Utilizzando un linguaggio semplice e volendo esprimere in modo estremamente sintetico il concetto chiave del GDPR, potremmo dire: “non basta un pezzo di carta”. Purtroppo, esiste un’atavica modalit\u00e0 “italica” per risolvere in modo rapido e indolore la problematica, diffusa in diversi ambiti, della conformit\u00e0 rispetto a codici, regole e impianti normativi complessi, che prevede la presenza di qualche documento “scudo” in grado di neutralizzare controlli e ispezioni. Il GDPR, non per il fatto che sia nato a Bruxelles ma per come \u00e8 stato concepito e per l\u2019impatto che genera nell’ambito dei processi, dell’organizzazione, della cultura e della tecnologia all’interno di enti e imprese, non pu\u00f2 esaurirsi in una semplice produzione documentale. Non fraintendiamo,\u00a0la redazione dell\u2019analisi d’impatto, dei registri dei trattamenti, delle nomine, delle informative e di tutti i documenti previsti, non \u00e8 inutile. Infatti la parte documentale \u00e8 necessaria: definisce le basi giuridiche dei trattamenti; affida le corrette responsabilit\u00e0; consente l’applicazione del principio di trasparenza; etc. Diciamo per\u00f2 che non \u00e8 sufficiente.\u200b<\/p>\n
Negli articoli 24 e 32 del Regolamento, si parla di “misure tecniche e organizzative adeguate”. Oggi ci soffermeremo sul concetto di “misure tecniche adeguate”.<\/p>\n
Cerchiamo di capire il significato pi\u00f9 ampio del termine “violazione dei dati personali” (data breach<\/em>). Spesso trattiamo dati molto importanti senza rendercene conto. Immaginiamo, per esempio, l’impatto derivante dal trafugamento della scansione di un documento d’identit\u00e0. Quali conseguenze potrebbe generare? La risposta pi\u00f9 ovvia: furto di identit\u00e0. Con la falsificazione di un paio di buste paga, sarebbe possibile richiedere un prestito utilizzando l’identit\u00e0 del malcapitato con la conseguente segnalazione alle centrali rischio. Naturalmente, sarebbe possibile realizzare truffe anche di altro tipo.<\/p>\n Le continue notizie di database violati, ci fa comprendere quanto tutti i sistemi informatici siano a rischio di violazione. Le misure minime imposte dal codice privacy del 2003, gi\u00e0 prevedevano la presenza di dispositivi hardware e software di sicurezza: dal firewall<\/em> all’antivirus<\/em>; dai dispositivi di back up<\/em> agli aggiornamenti software periodici.<\/p>\n Viste le situazioni di rischio, oggi presenti, sarebbe una buona cosa prevedere di\u00a0implementare nella propria rete aziendale, oltre che le\u00a0gi\u00e0\u00a0citate misure minime, efficaci sistemi anti ransomware<\/em>, applicazioni di crittografia dei dati pi\u00f9 sensibili e sistemi di log management<\/em>. Questi ultimi sistemi sono molto importanti in quanto spesso si pensa che le violazioni dei dati siano il risultato di un’intrusione nei sistemi da parte di hacker<\/em>, magari distanti migliaia di chilometri, escludendo a priori l’eventualit\u00e0 che la minaccia possa risiedere nell’ ufficio del collega. Una completa reportistica degli accessi potrebbe rivelarsi come la chiave di volta per risolvere importanti situazioni di utilizzo illecito dei sistemi o di trafugamenti di dati dall’interno della propria organizzazione.<\/p>\n \u200bOggi esiste la\u00a0possibilit\u00e0, grazie ad alcune applicazioni,\u00a0di mantenere un monitoraggio continuo e costante delle reti aziendali, finalizzato ad ottimizzare l’utilizzo delle risorse in tempo reale e testare il livello di sicurezza dei dispositivi. Parliamo dei sistemi di RMM<\/em> (remote management monitoring). Tali applicazioni consentono un’azione preventiva da parte dei tecnici manutentori, evitando, in molti casi, il verificarsi di malfunzionamenti gravi del sistema e conseguenze esiziali sulla gestione dei dati e sui processi produttivi dell’azienda. \u00c8’ sempre buona norma prevedere dei periodici vulnerability assesment<\/em>, per analizzare i sistemi di rete e individuare eventuali vulnerabilit\u00e0. In alcuni casi sarebbe opportuno prevedere anche dei periodici penetration test<\/em>, per capire quanto sia pi\u00f9 o meno semplice violare il sistema dall’esterno con azioni mirate. Tutte le misure finora elencate, anche se pedissequamente\u00a0applicate, non garantiranno mai una sicurezza totale al 100% ma sicuramente, se abbinate ad una buona cultura sulla sicurezza informatica, ai comportamenti corretti da parte degli utilizzatori e alle adeguate misure organizzative in termini di processi e di policy<\/em> applicate all’organizzazione, contribuiranno\u00a0a ridurre di molto i rischi di intrusione e di utilizzo illecito dei dati oltre che diminuire o evitare del tutto sanzioni comminate a seguito di ispezioni da parte delle autorit\u00e0 preposte.<\/p>\n Daniele Umberto Spano<\/p>\n <\/p>\n <\/p>\n <\/p>\n <\/p>\n","protected":false},"excerpt":{"rendered":" Utilizzando un linguaggio semplice e volendo esprimere in modo estremamente sintetico il concetto chiave del GDPR, potremmo dire: “non basta […]<\/p>\n","protected":false},"author":1,"featured_media":89764,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[113],"tags":[148,151,154,176,180,181,182,133,183,134,184,140,141],"class_list":["post-89588","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog","tag-trattamentodati","tag-nomine","tag-titolaretrattamenti","tag-sanzione","tag-sicurezza","tag-testvulnerabilita","tag-ransomware","tag-gdpr","tag-vulnerability","tag-privacy","tag-informatica","tag-garanteprivacy","tag-dpo"],"yoast_head":"\nPer approfondimenti, adeguamenti, consulenza privacy e analisi di sicurezza del sistema informatico contattaci CLICCANDO QUI<\/a><\/span><\/strong><\/h1>\n