La sicurezza dei dati è una priorità assoluta per qualsiasi realtà aziendale, a prescindere dalle sue dimensioni. Lo è a maggior ragione per uno studio commercialista, che tra i suoi documenti registra dati fiscali, personali, contratti, visure e altro: i dati dei clienti sono il patrimonio vitale dello studio e la loro sicurezza va garantita a tutti i costi.
Una struttura efficiente non teme l’hacker di turno, non ha paura di danni ai server né guarda con terrore al classico virus da chiavetta USB; uno studio efficiente ha una risposta pronta a ogni imprevisto e sa che i dati che custodisce saranno sempre disponibili per i soggetti autorizzati e non verranno mai resi pubblici.
Però viviamo in un mondo strano: da un lato chi gestisce lo studio è consapevole del disastro (non troviamo una parola migliore) che una fuga di dati può causare; al tempo stesso, però, sono davvero pochi gli esempi virtuosi che si muovono sul terreno dell’assoluta sicurezza. E allora bisogna chiarire subito una cosa: malware, ransomware e hacking di diversa natura non colpiscono solo le grandi Corporation. Anzi, sono spesso le realtà più piccole ad essere prese di mira perché il loro investimento in sicurezza non è comparabile e la ‘proattività’ minimale.
Peccato che poi un data breach, ovvero un furto di dati, vada a causare un’infinità di danni: economici diretti, di lucro cessante e, forse i peggiori di tutti, quelli d’immagine. D’altronde, voi affidereste i dati dell’azienda a chi si è fatto soffiare quelli di un vostro concorrente? Oltretutto, da quando in Europa è in vigore il GDPR (General Data Protection Regulation) qualsiasi attacco informatico che abbia causato un data breach va denunciato entro 72 ore: le sanzioni per il mancato rispetto della norma sono decisamente salate ed è il caso di prendere tutti i provvedimenti necessari.
Hardware, software e (soprattutto) buone abitudini
Posto che la protezione di dati è fondamentale per qualsiasi studio che si rispetti, ci domandiamo cosa si debba fare per dormire sonni tranquilli. Il segreto sta nel dotarsi di un’infrastruttura informatica allineata alle dimensioni dello studio e che disponga di tutti gli strumenti di sicurezza adeguati. È infatti la giusta combinazione di dispositivi hardware, software e buone abitudini a minimizzare il rischio di incidenti ai dati sensibili, che vanno dall’hacker senza scrupoli al virus, ma anche alla cancellazione accidentale alla sovrascrittura di uno o più documenti.
Peccato che molte strutture, soprattutto le più piccole, non sempre siano allo ‘stato dell’arte’ sotto questo profilo: la realtà parla di PC datati, server e dispositivi non aggiornati, oltre magari a qualche protezione antivirus non proprio recente. Per chi gestisce lo studio, la prima linea guida è definire strette policy di sicurezza e aggiornare tutto l’aggiornabile: sistemi operativi dei PC, dei server e software antivirus eventualmente installati, avendo cura di usare solo applicazioni che siano ancora supportate dal produttore. Visto che i PC dello studio sono connessi alla rete interna ma hanno anche uno sbocco su Internet, è poi fondamentale attuare una sorta di difesa perimetrale per la quale si trova un dispositivo specifico: il Firewall. Questo esiste sotto forma di software ma, più spesso, è quel misterioso apparecchio che gestisce il traffico in ingresso e in uscita dalla rete dello studio e può bloccare connessioni pericolose e dati malevoli che potrebbero mettere in ginocchio la rete.
E che dire del classico antivirus da installare nei dispositivi? Il concetto, nato più di vent’anni fa, resta valido anche se oggi le soluzioni di sicurezza endpoint sono molto più efficienti e la rilevazione di virus/malware è diventata una delle tante funzioni: le minacce sono sempre più sofisticate e occorre dotarsi di una piattaforma che funga da protezione web completa, con funzionalità tipo application control, data control, network access control ecc. Questo è un passo fondamentale per dormire sonni sereni.
Attenzione però: la sicurezza è sì evitare un virus, ma anche fare in modo che i dati non vadano persi per altre cause. Backup e procedure di Disaster Recovery restano fondamentali: se per qualsiasi motivo i dati dei server dovessero risultare compromessi, è importante non solo averne una o più copie, ma riportare l’ufficio a piena operatività nel minor tempo possibile. Le soluzioni sono molte, ma le più efficienti effettuano i backup in modo automatizzato replicando l’intero sistema informativo (non solo una porzione di esso o dati specifici).
Infine, c’è tutto il discorso del cloud, fondamentale sia per l’automazione di cui sopra sia per avere una copia ‘fuori sede’ e in ambiente protetto, che non risenta di danni strutturali come un cortocircuito, un incendio o l’attacco di un cryptolocker sui dispositivi dello studio. L’impiego di piattaforme cloud, assistito da corrette procedure interne, rappresenta la soluzione migliore per chi ha cuore l’integrità dei dati: la responsabilità della sicurezza non grava solo sullo studio ma è condivisa con il provider del servizio cloud, che impiega tutte le più recenti tecnologie per assicurare un’esperienza proficua e serena. A patto, ovviamente, di adottare comportamenti virtuosi: ancora oggi uno degli attacchi più comuni alle informazioni depositate in cloud è l’hijacking, ovvero il furto delle credenziali di accesso. Perché, se è vero che la sicurezza passa dall’infrastruttura sicura, tutto il resto non può essere dimenticato.