La nostra check-list GDPR per aumentare la SICUREZZA INFORMATICA ed evitare un DATA BREACH!
I nostri esperti di Cybersecurity hanno redatto un elenco di caratteristiche per distinguere gli apparati Hardware e Software idonei a soddisfare le richieste dell'Art.32 del GDPR sulla Protezione dei Dati fornendo anche consigli utili ad evitare un DATA BREACH.
Perchè è importante disporre di apparati e tecnologie adeguate per essere in linea con l'Art. 32 del GDPR e per allontanare il rischio di una violazione dei dati (DATA BREACH).
Un primo obiettivo di questo post è quello di fare maggiore chiarezza su un Articolo del GDPR che ancora molti sottovalutano ma che è fondamentale per avvicinarsi al traguardo della COMPLIANCE.
Stiamo parlando dell’Art.32 ovvero quello che parla della SICUREZZA dei DATI con particolare riferimento ai dati personali.
Secondo obiettivo è quello di fornirti notizie utili per individuare strumenti e tecnologie che ti possono avvicinare all'ambito traguardo della Compliance e sopratutto a scongiurare un pericolo di DATA BREACH.
Premessa
Sono ancora molte le aziende che non hanno completato il percorso di Compliance (Conformità) al GDPR soprattutto fra le piccole e medie aziende.
Molti ancora pensano che il GDPR sia un semplice adempimento burocratico e che basti compilare quattro scartoffie (informative) ed un registro (Registro dei Trattamenti) per essere in regola.
IL GDPR è anche molto altro e l’Art.32, di cui riportiamo i primi passi, ne è l’esempio:
GDPR ART. 32: Sicurezza dei dati personali
Sicurezza del trattamento
1) Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il Titolare e il Responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono tra l’altro, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali;
c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico;
d) una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento;
Come si può notare, la “discrezionalità” che è alla base del concetto di “ACCOUNTABILITY”, su cui poggia tutto il GDPR, pone l’accento sul grado di adeguatezza, che viene stabilito dal Titolare e dal suo/suoi Responsabili in funzione di vari fattori, primo fra tutti il RISCHIO di VIOLAZIONE dei DATI o DATA BREACH.
Il Titolare (Azienda) e/o il Responsabile del Trattamento esterno (fornitore) devono quindi dotarsi di strumenti e tecnologie adeguati a fronteggiare il rischio, ovviamente dopo averlo analizzato.
È IMPORTANTE DOTARSI di STRUMENTI e TECNOLOGIE “GDPR COMPLIANT”
COSA VUOL DIRE GDPR COMPLIANT?
Le Tecnologie, Hardware o Software che prevedano la gestione di Dati Personali (non necessariamente sensibili) devono, per poter essere definiti COMPLIANT o READY for GDPR, rispondere ad una serie di requisiti fin dall’inizio della loro progettazione (Privacy By Design).
CHECK-LIST Hardware/Software GDPR COMPLIANCE
Un dispositivo Hardware o Software, per poter essere definito GDPR COMPLIANT o READY for GDPR, deve:
- Consentire la tracciatura delle attività (Log)
- Il Sw deve consentire di proteggere i dati di log in modo da garantirne l'integrità, la riservatezza e la disponibilità.
- Consentire il controllo degli accessi in base ai profili degli utilizzatori
- Consentire di restringere i dati al minimo indispensabile (Minimizzazione)
- Verificare il controllo dei dati (esattezza)
- Consentire di cancellare i dati se non più necessari (limitazione alla conservazione)
- Consentire l'accesso ai dati attraverso una procedura di autenticazione abbinata ad una di autorizzazione
- Ove richiesto poter permettere la segregazione dei dati identificativi, o viceversa, di dati critici, in relazione a specifiche attività di trattamento o specifiche categorie di utenti es. in caso di dati particolari (salute, origine etnica, giudiziari, orientamento politico, religioso, filosofico e sessuale etc.)
- Permettere all'utilizzatore di verificare lo stato del consenso quando questa è la base giuridica del trattamento
- Consentire la modifica, rettifica e/o cancellazione dei dati tenendone traccia
- Ove richiesto poter consentire l'archiviazione o l'esportazione cifrata (cryptazione) di specifiche categorie di dati personali (es. quelli relativi alla salute, giudiziari etc)
- Prevedere la funzione di salvataggio dei dati (Backup) programmabile secondo le esigenze del cliente
- Possedere una funzione di ripristino in caso di disastro (Disaster Recovery)
QUALI DISPOSITIVI e TECNOLOGIE ti possono aiutare a raggiungere la GDPR COMPLIANCE e ad evitare un DATA BREACH!
Hermes Srl, da tempo attiva sul fronte della CYBERSECURITY ha fatto una selezione dei dispositivi che sul mercato offrivano le migliori caratteristiche di performance ma, in particolare, che avessero tutte le carte in regola per definirsi GDPR COMPLIANT o READY for GDPR
Di seguito abbiamo stilato un elenco dei dispositivi e dei brand che, normalmente vengono sempre inseriti all’interno di un processo di GDPR COMPLIANCE al fine di rispondere, in particolare, all’Art.32 del GDPR:
FIREWALL
SICUREZZA DELLE RETI INFORMATICHE
Nell'Information Technology e nel campo delle reti di computer, un firewall è un componente passivo di difesa perimetrale che può tra l'altro fare da collegamento tra due o più parti di rete.I firewall forniscono un livello di protezione alla rete interna per accedere ad Internet.Hermes ha individuato in Fortinet® e WatchGuard® e nelle loro linee Firewall Fortigate® e Firebox® partner e soluzioni all’avanguardia, in grado di essere costantemente aggiornati per fronteggiare i più svariati ed evoluti attacchi informatici, in perfetta sintonia con quanto richiede l’Art.32 del GDPR in merito alla Protezione dei Dati.Di seguito riassumiamo i principali VANTAGGI della soluzione Fortinet Security:
Ampio
Progettato per coprire la superficie di attacco in espansione di una moderna rete aziendale, il Fortinet Security fornisce il tessuto di protezione, visibilità e controllo su ogni parte dell'ambiente, dal cablaggio agli endpoint wireless, attraverso risorse cloud pubbliche e private, al centro dati e anche alle applicazioni stesse.
Combinata con la segmentazione dinamica della rete che separa logicamente dati e risorse, il tessuto di sicurezza Fortinet può esplorare in profondità nella rete per scoprire nuove minacce mentre si muovono da una zona all’altra. Questo ampio dispiegamento e una profonda visibilità è un passo cruciale per la conformità GDPR, aiutando monitorare il traffico interno e i dispositivi, impedendo l'accesso non autorizzato a risorse limitate e limitando la diffusione di intrusi e malware.
Potente
Molti dispositivi di sicurezza tradizionali, non riuscendo a tenere il passo con gli aumenti nella banda di rete e con la complessità delle minacce, obbligano le aziende ad affrontare i rischi mettendole di fronte ad un inaccettabile compromesso.
O ridurre il livello di protezione, con il rischio d’intrusione attraverso un attacco vettoriale o tramite una parte non protetta della rete, o accettare un calo di prestazioni in tutta la rete.
Scaricando la protezione e l'elaborazione dei contenuti su unità di elaborazione di sicurezza personalizzate (SPUs), che combinano l'accelerazione hardware a firmware altamente ottimizzati, i prodotti Fortinet consentono alle organizzazioni di stabilire una sicurezza completa senza compromettere le prestazioni.
Automatizzato
Oltre alla grande visibilità su tutta la superficie di attacco e il substrato di trasformazione che agisce in maniera approfondita in ogni pacchetto, il tessuto di sicurezza Fortinet può anche raccogliere l'intelligenza combinata dei suoi componenti distribuiti per correlare rapidamente gli eventi e coordinare una risposta veloce e automatica adeguata al livello di rischio.
Come rapidamente vengono rilevate nuove minacce, il tessuto di sicurezza Fortinet può isolare automaticamente le periferiche colpite, segmenti di rete di partizioni, regole di aggiornamento, push out, nuovi criteri e rimuovere malware.
E come la rete di un'organizzazione cresce e si adatta alle mutevoli esigenze aziendali, il tessuto di sicurezza Fortinet cresce e si adatta con esso, estendendo automaticamente le ultime policy di sicurezza ai nuovi dispositivi, carichi di lavoro, e servizi così come vengono distribuiti, sia in locale che in remoto o nel cloud.
WatchGuard offre l’aggiornamento per la sicurezza dei dati necessario a garantire la conformità alle misure di sicurezza dei dati GDPR integrato in un pacchetto facile da utilizzare come la Total Security Suite. Mirando a realizzare una sicurezza di livello enterprise, l’appliance di sicurezza WatchGuard Firebox® con Total Security Suite incorpora 16 dei 20 controlli critici per la sicurezza secondo il SANS Institute (v6), dimostrandosi un prodotto completo per assicurare la conformità GDPR.
Servizio di sicurezza Threat Detection and Response
Il servizio Threat Detection and Response fornisce la "consapevolezza della situazione" con la funzione unica ThreatSync.
ThreatSync correla le informazioni di sicurezza dai dispositivi endpoint e di rete per renderti consapevole degli incidenti di sicurezza segnalati in un dashboard semplice da decifrare.
Inoltre, puoi creare policy per porre rimedio agli “incidenti a punteggio elevato" in modo automatico e, poiché TDR è un servizio basato sul cloud, puoi decidere di fare in modo che i tuoi dati siano archiviati in conformità all'Art. 44 sul trasferimento dei dati del Regolamento.
Sicurezza di rete e anonimizzazione dell'utente
WatchGuard Dimension™ rappresenta una soluzione di visibilità della sicurezza di rete pronta per il cloud che viene rilasciata come standard con la migliore piattaforma di firewall di WatchGuard. Fornisce visibilità e reporting per big data che individuano in modo univoco i principali problemi, trend e minacce alla sicurezza della rete, velocizzando così l’implementazione di policy di sicurezza efficaci in tutta la rete. Inoltre, Dimension include una potente funzione di anonimizzazione dell’utente che utilizza la tecnologia di pseudonimizzazione per sostituire tutte le informazioni di identificazione personale (PII) nei report, nei dashboard e nelle pagine riassuntive di Dimension con testo del segnaposto codificato con hash.
Crittografia e VPN
Mantenere crittografati i dati personali durante l'archiviazione e il transito è una strategia fondamentale per il successo poiché riduce notevolmente i requisiti di notifica dopo una violazione dei dati (Data Breach).
Una utile funzione, inclusa nelle soluzioni Firebox UTM di WatchGuard, include la creazione drag-and-drop VPN tra filiali e sede centrale. Oltre alla configurazione semplice e rapida, le VPN sono create per durare e sono note per la loro stabilità, il che è imprescindibile se la tua attività fa affidamento sulla disponibilità regolare dei dati.
Data Loss Prevention
Il GDPR riguarda soprattutto la protezione dei dati (vedi Art.32).
Il servizio di Data Loss Prevention (DLP) aiuta a prevenire le violazioni accidentali dei dati rilevando e impedendo ai file con informazioni personali di uscire dalla rete. Cerca le informazioni personali come numeri della previdenza sociale, dettagli del conto corrente e cartelle cliniche, in base alle regole che abiliti.
Autenticazione a più fattori (MFA)
Sebbene non sia richiesto in modo specifico dal regolamento GDPR, MFA è una tecnologia chiave per ridurre potenziali perdite laddove, per l'accesso ai sistemi con i dati personali sono previste le credenziali ad un singolo fattore.
Il servizio AuthPoint fornisce un'affidabile autenticazione a più fattori (MultiFactorAutentication) su una piattaforma Cloud, facilmente gestibile tramite un'applicazione mobile agevole per gli utenti, unendo sicurezza efficace al basso costo totale di proprietà.
COMUNICAZIONE
Quando noi di Hermes parliamo di Comunicazione ci riferiamo, in particolar modo, alla UNIFIED COMMUNICATION che, da alcuni anni, sta rivoluzionando il mondo dei tradizionali Centralini Telefonici verso un universo più ampio, orientato al WEB ed alla condivisione delle informazioni.
SOLUZIONI "COMUNICOMPLIANCE" al GDPR
Sono diverse le soluzioni Unified Communication presenti sul mercato ed Hermes, vera specialista in questo settore con centinaia di utenti installati, ha scelto quei player che per Prestazioni, Tecnologia, Affidabilità e Sicurezza sono al TOP del settore.
Uno di questi è sicuramente Wildix, azienda Italiana ma, oramai presente in tutto il mondo, che maggiormente si sta distinguendo con soluzioni orientate alla massima integrazione con i sistemi esistenti in azienda.
Anche per quanto riguarda le tematiche relative alla sicurezza dei dati, Wildix si è mossa in anticipo, introducendo una serie di funzionalità che rendono le sue Soluzioni aderenti alle richieste dell’Art.32 del GDPR che elenchiamo di seguito:
Di seguito un elenco delle principali funzionalità GDPR Compliance introdotte nei sistemi di Unified Communication Wildix:
1) Registrazione proxy SIP: le informazioni sulle nuove registrazioni SIP (dall'utente, dal nome, dall'agente utente) vengono ora registrate con il livello di debug predefinito;
2) Registrazione connessioni di collaborazione/WMS: informazioni sulle connessioni ora sono scritte in syslog (IP remoto, porta, username, metodo auth, login/logout/login fallito);
3) Controllo e profilazione degli accessi alla rubrica in base ad una Policy aziendale.
4) Aggiunta la possibilità di utilizzare Remote syslog (rsyslog) oltre ai syslog locale;
5) I record contenenti dati personali devono essere trattati con cautela, introducendo un syslog remoto ci si assicura il controllo nel caso in cui il sistema sia stato compromesso:
- un hacker non può ottenere l'accesso al syslog
- un hacker non può cancellare il syslog
6) Tutte le registrazioni e i file relativi ad una conference vengono eliminati automaticamente dopo 6 mesi;
7) Aggiunta un'opzione per l'eliminazione automatica di CDR (chat/chat kite), messaggi vocali e registrazioni di chiamate nelle impostazioni WMS-> PBX-> chiamata e cronologia chat dopo un periodo di tempo;
8) Aggiunta la possibilità di cancellare tutti i contatti dalla Rubrica;
9) I file condivisi tramite web conference o kite possono venire eliminati automaticamente dopo 6 mesi;
10) I contatti importati da Outlook/Google possono venire eliminati automaticamente;
11) I contatti importati in precedenza da un database/backend esterno tramite il WMS possono venire automaticamente eliminati, se non ricevuti durante il Cron Job;
12) CSRF protezione da attacco via dominio: whitelist aggiunto in WMS per cui qualsiasi WebAPI/PBX o API d’integrazione smetterà di funzionare se il dominio non viene aggiunto alla WhiteList;
Link al sito Wildix Privacy Compliance
RETI e WI-FI
Più sicurezza per le RETI Wi-Fi
Per quanto riguarda le RETI ed, in particolare, le RETI WIRELESS, Ubiquiti introduce il nuovo dispositivo UniFi Security Gateway che estende la gamma di dispositivi UniFi.
Il nuovo UniFi Security Gateway offre sicurezza avanzata con elevate prestazioni di routing a prezzi competitivi.
È capace di instradare fino ad 1 milione di pacchetti al secondo ed è facilmente configurabile tramite il software UniFi Controller.
Integrazione con UniFi Controller
Il software UniFi Controller conduce al rilevamento dispositivi ed alla gestione dell'UniFi Security Gateway e degli altri dispositivi UniFi attraverso un’unica interfaccia centralizzata.
Deployment
Come parte del Sistema Unifi Enterprise, il Security Gateway è utilizzabile in accoppiamento agli Access Point della serie Unifi. La Gestione nonché il riconoscimento del dispositivo viene effettuata dal software centrale UniFi Controller, che risiede in una postazione in loco sulla stessa rete Layer-2 o fuori rete in cloud o NOC.
Server VPN per Comunicazioni sicure
Una VPN site-to-site sicura e criptata protegge i dati che viaggiano attraverso internet.
Potente Firewall
L'Unifi Security Gateway offre avanzate funzionalità firewall per proteggere la rete e i dati.
Supporto VLAN
Il Security Gateway può creare segmenti virtuali di rete per garantire sicurezza e gestione del traffico di rete.
Analisi avanzate
Potete monitorare le prestazioni e l'attività di rete grazie alle statistiche dettagliate fornite dal software. È possibile visualizzare anche i dati storici.
BACKUP & DISASTER RECOVERY
Non c’è Compliance senza un “buon” BACKUP
Veeam Backup è in assoluto un riferimento mondiale per quanto riguarda le tecnologie software per gestire il backup dei dati, con particolare focus negli ambienti virtuali.
Hermes ha da tempo scelto Veeam come Partner tecnologico di riferimento che le ha permesso di affrontare anche progetti di Compliance particolarmente complessi ed articolati.
Veeam, pur essendo una Società d’oltreoceano, ha affrontato con grande impegno l’introduzione del nuovo Regolamento Europeo GDPR allineando i propri prodotti per renderli conformi alle nuove disposizioni.
Punti chiave per la Compliance GDPR al fine di scongiurare un DATA BREACH
Cosa chiede di fare il GDPR alle organizzazioni? Cinque lezioni fondamentali apprese da Veeam:
- Conoscere i propri dati — individuare le informazioni di identificazione personale (“PII”) raccolte dalla propria organizzazione e chi può accedervi.
- Gestire i dati — Stabilire regole e procedure per accedere alle PII e utilizzarle.
- Proteggere i dati — Implementare e garantire i controlli di sicurezza per proteggere le informazioni e rispondere alle violazioni dei dati.
- Documentare ed essere conformi — Documentare i processi, dare seguito alle richieste di dati e riportare qualsiasi problema o violazione dei dati nell’ambito delle linee guida.
- Revisionare e migliorare costantemente i processi e le procedure per la privacy e la protezione dei dati. Availability dei dati
L’articolo 32 del GDPR spiega che è necessario rendere di nuovo disponibili i dati in caso di disastro, attacco malware (ransomware) o altri problemi. Con Instant VM Recovery® è possibile rendere nuovamente disponibili i dati in tutta rapidità e Veeam Backup & ReplicationTM offre oltre 50 possibilità di ripristino su un singolo backup. L’articolo 20 del GDPR prevede la restituzione dei dati posseduti su un soggetto alla persona interessata. Le funzionalità di ripristino avanzate di Veeam ti offrono la possibilità di esplorare backup e repliche e di ripristinare i dati in formati comuni, in modo da poterli recapitare tempestivamente ai soggetti.
Tagging dei dati PII e analisi
Quando vengono identificati dei dati PII, è fondamentale monitorare e controllare con diligenza costante. Con Veeam ONETM, è possibile taggare le origini dell’infrastruttura se contengono delle PII ed eseguire dei report su di esse, rivedere le dashbord ed effettuare degli audit su determinate attività (ad esempio cosa viene ripristinato e chi ha eseguito i ripristini) nel tuo ambiente. Queste funzionalità sono parti importanti degli articoli 6, 32 e 35 del GDPR e sono essenziali anche per l'esecuzione dei doveri del responsabile della protezione dei dati in base all’articolo 39 del GDPR.
Conservazione dei dati e diritto all’oblio
Nonostante il diritto all’oblio (articolo 17 del GDPR) non sia assoluto, non è possibile conservare i dati più a lungo di quanto non sia legalmente necessario (a seconda delle leggi nazionali e dei segmenti verticali). Con la retention dei dati, è possibile contrassegnare chiaramente i backup obsoleti e Veeam Backup & Replication rimuoverà i punti di retention dei dati quando la conservazione non è più richiesta, come descritto nell’articolo 6 del GDPR.
Discovery dei dati
Una delle prime attività che un’organizzazione deve svolgere nel suo percorso verso la conformità al GDPR è scoprire quali sono i dati posseduti. L’indagine sulle fonti dei dati non è sempre facile in produzione. Veeam Availability SuiteTM con tecnologia Veeam ExplorerTM, l’indicizzazione dei file guest e Virtual Labs offrono alla tua organizzazione la possibilità di eseguire il discovery dei dati che risiedono nelle copie.
SureBackup, SureReplica e Virtual Labs
SureBackup e SureReplica hanno lo scopo di automatizzare e semplificare il processo di verifica del backup. Questa è la parte più delicata della gestione e della protezione dei dati quando si aderisce alla protezione dei dati di soggetti privati descritta negli articoli 5 e 25 del GDPR. È possibile verificare automaticamente ogni punto di ripristino creato di ogni VM o replica e assicurarsi che funzionino come previsto nel caso in cui sia necessario riscattare o generare report su questi inestimabili punti di ripristino. Tutto ciò fornisce al team incaricato del trattamento dei dati gli strumenti necessari per conformarsi ai diversi elementi del framework GDPR con un metodo sicuro ed efficiente. Virtual Labs, la tecnologia di base, può essere utilizzata per le valutazioni di impatto sulla protezione dei dati prima ancora di eseguire aggiornamenti, upgrade o manutenzione sui dati di produzione, e questo è un elemento chiave dell’articolo 35 del GDPR
Report di posizione
Nel momento i cui i dati entrano ed escono dall’organizzazione, è fondamentale essere in grado di proteggerli e crittografarli. Tuttavia, è anche necessario individuare e riferire la posizione geografica e lo stato a cui fanno riferimento questi dati. Tutto ciò si applica ai dati di produzione ma anche a tutte le copie dei dati. Con Veeam Availability Suite 9.5 Update 3 è possibile taggare la posizione di ciascun punto dati e generare report su tutti i dati di produzione e i backup, le copie di backup, i nastri e le repliche rilevanti, la relativa posizione geografica ed eventuali discrepanze tra le posizioni. Questo aspetto è fondamentale per mantenere l’integrità secondo gli articoli 15 e 44 del GDPR.
CONCLUDENDO
La Compliance GDPR non ha regole esatte e ben definite e tutto si basa sul principio dell'Accountability.
E' vero che bisogna analizzare, documentare, informare sui dati trattati etc..ma, per prima cosa, è necessario proteggere questi Dati, per non incorrere in un Data Breach che, vista l'obbligatorietà di notifica al Garante, avrebbe come primo ed inevitabile effetto verifiche e possibili sanzioni e, alla peggio, anche provvedimenti penali (fino a 5 anni con il recente DDL101).
Inoltre una perdita di dati, al di là dei danni diretti prodotti dalle sanzioni, avrebbe anche come secondo, ma non meno importante, effetto ripercussioni enormi sul business dell'azienda, sia in termini di produttività che d'immagine.
