Data Security & Compliance

Tutto quello che devi sapere e fare per adeguarti al GDPR

Introduzione

A seguito dell’aumento della frequenza, della portata e dei costi connessi alle violazioni dei dati, i governi di tutto il mondo hanno emanato leggi più stringenti in materia di protezione dei dati personali. L’Europa non fa eccezione a questo trend. Fin dal 2012 la Commissione Europea ha approvato vari nuovi strumenti di tutela il cui obiettivo è migliorare i processi di gestione di questi dati aumentandone la sicurezza, ma anche armonizzare le legislature nazionali degli Stati Membri.

In questo panorama di inserisce il General Data Protection Regulation (GDPR), che ha destato più scalpore dei suoi predecessori poiché porta con sé una quantità consistente di cambiamenti rispetto alle legislature esistenti. Lo schema del GDPR non è semplice da implementare: istituisce un nuovo sistema di responsabilità, nuove procedure per la notifica delle violazioni e fissa norme molto stringenti sulla gestione dei flussi di dati. Restano pochi mesi per adeguarsi al regolamento, dunque per le aziende i tempi sono maturi per rivedere radicalmente le proprie strategie di sicurezza.

Questa guida vuole sottolineare i più rilevanti cambiamenti e le nuove sfide da affrontare, nonché le azioni che le aziende dovrebbero porre in essere per adeguarsi al GDPR.

Cambiamenti, azioni richieste e Action Plan

Il GDPR non ha confini

Il GDPR è uno strumento globale di tutela dei dati che non impone i suoi effetti solo alle aziende che operano in Europa. Al contrario, i suoi effetti si estendono a qualsiasi azienda i cui clienti siano domiciliati in un paese dell’Unione e a tutti i cittadini che posseggono un passaporto dell’Unione anche se residenti fuori da essa.

Azioni richieste:

<

Action Plan:

Ampiamento del concetto di “dato personale”

Il nuovo regolamento amplia i concetti di “dato personale” e “dato personale sensibile”.

Secondo il GDPR, un dato personale è “qualsiasi informazione che si riferisce ad una persona fisica identificata ed identificabile”. Comprende anche le identità digitali come gli indirizzi IP o i cookie.

Una particolare categoria di essi sono i dati personali sensibili, ossia “qualsiasi informazione che riguardi l’origine etnica, il credo politico e religioso, i valori personali, l’appartenenza a sindacati, l’orientamento sessuale, le condizioni di salute e qualsiasi dato di natura genetica o biometrica.”

Questi nuovi criteri impongono alle aziende una revisione delle informative sulla gestione dei dati.

Sfide:

L’estensione delle definizioni e l’apertura alle identità digitali impone alle aziende di ampliare lo spettro d’indagine includendo nell’analisi i comportamenti degli utenti, la pubblicità e i Social Media per essere conformi al GDPR.

Action Plan:

Ridefinizione dei principi di protezione del dato

Il GDPR poggia la sua struttura sui 6 principi di protezione del dato sanciti nel precedente regolamento “Data Protection Act”, con poche ma significative aggiunte. Questi sanciscono che i dati personali, che siano sensibili o meno, devono essere:

  1. Processati in modo equo e trasparente e sempre nel rispetto delle legislature nazionali ed internazionali.
  2. Raccolti per scopi specifici, espliciti e legittimi, nel rispetto del principio sopra elencato. L’archiviazione di dati per motivi di pubblico interesse o per scopi scientifici, storici o statistici non deve essere considerato incompatibile con quanto fin qui detto.
  3. Adeguati e limitati a ciò che è strettamente necessario per raggiungere l’obiettivo che si è dichiarato.
  4. Accurati ed aggiornati. È necessaria una continua azione di revisione.
  5. Gestiti solo per il tempo strettamente necessario per raggiungere l’obiettivo che si è dichiarato. L’archiviazione oltre questo periodo è concessa solo per motivi di pubblico interesse o per scopi scientifici, storici o statistici. Inoltre, le aziende sono obbligate a porre in essere misure tecniche mirate a salvaguardare i diritti e la libertà degli individui.
  6. Processati con gli strumenti tecnici più adeguati a garantire incolumità dai rischi di trattamento illecito, perdite accidentali, distruzione o danneggiamento.

È il responsabile del trattamento dei dati personali a dover assicurare l’osservanza di questi principi e a dover dimostrare che l’azienda ha raggiunto la piena conformità al GDPR.

Azioni richieste:

Action Plan:

Le figure coinvolte: Garante e Responsabile

A seconda del tipo di operazioni che compiono sui dati, distinguiamo la figura del Garante da quella di Responsabile. Per poter accertare le responsabilità, il GDPR sancisce il giusto equilibrio tra i due ruoli, suddividendo le responsabilità di compliance.

Garante dei dati personali:

Responsabile del trattamento dei dati personali:

Azioni richieste:

Action Plan:

Notifica delle violazioni

Il GDPR definisce la violazione come "qualsiasi alterazione della sicurezza che abbia come conseguenza la distruzione, perdita, alterazione, accesso o divulgazione non autorizzati di dati personali".

In quest’ottica, la violazione non è semplicemente una perdita di informazioni. Il regolamento obbliga l’azienda a segnalare le violazioni entro 72 ore "senza attendere troppo, lì dove è possibile".

Azioni richieste:

Action Plan:

I diritti degli interessati

Il GDPR è molto rigido nel definire i comportamenti che possono o non possono essere posti in essere dalle aziende quando trattano i dati personali. Per converso, definisce i diritti delle persone alle quali i dati appartengono.

Diritto ad essere informati: si riferisce al momento della raccolta del dato. Le aziende devono comunicare agli interessati che i loro dati saranno raccolti ed assicurare un trattamento trasparente e giusto attraverso una “informativa sulla privacy”. Per le grandi aziende ottenere il consenso scritto è un requisito indispensabile per poter gestire i dati.

Diritto di accesso: gli interessati devono poter accedere alle informazioni che li riguardano in qualsiasi momento. Con questo requisito il GDPR assicura la possibilità dell’interessato di verificare e confermare che il trattamento sia equo.

Diritto di rettifica: se i loro dati sono incompleti o non corretti, gli interessati hanno diritto a chiedere una rettifica. Quando si fa una richiesta di questo tipo è responsabilità del Garante fornire tempestivamente tutte le informazioni rilevanti per soddisfarla.

Diritto di limitazione del trattamento dei dati: in questo caso il garante può conservare i dati ma non può utilizzarli in alcun modo. Gli interessati possono richiedere la limitazione nei seguenti casi:

Diritto di trasferire i dati: gli interessati possono in qualsiasi momento riprendere in mano i propri dati e trasferirli ad un altro Garante per farli processare. Questo diritto permette agli individui di muovere, copiare o trasferire dati personali facilmente e in modo sicuro da un ambiente lavorativo all’altro.

Diritto ad essere dimenticati: il GDPR riconosce a pieno il diritto degli interessati di chiedere la cancellazione o rimozione dei propri dati personali. La richiesta può essere presentata nei seguenti casi:

Action Plan:

Le sanzioni

Se le aziende non si conformano al GDPR o se avvengono violazioni possono ricevere multe fino a 10 Milioni di Euro o al 2% del fatturato lordo del precedente anno fiscale. Garanti e Responsabili rispondono personalmente nei seguenti casi:

Il Commissario che impone le sanzioni terrà in considerazione la natura e l’intensità della variazione, le misure di mitigazione poste in essere, gli strumenti tecnici che logistici implementati: in base a questi elementi decidono l’ammontare della sanzione.

Che cos’è EventLog Analyzer

EventLog Analyzer è una soluzione completa e wab-based di analisi e gestione dei log che aiuta le aziende a mettere al sicuro i propri network da attacchi, violazioni e minacce alla sicurezza. La soluzione raccoglie i log da tutte le fonti presenti nel network, inclusi:

La soluzione è integrata con un decodificatore personalizzabile ed è in grado di processare anche i dati provenienti da applicazioni in-house.

EventLog Analyzer ha oltre 1000 profili di analisi e alert, scrupolosamente disegnati in base agli IOC per individuare il prima possibile la minaccia. Dalla consolle centrale, un sistema di alert in tempo reale consente di inviare email o SMS di notifica all’amministratore in qualsiasi circostanza che possa portare ad una violazione. Inoltre, la soluzione ha la capacità di correlare i dati log che provengono da device diversi, consentendoti di avere una vista completa sui tuoi sistemi informativi e aiutandoti ad implementare il prima possibile i necessari interventi di mitigazione del rischio.

Grazie allo strumento di monitoraggio interno dell'integrità dei file, ogni variazione significativa nei file o cartelle che contengono dati sensibili viene immediatamente segnalata, via email o SMS, all’amministratore. Sono "significative" le seguenti operazioni su file o cartelle:

Come EventLog Analyzer ci può rendere 100% GDPR compliant

Su ManageEngine

ManageEngine fornisce al Team IT gli strumenti di IT Managament necessari per garantire la fornitura di servizi e supporto in tempo reale a tutti i settori della tua azienda. È presente in oltre 60.000 aziende in tutto il mondo – di cui oltre il 60% fanno parte di “Fortune 500”. I suoi prodotti assicurano performance ottimali in tutta l’infrastruttura, compresi network, server, applicativi, client e molto altro. ManageEngine è una divisione di Zoho Corporation ed ha ufficio in tutto il mondo, inclusi USA, UK, India, Giappone e Cina.

Sull’autore

Subhalakshmi Ganapathy è Senior Product Marketing Analyst in ambito Sicurezza. La sua conoscenza dele tematiche di sicurezza IT e compliace è vastissima. Si occupa di fornire assistenza strategica alle aziende in tema di SIEM, sicurezza dei network e privacy.

Contatta il distributore italiano:
Bludis – Divisione di Spin Srl
Telefono:
+39 06 43230077

 

The one-stop solution to Active Directory Management and Reporting