I mass media sono ricchi di notizie, più o meno esatte, sulla violazione dei sistemi subita dalla Regione Lazio. Per questo motivo, in questa sede, eviteremo di descriverla in tutti i suoi particolari. Ci soffermeremo invece su un elemento recentemente emerso: il pc violato del dipendente della società Engineering, che operava in telelavoro, rimasto acceso durante la notte, era in uso dal figlio. E’ stato un fattore determinante per la violazione subita? Esiste dolo? Il pc era personale o della Società? Gli interrogativi sono tanti e le risposte arrivano con il prosieguo delle indagini.
Una cosa però, è certa: analisi, procedure e produzioni documentali imposte da una corretta applicazione del GDPR (la vigente normativa sulla privacy e sulla protezione dei dati), spesso definiti erroneamente come meri orpelli burocratici, se implementati a dovere, probabilmente avrebbero evitato questa spiacevole, esiziale, costosa situazione.
Vediamo come.
1) Definizione delle idonee misure tecniche di sicurezza (Engineering e Regione Lazio).
Sistemi antintrusione, applicazioni anti-ransomware e antivirus adeguate, reti VPN adeguate, monitoraggi costanti della rete, firewall, efficaci sistemi di back up protetti e tutte le misure minime che sembra quasi superfluo elencare, devono essere, non solo implementate, ma inserite in procedure ben precise (è sicuramente d’aiuto la ISO 27001, il sistema di gestione della sicurezza delle informazioni) che prevedono il riesame, la verifica e l’aggiornamento continuo di sistemi e dispositivi. Ciò vale particolarmente per quelle organizzazioni definibili come “infrastrutture critiche” soggette alle misure della direttiva europea NIS (NISUE 2016/1148).
2) La formazione.
L’art. 29 del GDPR prevede che tutti i soggetti incaricati al trattamento di dati personali siano adeguatamente formati. Ci sentiamo di dire che, vista l’esigenza dell’attivazione del telelavoro, per di più, in un ambito molto delicato come quello di un sistema critico e complesso dei clienti di Engineering (Regione Lazio e altre amministrazioni pubbliche), la formazione verso gli autorizzati al trattamento dovrebbe rappresentare una priorità.
3) Le policy.
Una policy aziendale non è altro che un regolamento condiviso con i propri collaboratori. L’utilizzo dei dispositivi aziendali, la gestione degli account (posta e applicazioni), l’utilizzo e la gestione delle password, la riservatezza dei dati e delle informazioni, la conservazione dei dispositivi forniti in comodato, i download e tutte le attività di trattamento dei dati devono essere definite e normate secondo regole ben precise. Se fosse stata rispettata una policy, probabilmente il dipendente in questione non avrebbe acconsentito l’utilizzo del pc aziendale ad altre persone, neanche ai propri famigliari.
4) BYOD (Bring Your Own Device).
Non sappiamo se il pc fosse stato fornito dalla società o se fosse del dipendente. Se fosse vera la seconda ipotesi, sarebbe stata utile una dettagliata analisi di impatto specifica che avrebbe dato luogo all’implementazione delle procedure e delle misure di sicurezza idonee.
5) La corretta verifica dei “responsabili esterni” (art. 28 del GDPR).
I responsabili esterni sono quei soggetti che, per conto del titolare del trattamenti, effettuano trattamenti di dati personali. La nomina di responsabilità esterna, necessaria in quanto parte integrante del ruolo di alcuni fornitori di servizi, deve essere preceduta da un processo di verifica (audit) da parte del titolare dei trattamenti, nel caso specifico, della Regione Lazio.
Qualche volta i “pezzi di carta” contano e le consulenze hanno un peso, peccato che spesso ci si accorga della loro necessità quando il danno è fatto. Sciatteria, pigrizia, mancanza di consapevolezza e destinazione di insufficienti risorse economiche al tema della sicurezza portano a danni molto ingenti, sia sotto il profilo economico, sia sotto il profilo della reputazione e dell’immagine.
Daniele Umberto Spano
Avete effettuato il corretto adeguamento al GDPR? Avete pensato alla sicurezza dei vostri sistemi e dei vostri dati?
Kruzer è disponibile per una disamina gratuita dei documenti e delle procedure implementate oppure per proporvi una soluzione completa per l’adeguamento alle vigenti normative sulla privacy e sulla protezione dei dati personali.
Puoi contattarci, CLICCANDO QUI