È chiaro che il nuovo Regolamento per la protezione dei dati
personali prevede che ‘’Il titolare del trattamento mette in atto misure
tecniche e organizzative adeguate per garantire un livello di sicurezza
adeguato al rischio’’, e altrettanto chiaro che la lista di misure di
sicurezza citate nell’articolo è aperta e non esaustiva, non sono previste delle misure minime di
sicurezza e l’obbligo di valutarne l’adozione è sempre
in capo al titolare del trattamento.
QUALI MISURE DI SICUREZZA SONO INDICATE
DAL REGOLAMENTO COME ADOTTABILI?
a. la pseudonimizzazione e la cifratura dei dati
personali;
b. la capacità di assicurare su base permanente la riservatezza,
l’integrità, la disponibilità e la resilienza dei sistemi
e dei servizi di trattamento;
c. la capacità di ripristinare tempestivamente la disponibilità
e l’accesso dei dati personali in caso di incidente fisico o tecnico;
d. una procedura per testare, verificare e valutare
regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire
la sicurezza del trattamento.
COME TRADURRE QUESTE INDICAZIONI IN
SOLUZIONI INFORMATICHE APPLICABILI?
Il concetto di valutazione del rischio è alla base del nuovo
regolamento, quindi soltanto attraverso un’analisi tecnica del livello di
sicurezza dell’infrastruttura è possibile definire quali soluzioni di
protezione implementare. Tuttavia, dal punto di vista informatico è chiaro che
una serie di misure minime di protezione di cui un’infrastruttura debba dotarsi
esistono e sono ben note agli addetti del settore! Non sono però definibili da
normativa proprio perché correlate al livello di rischio rilevato in ciascuna
organizzazione.
Ecco un elenco
delle principali soluzioni di SICUREZZA
INFORMATICA e di DISASTER
RECOVERY che un’azienda dovrebbe utilizzare in ottica dell’adeguamento
Gdpr:
1. ANTIVIRUS: un servizio
basilare di sicurezza, da scegliere con attenzione, evitando soluzioni gratuite
a favore di soluzioni costantemente aggiornate verso le più recenti minacce in
circolazione, leggere, efficaci, che proteggano più sistemi operativi e anche
dispositivi mobili.
2. ANTISPAM: la protezione della posta elettronica è fondamentale considerando
che è uno dei veicoli principali di malware e di attacchi multilivello. Un buon
antispam deve garantire un blocco a livello smtp (prima che un messaggio
raggiunga il server mail), applicare diversi livelli di filtro, garantire
continuità operativa in caso di blocco del servizio, crittografia e falsi
positivi prossimi allo 0.
3. FIREWALL UTM: se l’antivirus agisce a livello endpoint e l’antispam sulla posta
elettronica, proteggere la rete a livello perimetrale è necessario. Un
dispositivo firewall UTM oltre a garantire protezione della rete interna da
quella esterna e filtrare i dati in ingresso e in uscita, permette di filtrare
la navigazione di ogni utente, gestire blocchi, accessi VPN protetti, Wi-Fi
sicura se abbinato a dispositivi access point proprietari e risponde alla
richiesta del regolamento di generare report sulle attività di rete in caso di
violazione.
4. CERTIFICATI SSL: anche i siti web aziendali rientrano nelle procedure di
adeguamento. Un certificato SSL è uno strumento di protezione per siti web che
garantisce identificazione nello scambio di dati durante la connessione al sito
stesso, criptando i dati trasmessi.
5. AUTENTICAZIONE: oltre alla predisposizione di accessi agli strumenti informatici
protetti da password utente, i sistemi di autenticazione includono tutti quegli
accessi gestiti tramite token, codici, impronte digitali, sms per verificare -grazie
a un secondo livello- l’autenticità dell’utente che richiede l’accesso e
fornire accessi remoti sicuri da ogni dispositivo.
6. CRITTOGRAFIA: sistemi di
cifratura dei dati sono una buona soluzione per raggiungere la compliance
(sistemi di posta crittografati, dispositivi hardware crittografati ecc..);
rendicontare una violazione dimostrando che i dati violati non sono decifrabili
impatterà in positivo sulla valutazione della violazione da parte Garante.
7. BACK UP & VIRTUALIZZAZIONE: i punti c e d riportati in precedenza
definiscono tra le misure indicate la capacità di ripristino degli accessi in
caso di incidente e procedure di test regolari per verificare l’efficacia delle
misure apportate. Tutto ciò coincide con un piano di disaster recovery: avere
un backup e un’infrastruttura virtualizzata -quindi facilmente ripristinabile
in tempi brevi- sono i punti cardine di un buon piano di DR. Ora.
Non resta che affidarsi a realtà informatiche specializzate che
siano in grado di guidare la vostra azienda verso le soluzioni di sicurezza più
idonee al raggiungimento della compliance.
In merito a questo nuovo scenario la SAMO offre una serie di
soluzioni che possono aiutare le imprese ad affrontare questa nuova sfida come
la gestione della sicurezza dei dati lungo tutto il loro ciclo di vita, la loro
cifratura, la loro pseudonimizzazione ed il monitoraggio degli accessi.