GDPR – La Deadline è arrivata…

A cura di:Cristian Rei Ore

Introduzione

La tematica di sicurezza ha un peso sempre crescente nella definizione delle strategie delle imprese, che nel corso del tempo hanno implementato processi e sistemi in materia di Risk Management e di Business. Una forte spinta viene dal nuovo regolamento UE 2016/679, meglio conosciuto come GDPR (General Data Protection Regulation, Regolamento generale sulla protezione dei dati), le aziende hanno iniziato una vera e propria corsa contro il tempo per garantire la loro conformità prima dell’effettiva entrata in vigore del Regolamento il 25 maggio 2018, pena il pagamento di pesanti sanzioni e l’avvio di potenziali procedimenti legali.

I dati personali sono interpretati dal GDPR come qualsiasi informazione che può̀ essere utilizzata per identificare una persona in modo diretto o indiretto, cioè la persona fisica a cui si riferiscono i dati personali (es. clienti, prospect, dipendenti, collaboratori, fornitori, consulenti esterni, ecc.).

La natura e il tipo di dati personali trattati (per ogni soggetto), tra cui:

  • dati personali (nome, cognome, dati bancari come conti bancari, investimenti, fondi, polizze assicurative, dati sulla gestione del rapporto di lavoro, come lo stipendio, ecc.)
    entrano in questa categoria anche nickname e pseudonimi poiché in molti casi possono essere attribuiti a un individuo in particolare o a una organizzazione. Nomi di clienti, numeri di telefono, indirizzi, registri di fornitori e informazioni su uno staff rientrano tutti in questa definizione.
  • dati sensibili (che richiedono speciali precauzioni a causa della loro natura, ad esempio l’origine razziale o l’etnia di una persona, le credenze religiose o altre convinzioni, le opinioni politiche, l’appartenenza a partiti, sindacati e/o associazioni, la salute o la vita sessuale)
  • dati giudiziari (dato personale che rivela informazioni riguardo condanne penali, reati, misure di sicurezza connesse a reati).

Impatti del GDPR

La conformità al GDPR richiede un impegno considerevole, mettere in campo una serie di azioni e tecnologie specifiche finalizzate a tutelare i dati trattati dall’azienda al fine di:

  • proteggere i dati durante la memorizzazione e il transito attraverso la rete
  • garantire la consapevolezza dei rischi tramite un’analisi dei log costante e monitoraggio di chi sta facendo cosa sui vari filesystem di rete
  • consentire azioni preventive, correttive in realtime contro le vulnerabilità o incident rilevati che possano rappresentare un pericolo per i dati
  • fornire strumenti di valutazione per l’efficacia delle policy di sicurezza
  • Implementare meccanismi di recupero dei dati che consentano di ripristinare l’accesso ai dati ed ai sistemi quando un incidente ne pregiudica la disponibilità̀
  • aumentare la consapevolezza degli utenti relativamente alle minacce in termini di sicurezza informatica che si trovano ad affrontare quotidianamente tramite una formazione/informazione, anche solo basilare ma costante. controlli critici per la sicurezza

Il GDPR declina una serie di obblighi e benefici per quanto riguarda le misure tecniche e organizzative tecniche poste in essere per garantire la sicurezza dei dati trattati ad esempio:

  • Tali obblighi devono essere implementati dal Titolare e dal Responsabile del trattamento dei dati personali (art.24 GDPR)
  • I principi di privacy by design e privacy by default sono inclusi in appropriate misure tecniche e organizzative (art.25 GDPR)
  • Danno efficacia al diritto alla portabilità̀ dei dati personali (articolo 20 GDPR) e al diritto all’oblio (art.17 GDPR)
  • Dimostrano che il Titolare e il Responsabile del trattamento hanno garantito un livello adeguato di protezione dei dati personali

Al fine da garantire una governance del processo GDPR dovranno essere adottate delle misure di sicurezza tecniche e organizzative:

Misure Tecniche

Le misure tecniche includono i controlli relativi alla pseudoanonimizzazione, procedimento che comporta la possibile attribuzione di determinate qualità a un interessato specifico solo attraverso l’utilizzo di informazioni aggiuntive, tipicamente l’impiego di chiavi crittografiche, sistemi di autenticazione, politiche per le password, ecc. e deve essere completato per quanto riguarda le Applicazioni IT utilizzate per l’elaborazione dei dati personali. Nella compilazione delle misure tecniche la funzione IT dovrà fare riferimento alle applicazioni IT utilizzate per i trattamenti di dati personali.

Misure Organizzative

Le misure organizzative includono i controlli relativi alle istruzioni operative fornite ai responsabili del trattamento dei dati e agli incaricati.

Il SANS Institute (SysAdmin, Audit, Networking, and Security) è un’organizzazione indipendente dedita a fornire supporto in materia di sicurezza informatica, volendo analizzare la sicurezza IT in una logica di applicazione del GDPR è di notevole rilevanza l’elenco creato dal SANS che indica i 20 controlli critici che ogni azienda dovrebbe implementare per mettere in sicurezza la propria infrastruttura.

  1. Inventory of Authorized and Unauthorized Devices – Inventario dei dispositivi autorizzati e non autorizzati
  2. Inventory of Authorized and Unauthorized Software – Inventario del software autorizzato e non autorizzato
  3. Secure Configurations for Hardware and Software on Mobile Devices, Laptops, Workstations, and Servers – Configurazione sicura di hardware e software su dispositivi mobile,laptop,workstation e server
  4. Continuous Vulnerability Assessment and Remediation – Valutazione e correzione continue delle vulnerabilità
  5. Malware Defenses – Difese contro il Malware
  6. Application Software Security – Sicurezza del software Applicativo
  7. Wireless Access Control – Controllo wireless degli accessi
  8. Data Recovery Capability – Capacità di recupero Dati
  9. Security Skills Assessment and Appropriate Training to Fill Gaps – Valutazione delle competenze di sicurezza e appropriata formazione per colmare le lacune
  10. Secure Configurations for Network Devices such as Firewalls, Routers, and Switches – Configurazioni sicure per dispositive di rete come firewall,router e switch
  11. Limitation and Control of Network Ports, Protocols, and Services – Limitazione e controllo di porte, protocolli e servizi di rete
  12. Controlled Use of Administrative Privileges – uso controllato dei privilegi amministrativi
  13. Boundary Defense – Difesa dei confini
  14. Maintenance, Monitoring, and Analysis of Audit Logs – Manutenzione, monitoraggio e analisi dei registry di audit
  15. Controlled Access Based on the Need to Know – Accesso controllato basato sul principio del “need to know”
  16. Account Monitoring and Control – Monitoraggio e controllo degli Account
  17. Data Protection – Protezione dei Dati
  18. Incident Response and Management – Risposta e gestione degli incidenti
  19. Secure Network Engineering – Progettazione di una rete sicura
  20. Penetration Tests and Red Team Exercises -Test di penetrazione ed esercizi per il team RED

In sintesi…

 Le sostanziali novità introdotte dal GDPR rispetto alle precedenti normative sulla privacy riguardano 4 ambiti precisi:

  1. l’ambito territoriale,
    presume che la nuova legge si applichi ai dati di tutti i cittadini europei e a tutte le società che trattano o gestiscono tali dati, a prescindere dal Paese in cui hanno la sede legale o in cui i dati vengono “trattati;
  1. l’ottenimento del consenso,
    il consenso al trattamento dei dati deve essere libero ed esplicito, poiché non sarà ammesso in alcun modo il consenso tacito o presunto;
  1. l’introduzione del DPO,
    cioè del Data Protection Officer ovvero il Responsabile della Protezione dei Dati. Una figura indipendente incaricata di assicurare una corretta gestione dei dati personali;
  1. le sanzioni,
    in caso di eventuali violazioni sono cambiate, chi infrangerà il GDPR  potrà arrivare ad avere multe fino al 4% del fatturato annuo o 20 milioni di euro.

 

A cura di: Cristian Rei

Profilo Autore
Cristian Rei

Cristian Rei è business Security Manager di Mediatica Spa, società di riferimento nell’INFORMATION MANAGEMENT e nella
 DIGITAL TRASFORMATION di grandi aziende, pubbliche e private.

Altri Articoli
Condividi sui Social Network:

Articoli simili

Terrorismo – Il fanatismo delle idee – Dalle B.R. ad Al Qaida

Terrorismo – Il fanatismo delle idee – Dalle B.R. ad Al Qaida

A cura di:Giuseppe Spadafora Ore Pubblicato il

Il terrorismo jihadista dei nostri giorni ha parecchio in comune con quello anni 70 brigatista e di Prima Linea. Questi ultimi, nel panorama nazionale, hanno rappresentato i due gruppi terroristici di maggior rilevanza criminale ed organizzativa e per questo in qualche modo assimilabili per obbiettivi e struttura organizzativa ad Al Qaida ed all’I.S. PL nasce…

Fake news & Reputazione Aziendale: come gestire rischi e continuità operativa

Fake news & Reputazione Aziendale: come gestire rischi e continuità operativa

A cura di:Federica Maria Rita Livelli Ore Pubblicato il

Scenario L’innovazione tecnologica è inarrestabile ed i media digitali sono diventati una parte indispensabile nella vita quotidiana, come si evince dal “Digital 2021 – Global Social Overview” redatto da We Are Social (una socially-led creative agency, con sedi in tutto il mondo) e Hootsuite (società creatrice di una dashboard per la gestione dei canali social…

Droni: sicurezza e normativa dei velivoli a pilotaggio remoto

Droni: sicurezza e normativa dei velivoli a pilotaggio remoto

A cura di:Nicola Tigri Ore Pubblicato il

Utilizzati nel settore militare, sono diventati ormai comuni strumenti della cinematografia, dell’agricoltura, delle ispezioni strutturali e dell’energia, delle spedizioni, della ricerca di persone, della meteorologia e della cartografia, ma anche dello svago e del divertimento. Parliamo, evidentemente, dei cosiddetti droni[1]. Veicoli/velivoli a pilotaggio remoto il cui uso e la cui presenza nei cieli è diventata…

Videosorveglianza: il quadro normativo in Italia (parte II)

Videosorveglianza: il quadro normativo in Italia (parte II)

A cura di:Giovanni Villarosa Ore Pubblicato il

Abbiamo visto nel precedente articolo come il trattamento dei dati personali effettuato mediante l’uso di sistemi di videosorveglianza non sia oggetto di specifica legislazione; purtuttavia, trovano però applicazione nel settore, le disposizioni generali in materia di protezione dei dati, integrate dalle disposizioni emanate dall’Autorità Garante. Nel frattempo, analizzando i diversi interventi legislativi in materia nonché la…

Sistemi di Sicurezza sempre più “Verso la Nuvola”

Sistemi di Sicurezza sempre più “Verso la Nuvola”

A cura di:Redazione Ore Pubblicato il

La tecnologia cloud, altrimenti nota come “nuvola informatica”, richiama un interesse sempre maggiore anche per il settore della sicurezza, nel quale le sue numerose applicazioni che spaziano dalla videosorveglianza, al controllo accessi, fino al Video Management System stanno conquistando consensi via via sempre più ampi. Al pari di molti altri tipi di applicazioni IT, anche…