CONTATTACI

Come la Fondazione Crida ha ridotto il rischio umano e migliorato la conformità GDPR

La Fondazione Crida, attiva nel settore sanitario e socio-assistenziale a Prato, gestisce quotidianamente informazioni sensibili e servizi essenziali per la comunità. In un contesto caratterizzato da un crescente rischio informatico e da normative sempre più stringenti, la Fondazione ha riconosciuto la necessità di rafforzare la propria postura di sicurezza informatica, con l’obiettivo di avvicinarsi progressivamente alla compliance prevista dalla Direttiva NIS 2, che richiede standard elevati di protezione per gli operatori di servizi essenziali.

Obiettivo

L’analisi iniziale ha evidenziato due aree di miglioramento prioritarie:

1.Ridurre il rischio umano, storicamente tra le principali cause di violazioni di sicurezza, tramite attività di formazione e sensibilizzazione del personale.

2.Migliorare il livello complessivo di sicurezza informatica, introducendo strumenti e processi coerenti con i requisiti minimi di sicurezza previsti dalla NIS 2 e dall’Art. 32 del GDPR, relativo alla protezione dei dati personali.

Soluzione

È stato strutturato un piano di intervento graduale ma concreto, composto da:

Programma di cyber awareness e simulazioni di phishing
Tutto il personale è stato coinvolto in percorsi formativi e in campagne di phishing simulato per aumentare il livello di consapevolezza e ridurre il rischio legato a comportamenti non sicuri.

Attività di vulnerability assessment continuativo
Sono stati implementati strumenti di Vulnerability Scanner, con scansioni periodiche per identificare, classificare e correggere vulnerabilità presenti nei sistemi e nelle infrastrutture IT.

Approccio progressivo verso la compliance NIS 2
Le attività svolte, oltre a rafforzare la sicurezza interna, hanno costituito un primo passo concreto per allineare la Fondazione ai requisiti di sicurezza richiesti dalla Direttiva NIS 2, in particolare in ambito:

  • Gestione delle vulnerabilità

  • Sensibilizzazione e formazione del personale

  • Adozione di misure tecniche e organizzative adeguate

Risultati Ottenuti

Dopo sei mesi dall’avvio del piano:

🛡️ Riduzione del 40% del rischio umano, misurata tramite l’analisi dei risultati delle simulazioni di phishing

🔍 Correzione tempestiva delle vulnerabilità critiche, con monitoraggio costante della superficie di attacco

Pieno rispetto dell’Art. 32 del GDPR e prime evidenze documentabili di un percorso strutturato verso la compliance NIS 2