Policy e autorizzo il trattamento dei miei dati personali per le finalità descritte al paragrafo “Esecuzione di attività richieste dall’interessato” dell’Informativa
    [la mancata autorizzazione al trattamento comporta l’impossibilità di svolgere le attività richieste]

    Presto il consenso al trattamento dei miei dati personali per le finalità descritte al paragrafo “Gestione di documentazione tecnico-informativa” dell’Informativa
    [il mancato consenso impedisce l’invio di documentazione tecnica e di contenuti di aggiornamento tecnico]

    Presto il consenso al trattamento dei miei dati personali per le finalità descritte al paragrafo “Gestione iniziative di informazione tecnica, pubblicitaria e promozionale” dell’Informativa
    [il mancato consenso impedisce l’aggiornamento in merito ai nostri servizi, l’invito a nostri eventi gratuiti e la partecipazione a nostre iniziative a condizioni riservate]