Programma gestionale specializzato per rivenditori di pneumatici e grossisti.

GDPR - Privacy e Sicurezza - 08/05/2018

Leggi tutto

Introduzione

Il GDPR (General Data Protection Regulation) è relativo alla protezione delle
persone fisiche 
relativamente al trattamento dei dati personali, nonché alla libera circolazione di tali dati. 

Esso si avvia a diventare il punto di riferimento normativo ultimo per ciascuno Stato Membro dell’Unione Europea, aprendo di fatto una vera e propria fase inedita in materia di protezione dei dati personali.

Il nuovo Regolamento contiene, insieme ad alcune conferme di elementi già noti nel campo della protezione dei dati personali, numerose novità, il tutto con un forte aumento dei rischi e delle responsabilità, sia di carattere civile sia di carattere amministrativo-pecuniario

La scadenza per il recepimento e l’integrale applicazione del GDPR è il prossimo 25 maggio 2018. Detto quindi che chi comanda è il principio di accountability (RESPONSABILITA’) e che ognuno sarà libero di assumersi le proprie, abbiamo provato a declinare il da farsi in modo consulenziale, ponendoci, come facciamo sempre, nella stessa condizione del nostro cliente che possiamo accompagnare, almeno in parte, in questa avventura.


Principio di responsabilità: cosa significa in pratica? Significa che il legislatore europeo non ci dice più “cosa fare”, ma ci fornisce dei principi da applicare. Se andremo in sede di giudizio, sarà il giudice a valutare se avremo applicato al meglio i principi della legge, senza scorciatoie o dimenticanze, sulla base delle "best practices" (procedure e azioni più significative, o comunque quelle che permettono di ottenere i migliori risultati) e del progresso tecnologico. In sostanza scarica sul titolare e sui responsabili aziendali tutta la questione.

Una definizione che va fornita prima di proseguire il discorso è quella di Data Breach o di Data Protection Violation: si può tradurre genericamente in violazione dei dati aziendali. Possiamo identificare con questo termine una qualunque violazione, sia essa un furto, una intrusione o anche un virus informatico. Visto che quando un PC viene violato da un virus non è detto che i dati siano solo compromessi ma potrebbero anche essere prelevati e utilizzati fraudolentemente in violazione del GDPR, è indispensabile intraprendere tutte le "best practices" perchè questo non accada.


 

Cosa fare di sicuro

La domanda fondamentale è: il GDPR tocca la mia azienda? Ora, fatto salvo che la risposta è facile per le organizzazioni pubbliche di qualunque dimensione, che sono interessate al 100%, abbiamo sentito diversi distinguo tra le aziende private. Riconosciamo che la posizione di chi opera nel settore del commercio al dettaglio o all'ingrosso è molto diversa da chi eroga servizi sanitari, da chi gestisce l’anagrafe di un comune o da aziende come Facebook o WhatsApp.



Se si trattano un numero elevato di dati di persone fisiche e questi dati sono catalogabili come Particolari/Sensibili, Penali/Giudiziari, Biometrici/Geolocalizzazione/VideoSorveglianza è obbligatorio adeguarsi in modo completo alla normativa GDPR. In altri scenari è responsabilità dell’azienda valutare se e come adeguarsi alla normativa. Non possiamo quindi esprimere un giudizio su questo aspetto e rimandiamo per queste valutazioni al documento ufficiale del regolamento UE 679/2016 del 27/04/2016
 

Quindi la valutazione di che approccio avere nei confronti del GDPR deve essere comunque fatta

 


Cosa altro fare

Qualunque sia l’approccio della Vs. azienda verso la nuova normativa, il GDPR è comunque un’occasione per verificare tutti gli aspetti tecnologici che rendono l’organizzazione certamente più “ADEGUATA” a gestire la privacy e la sicurezza dei dati aziendali in generale.


Ricordiamoci che la sicurezza informatica è fondamentale per garantire la privacy dei dati che sono conservati su SERVER e PC 

Consigliamo quindi di:

• Mettere in sicurezza la rete aziendale ed eliminare le possibili cause di intrusione e furto dei dati

• Rivedere la documentazione, le procedure aziendali e la formazione al personale relative alla Privacy e al Consenso al trattamento.

La sicurezza informatica diventa sempre più complessa da gestire, soprattutto all’interno delle organizzazioni medio piccole. Non basta più solo acquistare dei prodotti ma è necessario anche acquistare servizi di consulenza per garantire in maniera efficace la sicurezza dei dati e effettuare controlli periodici per verificare che tutto sia impostato e configurato adeguatamente.


Cosa può fare X-Data per la sicurezza informatica e la protezione dei dati

Analisi sistemi operativi e applicazioni in uso: il primo elemento da prendere in considerazione per definire sicura la infrastruttura informatica è l’adozione di sistemi operativi (PC e SERVER) supportati, ovvero in manutenzione corrente da parte del produttore. Ad esempio, Windows XP e VISTA non sono più supportati e non sono più rilasciati aggiornamenti di sicurezza. Così anche per Windows Server 2003. Se in azienda sono ancora presenti possono quindi causare seri problemi di sicurezza e sicuramente non sono conformi al GDPR. L’analisi dello stato dell’arte effettuato con software mirati permette di individuare la presenza di questi sistemi e di predisporre un corretto piano di aggiornamento. L'installazione e l'utilizzo di software ad uso personale e non necessari all'attività lavorativa è un altro fattore di rischio che deve essere considerato.




Anti Virus e Anti Ransomware: Partendo dalla normale protezione antivirus bisogna considerare che i ransomware non sono virus e stanno diventando pervasivi: sono necessari moduli specifici per ridurre il rischio di criptazioni dei dati non volute. L’adozione di una soluzione completa antivirus e antiransomware è la scelta più oculata.




 

Backup e backup gestito: Il backup aziendale va semplificato e magari gestito in outsourcing esternamente all’azienda: troppo spesso vediamo che i salvataggi dei dati non vengono effettuati oppure, se automatizzati, non vengono controllati sperando solo che vada tutto bene.






Security management e protezione firewall: la protezione perimetrale dagli attacchi esterni è un caposaldo della sicurezza informatica aziendale, dotarsi di prodotti e servizi che garantiscano la sicurezza a attraverso la completa gestione del firewall e delle sue funzionalità sgrava l’azienda da un pesante fardello gestionale.  



Ethical Hacking: possiamo tradurlo in controllo proattivo delle vulnerabilità. Se consideriamo il ciclo di vita della sicurezza come circolare, a fronte di ogni azione, dobbiamo valutarne l’efficacia anche nel tempo. In ragione di ciò proponiamo un servizio per effettuare dei controlli periodici volti a monitorare la sicurezza esterna ed interna  ed apportare i necessari correttivi per garantire la sicurezza informatica aziendale

Formazione:
gli attacchi alla sicurezza aziendale possono utilizzare anche metodi sofisticati di ingegneria sociale atti ad ingannare chi opera al computer per indurlo ad attivare inconsapevolmente dei software malevoli. Possiamo effettuare formazione al personale per fornire tutte le indicazioni necessarie per un utilizzo consapevole degli strumenti informatici e minimizzare i rischi. 

 




In qualsiasi modo decidiate di affrontare il GDPR possiamo fornire consulenza, prodotti e servizi inerenti alla sicurezza dell’infrastruttura informatica e di rete. Questa attività non è da considerare come un adeguamento completo alla normativa GDPR ma sicuramente ne può costituire una parte rilevante.

Indipendentemente dal GDPR sono accorgimenti e cautele che mirano a proteggere i Vs. dati che sono un patrimonio aziendale a cui spesso non viene riconosciuto il reale valore fino a quando, per qualche disgraziato avvenimento, questi dati vengono persi.




Per maggiori informazioni sui nostri prodotti e servizi contattate il ns. ufficio commerciale al numero 051 58 70 900 (post selezione 1) oppure all'indirizzo info@xdatasrl.it
Torna all'elenco