MISURE MINIME DI SICUREZZA

Per il principio di proporzionalità, ovvero secondo l'importanza, la quantità e la particolarità dei dati che vengono trattati in azienda e la possibilità di quest'ultima di intervenir con i giusti correttivi il titolare del trattamento deve mettere in atto tutte le misure di sicurezza necessarie per garantire un adeguata protezione dei dati, sia digitali che cartacei.

Le misure di sicurezza devono "garantire un livello di sicurezza adeguato al rischio" del trattamento (art. 32, paragrafo 1); in questo senso, la lista di cui al paragrafo 1 dell'art. 32 è una lista aperta e non esaustiva ("tra le altre, se del caso").

Ma quali sono queste misure di sicurezza e quando devono essere messe in atto obbligatoriamente?

Premettendo che in questa prima fase non c'è niente di scritto e di obbligatorio ma considerando il principio di accountability che permea il GDPR abbiamo realizzato una mini guida per spiegare quali sono le misure di sicurezza per ogni tipologia di azienda.



DATI DIGITALI



Antivirus gratuiti

Gli antivirus gratuiti possono avere una propria logica in una protezione domestica dei dati ma non danno garanzie a livello professionale in quanto le definizioni dei virus si aggiornano mediamente 7-10 volte al giorno in meno degli antivirus commerciali. Da sottolineare la loro mancanza di protezione proattiva, offrono performance basiche (assenza di anti-rookit, anti-keylogger, ecc.) e perciò il loro utilizzo è altamente sconsigliato nelle aziende e studi professionali.

Antivirus commerciale

Viviamo nell'epoca dei ransomware, delle criptazioni dei dati, dei furti digitali. L'antivirus è il primo baluardo di sicurezza non appena la nostra attenzione cala ed è la prima misura indispensabile per garantire un'adeguata protezione dei dati in nostro possesso.

Antivirus centralizzato

Basato su un'architettura Client/Server, permette la gestione dei client attraverso policy condivise, consentendo di avere reportistiche dettagliate sullo stato delle macchine e avvisi in caso di rilevamento di rischi. In altre parole l'antivirus centralizzato è gestito da una sola macchina mentre su tutti i PC è presente soltanto un agent che risponde ai suoi comandi. È molto più leggero dei normali antivirus e permette di gestire di gestire, controllare, impostare policy, autorizzare o impedire azioni, tutto da una sola postazione.

DLP (Data Loss Prevention)

Il sistema DLP consente il monitoraggio e il blocco delle fughe di informazioni attraverso i vari canali di trasmissione possibili (email, chat, pen drive e supporti di memoria USB, ecc.) permettendo di salvaguardare informazioni sensibili o riservate in possesso dell'azienda. Potremo sempre sapere tutti i percorsi di ogni file, sapere se sono stati inviati tramite posta o chat oppure copiati su dispositivi esterni, chi è stato a farlo e se ne aveva i permessi. Ma anche impedirlo a priori.

MDM (Mobile Device Management)

Il sistema MDM permette il controllo da remoto, attraverso una console in cloud, dei dispositivi mobili aziendali (telefoni smartphone e tablet) e la gestione del loro livello di sicurezza con la possibilità di limitarne l'utilizzo a determinate applicazioni e rendere possibile la geolocalizzazione o il wipe (cancellazione) da remoto delle informazioni in caso di perdita. Consente anche all'azienda di controllare attraverso un agent installato da remoto su ogni device mobile se tali dispositivi sono sufficientemente affidabili da poterli collegare alla rete aziendale.

Patch aggiornamento sistemi operativi

Mantiene tutti i sistemi informatici aggiornati installando automaticamente le patch di sicurezza, permettendo di tenere sotto controllo, grazie alla reportistica, lo stato di sicurezza delle macchine.

Firewall software

Basato solitamente su un'impostazione di regole automatiche che garantiscono un valido livello di protezione della rete anche ad utenti meno esperti, il Firewall software può permettere le creazione di ulteriori regole personalizzate per gestire il traffico in ingresso e uscita della propria rete aziendale.

Firewall hardware

Il Firewall hardware è un'appliance posta all'ingresso della rete aziendale che offre un'ampia gamma di possibilità nella configurazione di regole estremamente avanzate per gestire il traffico in ingresso e uscita della propria rete aziendale

UTM (Unified Threat Management) per una protezione perimetrale

La soluzione UTM porta numerosi vantaggi sia nelle medio-piccole strutture aziendali che nelle realtà aziendali molto grandi con sedi dislocate su più territori e con dipendenti distribuiti in molteplici uffici e gruppi di lavoro. Adottando questa tecnologia gli amministratori di rete vengono facilitati ad una gestione più efficiente e produttiva rispetto alle svariate necessità dell'azienda. Posto a monte della rete aziendale (per questo si parla di protezione perimetrale) l'UTM permette di gestire una molteplicità di funzioni rivolte alla sicurezza aziendale tramite un'unica console di gestione e una sola interfaccia GUI. Consente perciò di raccogliere in un'unica appliance le tante soluzioni di protezione diverse fornite da vendor diversi.
L'UTM ha in sè tutto il necessario per la sicurezza informatica: firewall, filtraggio antivirus a monte della rete prima ancora che le minacce possano raggiungere server e PC dell'azienda, filtraggio dei contenuti del Web e delle e-mail, application control e funzioni di networking come routing e bilanciamento del carico della banda Internet, il tutto racchiuso in un'unica appliance. Garantisce inoltre facilità di impostazione, troubleshooting potenziato, nonché una vista unificata dei criteri di sicurezza dell'intera azienda, minimizzando così i costi legati alla gestione e al tempo di inattività.

Sistema di criptazione a dischi fissi e mobili

Il software di criptazione o crittografia dei dati salvaguarda le informazioni presenti sul disco sia nell'uso quotidiano sia in caso di perdita o furto della macchina fisica, rendendo impossibile l'accesso ai dati a terzi non autorizzati. Inoltre consente di limitare l'utilizzo dei dispositivi mobili (pen drive e dischi USB) all'interno dell'azienda, mentre gli stessi dati non saranno più leggibili una volta usciti dal controllo dell'azienda.

Dispositivi mobili con impronta digitale o codice

Le pen drive USB e più in generale i dischi di memoria esterni con accesso tramite codice o riconoscimento dell'impronta digitale salvaguardano l'accesso ai dati presenti alle persone che non siano state autorizzate dall'azienda.

Formazione dipendenti e responsabili esterni

Il GDPR prescrive all'art. 29 che chiunque tratta dati personali debba essere stato istruito in tal senso dal titolare o dal responsabile del trattamento.

Ciò significa che le aziende devono implementare dei processi formativi che rispondano a requisiti delle misure di sicurezza testabili, verificabili e valutabili per chiunque gestisca dati personali. In caso di violazione si rischiano sanzioni fino a 10 milioni di euro o fino al 2% del fatturato annuo.
L'intento è quello di legare l'effettività del Regolamento alle competenze del personale: non è più possibile considerare la privacy e la protezione dei dati come un mero adempimento documentale e burocratico, perché l'efficacia dei processi aziendali passa dal personale interno formato e culturalmente predisposto. In termini di ROI (Return on Investment) significa investire per migliorare i processi organizzativi, proteggere la reputazione aziendale e ridurre i rischi di sanzioni amministrative.
Tutto questo presuppone una progettazione degli interventi formativi basata sulla dimensione, la struttura e il business aziendale, individuando specifiche esigenze formative per rendere effettiva la compliance al Regolamento Europeo.