GDPR – La Deadline è arrivata…

Introduzione

La tematica di sicurezza ha un peso sempre crescente nella definizione delle strategie delle imprese, che nel corso del tempo hanno implementato processi e sistemi in materia di Risk Management e di Business. Una forte spinta viene dal nuovo regolamento UE 2016/679, meglio conosciuto come GDPR (General Data Protection Regulation, Regolamento generale sulla protezione dei dati), le aziende hanno iniziato una vera e propria corsa contro il tempo per garantire la loro conformità prima dell’effettiva entrata in vigore del Regolamento il 25 maggio 2018, pena il pagamento di pesanti sanzioni e l’avvio di potenziali procedimenti legali.

I dati personali sono interpretati dal GDPR come qualsiasi informazione che può̀ essere utilizzata per identificare una persona in modo diretto o indiretto, cioè la persona fisica a cui si riferiscono i dati personali (es. clienti, prospect, dipendenti, collaboratori, fornitori, consulenti esterni, ecc.).

La natura e il tipo di dati personali trattati (per ogni soggetto), tra cui:

  • dati personali (nome, cognome, dati bancari come conti bancari, investimenti, fondi, polizze assicurative, dati sulla gestione del rapporto di lavoro, come lo stipendio, ecc.)
    entrano in questa categoria anche nickname e pseudonimi poiché in molti casi possono essere attribuiti a un individuo in particolare o a una organizzazione. Nomi di clienti, numeri di telefono, indirizzi, registri di fornitori e informazioni su uno staff rientrano tutti in questa definizione.
  • dati sensibili (che richiedono speciali precauzioni a causa della loro natura, ad esempio l’origine razziale o l’etnia di una persona, le credenze religiose o altre convinzioni, le opinioni politiche, l’appartenenza a partiti, sindacati e/o associazioni, la salute o la vita sessuale)
  • dati giudiziari (dato personale che rivela informazioni riguardo condanne penali, reati, misure di sicurezza connesse a reati).

Impatti del GDPR

La conformità al GDPR richiede un impegno considerevole, mettere in campo una serie di azioni e tecnologie specifiche finalizzate a tutelare i dati trattati dall’azienda al fine di:

  • proteggere i dati durante la memorizzazione e il transito attraverso la rete
  • garantire la consapevolezza dei rischi tramite un’analisi dei log costante e monitoraggio di chi sta facendo cosa sui vari filesystem di rete
  • consentire azioni preventive, correttive in realtime contro le vulnerabilità o incident rilevati che possano rappresentare un pericolo per i dati
  • fornire strumenti di valutazione per l’efficacia delle policy di sicurezza
  • Implementare meccanismi di recupero dei dati che consentano di ripristinare l’accesso ai dati ed ai sistemi quando un incidente ne pregiudica la disponibilità̀
  • aumentare la consapevolezza degli utenti relativamente alle minacce in termini di sicurezza informatica che si trovano ad affrontare quotidianamente tramite una formazione/informazione, anche solo basilare ma costante. controlli critici per la sicurezza

Il GDPR declina una serie di obblighi e benefici per quanto riguarda le misure tecniche e organizzative tecniche poste in essere per garantire la sicurezza dei dati trattati ad esempio:

  • Tali obblighi devono essere implementati dal Titolare e dal Responsabile del trattamento dei dati personali (art.24 GDPR)
  • I principi di privacy by design e privacy by default sono inclusi in appropriate misure tecniche e organizzative (art.25 GDPR)
  • Danno efficacia al diritto alla portabilità̀ dei dati personali (articolo 20 GDPR) e al diritto all’oblio (art.17 GDPR)
  • Dimostrano che il Titolare e il Responsabile del trattamento hanno garantito un livello adeguato di protezione dei dati personali

Al fine da garantire una governance del processo GDPR dovranno essere adottate delle misure di sicurezza tecniche e organizzative:

Misure Tecniche

Le misure tecniche includono i controlli relativi alla pseudoanonimizzazione, procedimento che comporta la possibile attribuzione di determinate qualità a un interessato specifico solo attraverso l’utilizzo di informazioni aggiuntive, tipicamente l’impiego di chiavi crittografiche, sistemi di autenticazione, politiche per le password, ecc. e deve essere completato per quanto riguarda le Applicazioni IT utilizzate per l’elaborazione dei dati personali. Nella compilazione delle misure tecniche la funzione IT dovrà fare riferimento alle applicazioni IT utilizzate per i trattamenti di dati personali.

Misure Organizzative

Le misure organizzative includono i controlli relativi alle istruzioni operative fornite ai responsabili del trattamento dei dati e agli incaricati.

Il SANS Institute (SysAdmin, Audit, Networking, and Security) è un’organizzazione indipendente dedita a fornire supporto in materia di sicurezza informatica, volendo analizzare la sicurezza IT in una logica di applicazione del GDPR è di notevole rilevanza l’elenco creato dal SANS che indica i 20 controlli critici che ogni azienda dovrebbe implementare per mettere in sicurezza la propria infrastruttura.

  1. Inventory of Authorized and Unauthorized Devices – Inventario dei dispositivi autorizzati e non autorizzati
  2. Inventory of Authorized and Unauthorized Software – Inventario del software autorizzato e non autorizzato
  3. Secure Configurations for Hardware and Software on Mobile Devices, Laptops, Workstations, and Servers – Configurazione sicura di hardware e software su dispositivi mobile,laptop,workstation e server
  4. Continuous Vulnerability Assessment and Remediation – Valutazione e correzione continue delle vulnerabilità
  5. Malware Defenses – Difese contro il Malware
  6. Application Software Security – Sicurezza del software Applicativo
  7. Wireless Access Control – Controllo wireless degli accessi
  8. Data Recovery Capability – Capacità di recupero Dati
  9. Security Skills Assessment and Appropriate Training to Fill Gaps – Valutazione delle competenze di sicurezza e appropriata formazione per colmare le lacune
  10. Secure Configurations for Network Devices such as Firewalls, Routers, and Switches – Configurazioni sicure per dispositive di rete come firewall,router e switch
  11. Limitation and Control of Network Ports, Protocols, and Services – Limitazione e controllo di porte, protocolli e servizi di rete
  12. Controlled Use of Administrative Privileges – uso controllato dei privilegi amministrativi
  13. Boundary Defense – Difesa dei confini
  14. Maintenance, Monitoring, and Analysis of Audit Logs – Manutenzione, monitoraggio e analisi dei registry di audit
  15. Controlled Access Based on the Need to Know – Accesso controllato basato sul principio del “need to know”
  16. Account Monitoring and Control – Monitoraggio e controllo degli Account
  17. Data Protection – Protezione dei Dati
  18. Incident Response and Management – Risposta e gestione degli incidenti
  19. Secure Network Engineering – Progettazione di una rete sicura
  20. Penetration Tests and Red Team Exercises -Test di penetrazione ed esercizi per il team RED

In sintesi…

Le sostanziali novità introdotte dal GDPR rispetto alle precedenti normative sulla privacy riguardano 4 ambiti precisi:

  1. l’ambito territoriale,
    presume che la nuova legge si applichi ai dati di tutti i cittadini europei e a tutte le società che trattano o gestiscono tali dati, a prescindere dal Paese in cui hanno la sede legale o in cui i dati vengono “trattati;
  1. l’ottenimento del consenso,
    il consenso al trattamento dei dati deve essere libero ed esplicito, poiché non sarà ammesso in alcun modo il consenso tacito o presunto;
  1. l’introduzione del DPO,
    cioè del Data Protection Officer ovvero il Responsabile della Protezione dei Dati. Una figura indipendente incaricata di assicurare una corretta gestione dei dati personali;
  1. le sanzioni,
    in caso di eventuali violazioni sono cambiate, chi infrangerà il GDPR potrà arrivare ad avere multe fino al 4% del fatturato annuo o 20 milioni di euro.

 

A cura di: Cristian Rei

Profilo Autore

Cristian Rei è business Security Manager di Mediatica Spa, società di riferimento nell’INFORMATION MANAGEMENT e nella DIGITAL TRASFORMATION di grandi aziende, pubbliche e private.

Condividi sui Social Network:

Articoli simili