Come emerge da un'inchiesta del Check Point Research, nel 2021 gli attacchi informatici hanno registrato un aumento del 40% a settimana rispetto all'anno precedente. Tale ondata ha assunto caratteri mondiali ed ha investito tutti i settori, dall'Istruzione all'Healthcare, ottenendo il poco piacevole appellativo di "pandemia informatica". In questo contesto l'Italia ricopre il secondo gradino del non gradito podio di Paese europeo maggiormente colpito da attacchi informatici. Inoltre, secondo una ricerca condotta dall'Associazione Italiana per la Sicurezza Informatica - Clusit - è emerso un danno stimato a circa 6 trilioni di dollari derivanti da cyber attacchi. Si tratta per intenderci di oltre tre volte il PIL italiano.

Nella gestione delle strutture immobiliari, il vero patrimonio è costituito dai dati: informazioni relative ad asset, metri quadri gestiti, documenti manutentivi e certificazioni, indicatori di performance prestazionali di fornitori, dati relativi ai consumi energetici, sono solo alcuni dati che compongono l'ecosistema immobiliare.

Perdere queste informazioni può generare varie tipologie di danni, da quello economico al reputazionale, ed il data breach non necessariamente avviene tramite un hackeraggio, ma può bastare una semplice attività di phishing che genera l'errore umano. Quindi è bene che la piattaforma di gestione del patrimonio immobiliare risponda a specifici requisiti di sicurezza, che garantiscano una maggiore copertura da tali minacce.

Vedremo ora nel dettaglio una serie di prerogative necessarie alla definizione di una piattaforma sicura:

• Certificazioni specifiche: sebbene la semplice attestazione non possa essere definita una garanzia in termini di sicurezza dei dati, tali certificazioni hanno un duplice vantaggio: da un lato l'acquisizione di un impianto procedurale per la messa in sicurezza della propria infrastruttura IT, dall'altro la possibilità di essere compliance con i requisiti interni a gare di appalto. Dal lato della cyber security le certificazioni più importanti a livello nazionale ed europeo sono la ISO 27001, per l'impostazione del sistema di gestione della sicurezza delle informazioni, e GDPR, ovvero il regolamento generale stilato dall'Unione Europea in materia di trattamento dei dati personali e della privacy.
• Piano di Business Continuity: si tratta di una sorta di manuale operativo volto all'individuazione delle minacce ed alle metodologie utilizzate in caso di interruzione delle attività legate alla piattaforma. Ciò garantisce che la continuità operativa del software ed il ripristino della situazione ottimale.
• Piano di Disaster Recovery: tale procedura consente di ripristinare e replicare i dati manomessi o persi a causa di un grave impedimento - attacco informatico - o di un disastro ambientale. Tale piano deve prevedere una metrica che indichi il tempo trascorso dall’ultima replica fino all’accadere del disastro - RPO, Recovery Point Objective - ed una tempistica che intercorra tra il disastro e il completo ripristino dei sistemi - RTO, Recovery Time Objective.
• Vulnerability Assessment e Penetration Test: si tratta di una serie di azioni volte ad analizzare ed identificare le vulnerabilità del software. Il VA è un vero e proprio check-up dei sistemi informatici, una sorta di scanning che mira a far emergere possibili debolezze dell’infrastruttura e della rete IT, mentre il PT consiste in una vera e propria simulazione di attacco verso determinati obiettivi vulnerabili.
• Sistema di Gestione degli Accessi avanzato: gli Identity Access Management - IAM - sono sistemi che consentono di identificare, autenticare, autorizzare gli individui o identità "non umane" ad accedere alla piattaforma. Senza tale sistema queste funzioni vengono gestite manualmente, causando notevoli problemi di sicurezza quali l’overprovisioning – ovvero la concessione a un ID, persona fisica o meno, di autorizzazioni superiori a quelle necessarie per svolgere i propri task – e il mancato deprovisioning – ossia i ritardi nell’eliminazione dei privilegi per gli utenti che interrompono il proprio rapporto con l’azienda.
• Crittografia dei dati: La crittografia è la base della protezione dei dati ed è il modo più semplice e importante per garantire che le informazioni di un sistema informatico non possano essere rubate e lette da qualcuno che voglia utilizzarle per scopi malevoli. 
• Ridondanza di backup: La ridondanza riguarda l’utilizzo di vari strumenti organizzati in modo tale che un disservizio di uno solo non determini il malfunzionamento generale dell’intero sistema. Un sistema informatico mantenuto in stato di ridondanza è in grado di duplicare specifiche funzionalità in modo da garantire la stabilità del servizio in caso di malfunzionamento del componente principale.
• Firewall di ultima generazione: Il concetto di firewall di ultima generazione - NGFW, Next-Generation Firewall -  è stato definito da Gartner, come  "firewall di ispezione approfondita dei pacchetti che vanno oltre l'ispezione e il blocco di porte/protocolli, per aggiungere l'ispezione a livello di applicazione, la prevenzione delle intrusioni e l'introduzione di informazioni di intelligence dall'esterno del firewall". Si tratta quindi di componenti che combinano le funzioni tradizionali con altri filtri come l'ispezione approfondita dei pacchetti (DPI) in linea e un sistema di prevenzione delle intrusioni (IPS).

Rispondere a queste best practice non rende il sistema immune ad attacchi, ma previene e corregge l'insorgere di danni irreparabili, grazie all'impostazione di procedure collaudate.

Perchè la sicurezza dei dati riguarda tutti e non bisogna chiedersi se attuare tali prevenzioni, ma piuttosto quando.