Pubblicato il

In omaggio – Guida pratica a 100 funzioni di MS Excel

Guida pratica per utilizzare MS Excel in modo ancora più efficace
In lingua inglese, ma molto comprensibile –

La trovi dopo le ultime novità di Edirama.org in fondo alla pagina
ULTIME NOVITA’ PUBBLICATE

100_funzioni_Excel

Pubblicato il

Email aziendale: il collaboratore esterno ha gli stessi diritti del dipendente

Il lavoratore va sempre informato in maniera esaustiva sul trattamento dei suoi dati e il datore di lavoro deve rispettarne i diritti, le libertà fondamentali e la reputazione professionale. Questo il principio ribadito dal Garante, che, a seguito di un reclamo, ha imposto ad una società la sanzione di 50.000 euro per aver gestito l’account di posta aziendale di una collaboratrice esterna in violazione delle norme sulla privacy. La società senza alcun preavviso né comunicazione successiva, aveva inibito alla dipendente l’accesso al suo account, utilizzato per le relazioni commerciali, account che risultava però ancora attivo. La lavoratrice infatti continuava a ricevere sul suo computer e sul telefono gli avvisi e le richieste di immettere la nuova password di accesso, che era stata cambiata da remoto a sua insaputa. L’interessata aveva provveduto a segnalare l’accaduto alla Società, chiedendo il tempestivo ripristino della casella di posta, che conteneva comunicazioni di lavoro e personali, ma non avendo ricevuto risposta si era rivolta al Garante. A seguito dell’accertamento ispettivo, effettuato su mandato dell’Autorità dal Nucleo Speciale Privacy della Guardia di Finanza, e della chiusura dell’istruttoria, l’Autorità ha ribadito gli obblighi informativi e quelli di corretta e trasparente gestione della casella di posta aziendale a carico della Società, precisando che il fatto che la reclamante fosse un’agente e non una lavoratrice subordinata non rilevava ai fini della necessità di tali adempimenti. Numerose le violazioni contestate all’azienda: omesso riscontro alla richiesta di informazioni del Garante, inosservanza del principio di limitazione della conservazione dei dati, mancata documentazione del rilascio di un’idonea informativa, mancata risposta all’istanza dell’interessata e inibizione del suo account aziendale. Rilevati gli illeciti, il Garante ha comminato alla Società una sanzione di 50.000 euro. L’azienda dovrà inoltre consentire alla lavoratrice di accedere alla propria casella di posta per recuperare la sua corrispondenza e disattivare l’account informando clienti e fornitori con indirizzi alternativi. La società non potrà trattare i dati estratti dalla casella di posta, se non per la tutela dei diritti in sede giudiziaria e solo per il tempo necessario a tale scopo e dovrà garantire un tempestivo riscontro all’esercizio dei diritti di tutti i suoi lavoratori, rilasciando loro un’idonea, preventiva e documentata informativa sul trattamento dei dati personali, incluso l’utilizzo di Internet e della posta elettronica aziendale.
Pubblicato il

Due guide pratiche per utilizzare MS Excel e per realizzare presentazioni più efficaci

Due guide pratiche per utilizzare MS Excel e per realizzare presentazioni più efficaci.
In lingua inglese, ma molto comprensibili –

Le trovi dopo le ultime novità di Edirama.org in fondo alla pagina
ULTIME NOVITA’ PUBBLICATE

Effective Presentations Quick Reference_new
Microsoft_Excel_Step_by_Step_Guide_1651493920

Pubblicato il

In che modo ISO 27001 può aumentare la sicurezza del cloud

Le organizzazioni utilizzano sempre di più i servizi Cloud.  Secondo un recente sondaggio , il 92% delle organizzazioni ne utilizza più di uno, in media 2,6 cloud negli enti pubblici e 2,7 nelle aziende private.

I principali vantaggi del cloud sono  una maggiore accessibilità all’automazione e una superiore sincronizzazione dei dati e delle informazioni.

Tuttavia, molte persone credono che l’utilizzo di un provider di archiviazione cloud aumenti la sicurezza informatica. Ciò è vero in parte.

Infatti  le informazioni archiviate nel Cloud sono  conservate in un luogo fisico e, se sono accessibili a te, significa che potrebbero essere accessibili anche ai criminali informatici.

Per proteggere veramente i dati archiviati nel Cloud, devi prendere le stesse precauzioni che avresti con le informazioni conservate altrove. Ciò significa implementare controlli adeguati basati sul quadro delineato nella ISO 27001 , lo standard internazionale che descrive le migliori pratiche per un SGSI  (sistema di gestione della sicurezza delle informazioni).

In questo articolo, esaminiamo tre modi in cui ISO 27001 può aiutare a proteggere le informazioni archiviate nel cloud.

Programma antivirus
Il Cloud, come qualsiasi database accessibile tramite Internet, è suscettibile agli attacchi di malware.

Questi possono presentarsi in qualsiasi forma, inclusi worm, adware, keylogger e ransomware. L’unico modo per rilevarli costantemente è con la tecnologia antivirus e anti-malware.

L’allegato A.12.2 della ISO 27001 riguarda la prevenzione del malware e l’ovvio punto di partenza è il software antimalware.

Questi sono alcuni degli strumenti di sicurezza informatica più comuni sul mercato, quindi non dovresti avere problemi a trovare un pacchetto adatto. Aziende come  Norton, Bitdefender e Kaspersky offrono tutti servizi, differenziandosi attraverso funzionalità aggiuntive.

Bitdefender, ad esempio, si distingue per la sua capacità di rilevare i ransomware, mentre F-Secure è uno dei pochi servizi utilizzabili sui dispositivi Apple.

Consapevolezza del personale
E’ più importante la prevenzione del malware che rilevarne le minacce. L’allegato A.12.2 indica ulteriori azioni che le organizzazioni possono intraprendere per garantire che le vulnerabilità siano affrontate tempestivamente e che i dipendenti non commettano errori che potrebbero consentire al malware di entrare nei sistemi dell’organizzazione.

Un modo per farlo è implementare un programma di patch di vulnerabilità per garantire che gli aggiornamenti vengano applicati tempestivamente.

Le organizzazioni dovrebbero anche testare l’efficacia di tali patch per garantire la disponibilità continua e l’integrità delle informazioni, riducendo al minimo le incompatibilità.

La formazione alla sensibilizzazione del personale gioca un ruolo cruciale in questo processo. I dipendenti dovrebbero essere istruiti sull’importanza della gestione delle patch e ricevere linee guida sui passaggi da seguire.

Inoltre, consideriamo che l’infezione da malware avviene più comunemente tramite e-mail di phishing. Pertanto, le organizzazioni dovrebbero condurre una formazione regolare di sensibilizzazione del personale per aiutare i dipendenti a individuare le e-mail sospette e segnalarle tempestivamente.

Backup delle informazioni
Un altro controllo che aiuta con la sicurezza del Cloud può essere trovato nell’allegato A.12.3, dove viene indicato che le organizzazioni dovrebbero eseguire il backup delle informazioni sensibili .

Le organizzazioni spesso pensano erroneamente che il Cloud stesso sia un backup, perché sarà al sicuro nel caso in cui accada qualcosa ai server di proprietà dell’organizzazione.

Tuttavia, anche i server cloud sono vulnerabili alle compromissioni, quindi le organizzazioni devono conservare copie delle informazioni preziose in più posizioni.

I regimi di backup dovrebbero essere progettati in base ai requisiti di ciascuna organizzazione e in funzione dei livelli di rischio relativi alla disponibilità delle informazioni. Le organizzazioni dovrebbero anche testare regolarmente i loro backup per assicurarsi che le informazioni possano essere ripristinate completamente e senza danneggiamenti.

Lavoro a distanza
Lo sviluppo del lavoro a distanza in seguito  alla pandemia è una delle principali cause dell’aumento dello spazio di archiviazione nel cloud. Con dipendenti sparsi in tutto il paese, o in alcuni casi in tutto il mondo, le organizzazioni hanno bisogno di una posizione centrale che consenta ai dipendenti di accedere alle informazioni.

Tuttavia, il lavoro a distanza introduce rischi per la sicurezza legati all’accesso alle informazioni. L’allegato A.6.2.2 della ISO 27001 contiene linee guida per affrontare questi rischi, concentrandosi sui dispositivi mobili e sul telelavoro.

Creando politiche intorno a queste tematiche, le organizzazioni possono impostare regole per chi può accedere, archiviare ed elaborare le informazioni nel cloud mentre lavora in remoto.

La maggior parte delle organizzazioni dovrebbe avere controlli di accesso sui propri sistemi interni per garantire che le informazioni siano visibili solo a determinati membri del personale. In questo modo si riduce il rischio di minacce interne e si attenua il danno nel caso in cui un criminale informatico comprometta l’account di un dipendente.

Misure simili devono essere applicate ai sistemi Cloud. A volte si tratta di un semplice accesso limitato ai database cloud, ma potresti scoprire che ci sono informazioni all’interno di quei sistemi che devono essere ulteriormente limitate.

Fonte: it.governance.eu – Luke Irwin

Pubblicato il

Cybersecurity – I 22 tipi di attacchi informatici più pericolosi – Parte 1

Le crescenti problematiche legate agli attacchi informatici, hanno posto la Cybersecurity ai primi posti fra le misure organizzative aziendali più importanti. Oggi anche chi si occupa di privacy, dal Titolare del trattamento al DPO e al consulente privacy, deve avere un minimo di competenze in ambito Cybersecurity

Il phishing è un attacco di ingegneria sociale utilizzato per rubare informazioni sensibili, come credenziali di accesso a servizi bancari online, nomi utente e password di account personali, informazioni sulla carta di credito e numeri di previdenza sociale.

Un attacco di phishing si verifica quando un hacker che finge di essere un individuo o un’organizzazione legittima e di fiducia induce una persona ad aprire un collegamento, un allegato o un’e-mail dannosi. Il phishing è un attacco informatico popolare poiché gli avversari di solito non richiedono strumenti o competenze di hacking sofisticati. Gli attacchi di phishing possono portare a risultati negativi. Ad esempio, i truffatori online utilizzano il phishing per commettere crimini di furto di identità. Per un’organizzazione, gli aggressori utilizzano il phishing per prendere piede e controllare la propria rete aziendale o come base per complotti più pericolosi come minacce persistenti avanzate .

Oggi i criminali informatici stanno sfruttando il passaggio alla cultura del lavoro a distanza lanciando attacchi di phishing su individui e organizzazioni. Le statistiche mostrano che il 97% degli utenti non è in grado di riconoscere una sofisticata e-mail di phishing . Incredibilmente, solo il 3% delle vittime segnala e-mail di phishing alla direzione.

Come prevenire gli attacchi di phishing?

Sii vigile: scopri come appare un attacco di phishing
Evita di fare clic su qualsiasi collegamento online o inviato tramite e-mail
Installa strumenti anti-phishing
Evita di condividere informazioni riservate su siti non protetti e strani
Crea password complesse e ruotale regolarmente
Mantieni aggiornati i tuoi sistemi operativi e le tue applicazioni
Installa programmi firewall

Pubblicato il

Pubblicato: Tool Valutazione Rischi – Risk Assessment – Formato: MS Excel

Inauguriamo la nuova collana editoriale Excel – Software applicativi con il primo prodotto –

Tool Valutazione Rischi – Risk Assessment – Formato: MS Excel

Pratico e veloce strumento di valutazione dei rischi per analizzare i potenziali rischi in ambito:
_ sicurezza del lavoro
_ privacy
_ modelli 231
_ sistemi di gestione
_ qualsiasi contesto in cui sia necessario realizzare rapidamente la valutazione rischi.

Pubblicato il

La formazione annuale del DPO nel 2022 – Ecco come farla!

Come ogni anno, anche nel 2022 il DPO deve aggiornare le proprie competenze e conoscenze per potere esercitare correttamente le proprie funzioni.
Quest’ anno il DPO deve assolutamente approfondire i propri skills ai temi della cybersecurity, in considerazione del ruolo che la sicurezza informatica, ha assunto in tutte le aziende.

Vediamo alcuni dati.

Nel 2021 gli attacchi informatici nel mondo sono aumentati del 10% rispetto all’anno precedente, e sono sempre più gravi. Le nuove modalità di attacco dimostrano che i cyber criminali sono sempre più sofisticati e in grado di fare rete con la criminalità organizzata. Questo è quanto emerge dal nuovo Rapporto Clusit.

Gli attacchi crescono in quantità e in “qualità”: la classificazione dei ricercatori di Clusit si basa anche su una valutazione dei livelli di impatto dei singoli incidenti, che tiene in considerazione aspetti di immagine, economici, sociali e le ripercussioni dal punto di vista geopolitico.

La geografia degli attacchi. Gli attacchi classificati dai ricercatori di Clusit si sono verificati nel 45% dei casi ancora nel continente americano (in leggero calo rispetto al 2020). Sono invece cresciuti gli attacchi verso l’Europa, che superano un quinto del totale (21%, contro il 16% dell’anno precedente), e verso l’ Asia (12%, rispetto al 10% del 2020). Resta sostanzialmente invariata la situazione degli attacchi verso Oceania (2%) e Africa ( 1%).

Severità degli attacchi in forte aumento. Nel 2021 il 79% degli attacchi rilevati ha avuto un impatto “elevato”, contro il 50% dello scorso anno. In dettaglio, il 32% è stato caratterizzato da una severity “critica” e il 47% “alta”. A fronte di queste percentuali, sono diminuiti invece gli attacchi di impatto “medio” (-13%) e “basso” (-17%).


Sempre di più il DPO sarà quest’anno chiamato a correlarsi con problematiche che esulano dal GDPR, ma che ne possono coinvolgere molti elementi applicativi e operativi dello stesso, con problematiche che nascono da “falle” nella cybersecurity aziendale.
Quindi è fondamentale per il DPO svolgere un corso di formazione base in ambito cybersecurity, il cui attestato finale può certificare le nuove competenze acquisite, assicurando così l’azienda sulle competenze complete del DPO anche in tale tematica.

 

Pubblicato il

Le 4 offerte del venerdì – 4/6/2021 – 231, ISO 27001, DPO, sicurezza del lavoro

Questo venerdì ti abbiamo selezionato 4 offerte!

  1. TRAINING CARD 231 – I corsi on line completi per imparare a realizzare i modelli 231, e per svolgere correttamente l’attività come membro organismo di vigilanza 231 – Con software professionale per realizzare i modelli 23 e svolgere l’attività di ODV
  2. KIT ESPERTO 27001 – Il pacchetto completo per imparare come sviluppare un sistema di gestione sicurezza informazioni secondo la norma ISO 27001, incluso il Kit documentale ISO 27001 e il software Analisi Rischi Asset ISO 27001
  3. Corso on line Aggiornamento annuale DPO – Il corso con software professionale per aggiornare le proprie competenze come DPO e dimostrare ai committenti di avere svolto l’aggiornamento annuale
  4. VERSCA – il software gestione scadenze adempimenti periodici. Indispensabile per gestire tutte le scadenze relative a sicurezza del lavoro, privacy, haccp, ecc.

Ti segnalo inoltre due novità utili per la tua professione

  1. Affiliazione al sito www.edirama.org – Puoi guadagnare in automatico dai tuoi contatti on line, visitatori del tuo blog, sito, pagine Facebook, Linkedin, Istagram affiliandoti a Edirama.org, inserendo semplicemente dei banner informativi nelle tue pagine web, email, comunicazioni con i tuoi contatti e clienti. Iscriviti adesso dal seguente link e inizia a guadagnare in automatico.
  2. Marketplace Edirama.org – Se realizzi corsi on line, software, ebook, kit documentali, prodotti digitali, puoi incrementare le tue vendite pubblicandoli gratis su www.edirama.org,con con una commissione calcolata sul prezzo di vendita, come avviene ad esempio in Amazon. – Pubblica adesso gratis dal seguente link
Pubblicato il

Aggiornamento privacy, 231, sicurezza del lavoro, Sistemi di gestione

Ciao ti segnalo i seguenti aggiornamenti

D.lgs 231/01– www.consulenza231.org
Opportunità professionali per consulenti 231 e ODV
Lombardia – Senior compliance 231 – società di consulenza
Piemonte – Consulente 231 – società di consulenza
Lazio – Incarico membro organismo di vigilanza 231 – Importo: 7.800 euro – ente pubblico
Calabria – Incarico membro organismo di vigilanza – Importo: 22.000 euro – ente pubblico

Privacy – www.consulenzaprivacy.org
FAQ – Trattamento di dati relativi alla vaccinazione anti Covid-19 nel contesto lavorativo

Opportunità professionali per consulenti privacy e ISO 27001
Veneto – Consulente privacy
Liguria – Consulente privacy
Emilia Romagna – Consulente privacy
Veneto – Docente privacy
Friuli Venezia Giulia – Docente privacy
Lombardia – Consulente ISO 27001

Sicurezza del lavoro – www.sicurezzapratica.com
Opportunità professionali per consulenti e formatori sicurezza del lavoro

Veneto – Formatore sicurezza del lavoro

Friuli Venezia Giulia – Formatore sicurezza del lavoro

Friuli Venezia Giulia – RSPP abilitato

Veneto – Docente sicurezza del lavoro

Piemonte – RSPP società settore chimico