È chiaro che il nuovo Regolamento per la protezione dei dati personali prevede che ‘’Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio’’, e altrettanto chiaro che la lista di misure di sicurezza citate nell’articolo è aperta e non esaustiva, non sono previste delle misure minime di sicurezza e l’obbligo di valutarne l’adozione è sempre in capo al titolare del trattamento.
QUALI MISURE DI SICUREZZA SONO INDICATE DAL REGOLAMENTO COME ADOTTABILI?
a. la pseudonimizzazione e la cifratura dei dati personali;
b. la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c. la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
d. una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
COME TRADURRE QUESTE INDICAZIONI IN SOLUZIONI INFORMATICHE APPLICABILI?
Il concetto di valutazione del rischio è alla base del nuovo regolamento, quindi soltanto attraverso un’analisi tecnica del livello di sicurezza dell’infrastruttura è possibile definire quali soluzioni di protezione implementare. Tuttavia, dal punto di vista informatico è chiaro che una serie di misure minime di protezione di cui un’infrastruttura debba dotarsi esistono e sono ben note agli addetti del settore! Non sono però definibili da normativa proprio perché correlate al livello di rischio rilevato in ciascuna organizzazione.
Ecco un elenco delle principali soluzioni di SICUREZZA INFORMATICA e di DISASTER RECOVERY che un’azienda dovrebbe utilizzare in ottica dell’adeguamento Gdpr:
1. ANTIVIRUS: un servizio basilare di sicurezza, da scegliere con attenzione, evitando soluzioni gratuite a favore di soluzioni costantemente aggiornate verso le più recenti minacce in circolazione, leggere, efficaci, che proteggano più sistemi operativi e anche dispositivi mobili.
2. ANTISPAM: la protezione della posta elettronica è fondamentale considerando che è uno dei veicoli principali di malware e di attacchi multilivello. Un buon antispam deve garantire un blocco a livello smtp (prima che un messaggio raggiunga il server mail), applicare diversi livelli di filtro, garantire continuità operativa in caso di blocco del servizio, crittografia e falsi positivi prossimi allo 0.
3. FIREWALL UTM: se l’antivirus agisce a livello endpoint e l’antispam sulla posta elettronica, proteggere la rete a livello perimetrale è necessario. Un dispositivo firewall UTM oltre a garantire protezione della rete interna da quella esterna e filtrare i dati in ingresso e in uscita, permette di filtrare la navigazione di ogni utente, gestire blocchi, accessi VPN protetti, Wi-Fi sicura se abbinato a dispositivi access point proprietari e risponde alla richiesta del regolamento di generare report sulle attività di rete in caso di violazione.
4. CERTIFICATI SSL: anche i siti web aziendali rientrano nelle procedure di adeguamento. Un certificato SSL è uno strumento di protezione per siti web che garantisce identificazione nello scambio di dati durante la connessione al sito stesso, criptando i dati trasmessi.
5. AUTENTICAZIONE: oltre alla predisposizione di accessi agli strumenti informatici protetti da password utente, i sistemi di autenticazione includono tutti quegli accessi gestiti tramite token, codici, impronte digitali, sms per verificare -grazie a un secondo livello- l’autenticità dell’utente che richiede l’accesso e fornire accessi remoti sicuri da ogni dispositivo.
6. CRITTOGRAFIA: sistemi di cifratura dei dati sono una buona soluzione per raggiungere la compliance (sistemi di posta crittografati, dispositivi hardware crittografati ecc..); rendicontare una violazione dimostrando che i dati violati non sono decifrabili impatterà in positivo sulla valutazione della violazione da parte Garante.
7. BACK UP & VIRTUALIZZAZIONE: i punti c e d riportati in precedenza definiscono tra le misure indicate la capacità di ripristino degli accessi in caso di incidente e procedure di test regolari per verificare l’efficacia delle misure apportate. Tutto ciò coincide con un piano di disaster recovery: avere un backup e un’infrastruttura virtualizzata -quindi facilmente ripristinabile in tempi brevi- sono i punti cardine di un buon piano di DR. Ora.
Non resta che affidarsi a realtà informatiche specializzate che siano in grado di guidare la vostra azienda verso le soluzioni di sicurezza più idonee al raggiungimento della compliance.
In merito a questo nuovo scenario la SAMO offre una serie di soluzioni che possono aiutare le imprese ad affrontare questa nuova sfida come la gestione della sicurezza dei dati lungo tutto il loro ciclo di vita, la loro cifratura, la loro pseudonimizzazione ed il monitoraggio degli accessi.
