La formazione di chi accede ai sistemi informatici è fondamentale
La formazione di chi accede ai sistemi informatici è fondamentale in quanto sempre più spesso si verificano tentativi di phishing che si presentano come messaggi inattesi e con richieste urgenti: bisogna essere particolarmente sospettosi.
Vi sono inoltre attacchi mirati (si chiamano spear phishing) in cui l’attaccante studia la vittima, spesso tramite social o altre fonti pubbliche.
Chiunque cerchi di guadagnare la nostra fiducia usando informazioni personali dev’essere guardato con sospetto.
Bisogna ricordare che per la compliance al GDPR è d’obbligo la formazione degli incaricati in forza all’azienda (eliminato dal vecchio codice privacy e reintrodotto con la 679/2016): soprattutto non si devono sottovalutare le sanzioni correlate ad eventuale inadempienza. Infatti, in caso di controlli che riscontrassero l’assenza di un adeguato piano formativo, ai sensi dell’art. 83 del Regolamento privacy europeo può scattare la sanzione amministrativa pecuniaria fino a 10 milioni di euro o, per le imprese, fino a 2 % del fatturato mondiale annuo dell’anno precedente.
Ma cosa occorre fare?
Prevedere un programma di formazione specifico collettivo per tutti gli incaricati (facenti parte dell’organigramma privacy) che lavorano in azienda, sensibilizzandoli al data security, soprattutto quello inerente il trattamento dei dati personali, anche attraverso i sistemi informatici (email, documenti, fogli di calcolo etc.) e quelli analogici aziendali.
La formazione inoltre deve prevedere la documentazione di tutto il percorso con la necessita di verifica finale ai fini dell’accountability.