Alessandro Papini - DPO, consulente informatico, CTU del Tribunale di Firenze
E' arrivata la tanto attesa delega al GDPR, ma, oltre a inserire parecchie precisazioni e sostituzioni formali, questa ha ribadito un concetto preciso: il Regolamento Europeo della Privacy è uno e va rispettato da chiuque tratti dati di qualsiasi tipo a qualsiasi titolo (eccetto rare eccezioni). Chi si aspettava proroghe, esenzioni o periodi di tregua è rimasto di sale: il cambiamento è già iniziato e sarà inesorabile. Al di là delle documentazioni obbligatorie che dovremmo avere per dimostrare la nostra accountability a tutto quanto prescritto dal regolamento, credo che il passaggio effettivamente più importante e più difficile da attuare sia il cambio di mentalità che ogni azienda e ogni professionista italiano dovrà fare...questa sarà la vera rivoluzione.
Purtroppo è ancora troppo frequente trovare nelle aziende, negli studi e nelle attività commerciali falle e criticità di ogni tipo sia per quanto riguarda la sicurezza e organizzazione dei dati digitali che per quelli cartacei: parliamo di problemi a tutto tondo a livello di prevenzione, protezione e di disaster recovery. E' tutto troppo ancora lasciato al caso, tutto molto improvvisato, molto spesso senza neppure avere, almeno a monte, la pianificazione di un esperto IT o di un consulente informatico.
I dati non sono nostri ma ce li hanno prestati gli interessati per fare il nostro business, quindi vanno protetti in modo adeguato.
La domanda quindi è come possiamo farlo? Facciamo qualche esempio:
1. Antivirus:
lo devono avere tutti e su questo non si discute, ma, in una attività o in uno studio, non si possono avere antivirus gratuiti! La nostra vista evita di leggere le avvertenze e il nostro mouse è velocissimo nel cliccare su accetta. Eppure c'è scritto chiaro che tale prodotto free è per fini domestici: per professionisti e aziende esistono le versione commerciali a pagamento. Tra l'altro gli antivirus gratuiti hanno molte meno funzioni dei loro corrispettivi a pagamento: in sunto non garantiscono neppure una solida protezione né dei dati, né dei dispositivi e tantomeno degli endpoint.
Vedi anche >> Antivirus gratis o a pagamento? Qualche riflessione
Se l'attività o lo studio hanno più computer, è NECESSARIO ricorrere ad un Antivirus centralizzato: offre maggiori garanzie, ha un solo motore antivirus sempre aggiornato, garantisce la possibilità di avere il quadro generale sempre sotto controllo, esegue in automatico gli aggiornamenti dei sistemi operativi di tutti i pc e non presenta grosse differenze di costi con un antivirus commerciale singolo. In breve offre maggiori garanzie.
Se l'azienda, l'attività commerciale o lo studio sono poi di dimensioni medio-grandi oppure se i dati sono tanti o appartenenti a particolari categorie "sensibili" quali quelle dei dati sanitari, biometrici o giudiziari, allora bisogna ampliare la protezione offerta dall'antivirus con moduli appositi quali l' MDM Mobile Device Management, che gestisce l'entrata in azienda di tutti i dispositivi mobile, concedendo o negando l'accesso ai singoli dispositivi a seconda che questi diano o meno sufficienti garanzie di sicurezza. Sono fondamentali anche moduli di DLP Data Loss Prevention, che gestiscono ogni singola movimentazione di ogni file, registrando data e ora della modifica, utente che ha eseguito le modifiche, il tipo di modifiche apportate al file e se chi lo ha fatto ne aveva o meno il relativo permesso: un ottimo strumento per sapere chi ha inviato dei file per email, per chat o chi li ha copiati su un dispositivo esterno.
2. Criptazione:
il Garante per la Protezione dei dati caldeggia l'uso di sistemi di criptazione e io sono assolutamente daccordo. Un sistema di criptazione permette scambi di file tra tutti i pc di una rete aziendale, anche con l'uso di penne usb e dispositivi mobili. Solo che tali dispositivi e penne usb una volta fuori dall'azienda non sono più leggibili da nessuno. Ecco perchè la criptazione abbatte l'80% dei rischi cui i dati possono andare incontro! Se ci aggiungete che il costo medio di una soluzione di criptazione è più basso di quello di un antivirus commerciale comprenderete il perchè questa soluzione venga caldamente consigliata.
3. Backup:
oggi è indispensabile per chi fa business con i dati di soggetti terzi disporre di un sistema che permetta in caso di furto, attacco malware o ransomware o calamità naturali, di non perdere il proprio patrimonio di dati. Un backup oramai costa qualche decina di euro e non ci sono più scuse per non averlo. Consiglio caldamente una soluzione di backup in cloud: salvare le copie dei propri dati in cloud, quindi esternamente all'azienda apporta due grandi vantaggi. Il primo è che, in caso di compromissione della rete aziendale, un backup in locale rischia di essere comunque vittima dell'attacco/infezione in corso, cosa impossibile se i nostri dati sono ospitati in server esterni in location segreta. Il secondo vantaggio è che la quasi totalità dei servizi di backup in cloud offre un sistema di ridondanza dei dati: ogni dato viene salvato in due o più copie, spedite in server diversi. In caso di malfunzionamento/guasto di un server è possibile comunque accede alla copia ridondante su altro server: viene così garantita continuità costante di backup e ininterrotta capacità di disaster recovery.
4. Formazione e Policy Privacy:
ogni dipendente che tratti dati per espletare la propria mansione deve essere istruito e formato sui diritti e sui doveri che ha. Approntare una buona policy personalizzata, ovvero adattata al contesto aziendale, di utilizzo degli strumenti elettronici è un lavoro semplice che ogni consulente informatico può realizzare in poche ore. Anche un corso di formazione per gli incaricati fatto in teleconferenza (webinar) con attestato finale ha oramai un prezzo abbordabile per tutti.
Questi punti ritengo possano essere le misure minime che ogni titolare del trattamento può e deve permettersi di mettere in atto nella propria realtà per garantire quella basica protezione che dia agli interessati sufficienti garanzie.
Permettetemi di fare un conto della serva: un azienda di 5 dipendenti e 5 pc ha bisogno di:
Non dimentichiamoci che l'art. 82, paragrafo 1, del GDPR stabilisce il principio in forza del quale chiunque subisca un danno, materiale o immateriale, a causa di una violazione delle disposizioni stabilite nel Regolamento, ha il diritto di ottenere il risarcimento del danno dal titolare o dal responsabile del trattamento.
E' arrivata la tanto attesa delega al GDPR, ma, oltre a inserire parecchie precisazioni e sostituzioni formali, questa ha ribadito un concetto preciso: il Regolamento Europeo della Privacy è uno e va rispettato da chiuque tratti dati di qualsiasi tipo a qualsiasi titolo (eccetto rare eccezioni). Chi si aspettava proroghe, esenzioni o periodi di tregua è rimasto di sale: il cambiamento è già iniziato e sarà inesorabile. Al di là delle documentazioni obbligatorie che dovremmo avere per dimostrare la nostra accountability a tutto quanto prescritto dal regolamento, credo che il passaggio effettivamente più importante e più difficile da attuare sia il cambio di mentalità che ogni azienda e ogni professionista italiano dovrà fare...questa sarà la vera rivoluzione.
Purtroppo è ancora troppo frequente trovare nelle aziende, negli studi e nelle attività commerciali falle e criticità di ogni tipo sia per quanto riguarda la sicurezza e organizzazione dei dati digitali che per quelli cartacei: parliamo di problemi a tutto tondo a livello di prevenzione, protezione e di disaster recovery. E' tutto troppo ancora lasciato al caso, tutto molto improvvisato, molto spesso senza neppure avere, almeno a monte, la pianificazione di un esperto IT o di un consulente informatico.
I dati non sono nostri ma ce li hanno prestati gli interessati per fare il nostro business, quindi vanno protetti in modo adeguato.
La domanda quindi è come possiamo farlo? Facciamo qualche esempio:
1. Antivirus:
lo devono avere tutti e su questo non si discute, ma, in una attività o in uno studio, non si possono avere antivirus gratuiti! La nostra vista evita di leggere le avvertenze e il nostro mouse è velocissimo nel cliccare su accetta. Eppure c'è scritto chiaro che tale prodotto free è per fini domestici: per professionisti e aziende esistono le versione commerciali a pagamento. Tra l'altro gli antivirus gratuiti hanno molte meno funzioni dei loro corrispettivi a pagamento: in sunto non garantiscono neppure una solida protezione né dei dati, né dei dispositivi e tantomeno degli endpoint.
Vedi anche >> Antivirus gratis o a pagamento? Qualche riflessione
Se l'attività o lo studio hanno più computer, è NECESSARIO ricorrere ad un Antivirus centralizzato: offre maggiori garanzie, ha un solo motore antivirus sempre aggiornato, garantisce la possibilità di avere il quadro generale sempre sotto controllo, esegue in automatico gli aggiornamenti dei sistemi operativi di tutti i pc e non presenta grosse differenze di costi con un antivirus commerciale singolo. In breve offre maggiori garanzie.
Se l'azienda, l'attività commerciale o lo studio sono poi di dimensioni medio-grandi oppure se i dati sono tanti o appartenenti a particolari categorie "sensibili" quali quelle dei dati sanitari, biometrici o giudiziari, allora bisogna ampliare la protezione offerta dall'antivirus con moduli appositi quali l' MDM Mobile Device Management, che gestisce l'entrata in azienda di tutti i dispositivi mobile, concedendo o negando l'accesso ai singoli dispositivi a seconda che questi diano o meno sufficienti garanzie di sicurezza. Sono fondamentali anche moduli di DLP Data Loss Prevention, che gestiscono ogni singola movimentazione di ogni file, registrando data e ora della modifica, utente che ha eseguito le modifiche, il tipo di modifiche apportate al file e se chi lo ha fatto ne aveva o meno il relativo permesso: un ottimo strumento per sapere chi ha inviato dei file per email, per chat o chi li ha copiati su un dispositivo esterno.
2. Criptazione:
il Garante per la Protezione dei dati caldeggia l'uso di sistemi di criptazione e io sono assolutamente daccordo. Un sistema di criptazione permette scambi di file tra tutti i pc di una rete aziendale, anche con l'uso di penne usb e dispositivi mobili. Solo che tali dispositivi e penne usb una volta fuori dall'azienda non sono più leggibili da nessuno. Ecco perchè la criptazione abbatte l'80% dei rischi cui i dati possono andare incontro! Se ci aggiungete che il costo medio di una soluzione di criptazione è più basso di quello di un antivirus commerciale comprenderete il perchè questa soluzione venga caldamente consigliata.
3. Backup:
oggi è indispensabile per chi fa business con i dati di soggetti terzi disporre di un sistema che permetta in caso di furto, attacco malware o ransomware o calamità naturali, di non perdere il proprio patrimonio di dati. Un backup oramai costa qualche decina di euro e non ci sono più scuse per non averlo. Consiglio caldamente una soluzione di backup in cloud: salvare le copie dei propri dati in cloud, quindi esternamente all'azienda apporta due grandi vantaggi. Il primo è che, in caso di compromissione della rete aziendale, un backup in locale rischia di essere comunque vittima dell'attacco/infezione in corso, cosa impossibile se i nostri dati sono ospitati in server esterni in location segreta. Il secondo vantaggio è che la quasi totalità dei servizi di backup in cloud offre un sistema di ridondanza dei dati: ogni dato viene salvato in due o più copie, spedite in server diversi. In caso di malfunzionamento/guasto di un server è possibile comunque accede alla copia ridondante su altro server: viene così garantita continuità costante di backup e ininterrotta capacità di disaster recovery.
4. Formazione e Policy Privacy:
ogni dipendente che tratti dati per espletare la propria mansione deve essere istruito e formato sui diritti e sui doveri che ha. Approntare una buona policy personalizzata, ovvero adattata al contesto aziendale, di utilizzo degli strumenti elettronici è un lavoro semplice che ogni consulente informatico può realizzare in poche ore. Anche un corso di formazione per gli incaricati fatto in teleconferenza (webinar) con attestato finale ha oramai un prezzo abbordabile per tutti.
Questi punti ritengo possano essere le misure minime che ogni titolare del trattamento può e deve permettersi di mettere in atto nella propria realtà per garantire quella basica protezione che dia agli interessati sufficienti garanzie.
Permettetemi di fare un conto della serva: un azienda di 5 dipendenti e 5 pc ha bisogno di:
- antivirus centralizzato 180€
- sistema di criptazione 200€
- backup in cloud 200€
- formazione €220€
- Policy privacy 100€
Non dimentichiamoci che l'art. 82, paragrafo 1, del GDPR stabilisce il principio in forza del quale chiunque subisca un danno, materiale o immateriale, a causa di una violazione delle disposizioni stabilite nel Regolamento, ha il diritto di ottenere il risarcimento del danno dal titolare o dal responsabile del trattamento.
Nessun commento:
Posta un commento