Utilizzando un linguaggio semplice e volendo esprimere in modo estremamente sintetico il concetto chiave del GDPR, potremmo dire: “non basta un pezzo di carta”. Purtroppo, esiste un’atavica modalità “italica” per risolvere in modo rapido e indolore la problematica, diffusa in diversi ambiti, della conformità rispetto a codici, regole e impianti normativi complessi, che prevede la presenza di qualche documento “scudo” in grado di neutralizzare controlli e ispezioni. Il GDPR, non per il fatto che sia nato a Bruxelles ma per come è stato concepito e per l’impatto che genera nell’ambito dei processi, dell’organizzazione, della cultura e della tecnologia all’interno di enti e imprese, non può esaurirsi in una semplice produzione documentale. Non fraintendiamo, la redazione dell’analisi d’impatto, dei registri dei trattamenti, delle nomine, delle informative e di tutti i documenti previsti, non è inutile. Infatti la parte documentale è necessaria: definisce le basi giuridiche dei trattamenti; affida le corrette responsabilità; consente l’applicazione del principio di trasparenza; etc. Diciamo però che non è sufficiente.
Negli articoli 24 e 32 del Regolamento, si parla di “misure tecniche e organizzative adeguate”. Oggi ci soffermeremo sul concetto di “misure tecniche adeguate”.
Cerchiamo di capire il significato più ampio del termine “violazione dei dati personali” (data breach). Spesso trattiamo dati molto importanti senza rendercene conto. Immaginiamo, per esempio, l’impatto derivante dal trafugamento della scansione di un documento d’identità. Quali conseguenze potrebbe generare? La risposta più ovvia: furto di identità. Con la falsificazione di un paio di buste paga, sarebbe possibile richiedere un prestito utilizzando l’identità del malcapitato con la conseguente segnalazione alle centrali rischio. Naturalmente, sarebbe possibile realizzare truffe anche di altro tipo.
Le continue notizie di database violati, ci fa comprendere quanto tutti i sistemi informatici siano a rischio di violazione. Le misure minime imposte dal codice privacy del 2003, già prevedevano la presenza di dispositivi hardware e software di sicurezza: dal firewall all’antivirus; dai dispositivi di back up agli aggiornamenti software periodici.
Viste le situazioni di rischio, oggi presenti, sarebbe una buona cosa prevedere di implementare nella propria rete aziendale, oltre che le già citate misure minime, efficaci sistemi anti ransomware, applicazioni di crittografia dei dati più sensibili e sistemi di log management. Questi ultimi sistemi sono molto importanti in quanto spesso si pensa che le violazioni dei dati siano il risultato di un’intrusione nei sistemi da parte di hacker, magari distanti migliaia di chilometri, escludendo a priori l’eventualità che la minaccia possa risiedere nell’ ufficio del collega. Una completa reportistica degli accessi potrebbe rivelarsi come la chiave di volta per risolvere importanti situazioni di utilizzo illecito dei sistemi o di trafugamenti di dati dall’interno della propria organizzazione.
Oggi esiste la possibilità, grazie ad alcune applicazioni, di mantenere un monitoraggio continuo e costante delle reti aziendali, finalizzato ad ottimizzare l’utilizzo delle risorse in tempo reale e testare il livello di sicurezza dei dispositivi. Parliamo dei sistemi di RMM (remote management monitoring). Tali applicazioni consentono un’azione preventiva da parte dei tecnici manutentori, evitando, in molti casi, il verificarsi di malfunzionamenti gravi del sistema e conseguenze esiziali sulla gestione dei dati e sui processi produttivi dell’azienda. È’ sempre buona norma prevedere dei periodici vulnerability assesment, per analizzare i sistemi di rete e individuare eventuali vulnerabilità. In alcuni casi sarebbe opportuno prevedere anche dei periodici penetration test, per capire quanto sia più o meno semplice violare il sistema dall’esterno con azioni mirate. Tutte le misure finora elencate, anche se pedissequamente applicate, non garantiranno mai una sicurezza totale al 100% ma sicuramente, se abbinate ad una buona cultura sulla sicurezza informatica, ai comportamenti corretti da parte degli utilizzatori e alle adeguate misure organizzative in termini di processi e di policy applicate all’organizzazione, contribuiranno a ridurre di molto i rischi di intrusione e di utilizzo illecito dei dati oltre che diminuire o evitare del tutto sanzioni comminate a seguito di ispezioni da parte delle autorità preposte.
Daniele Umberto Spano
Per approfondimenti, adeguamenti, consulenza privacy e analisi di sicurezza del sistema informatico contattaci CLICCANDO QUI