Quando si parla di privacy si fa riferimento alla riservatezza o privatezza, o al diritto o anche al potere che ogni individuo ha di decidere in che misura e con che modalità vuole condividere una parte di sé con gli altri, ma anche il diritto dell’individuo di controllare la diffusione delle informazioni che lo riguardano, come ad esercitare una sorta di proprietà sui dati personali.
Siamo così passati da “the right to be let alone”, cioè l’astratta aspirazione ad essere lasciati soli all’esigenza di un diritto alla privacy sempre più tutelato dalla legge.
La sicurezza informatica non rappresenta solamente un aspetto fondamentale per qualsiasi multinazionale o PMI, bensì costituisce anche un importante valore aggiunto. Per attuare le policy di sicurezza, infatti, vengono coinvolti aspetti tecnici, organizzativi, giuridici e soprattutto umani.
La consapevolezza di tutelarsi da eventuali attacchi informatici rende necessaria la valutazione del livello di sicurezza di ciascuna azienda. Individuare le minacce, le vulnerabilità ed i pericoli, consente di valutare le contromisure da adottare per la gestione del rischio e, in particolar modo, essere in grado di neutralizzarlo.
La CISA ha comunicato che risultano attualmente sotto attacco i Firewall prodotti dalla Zyxel. Il suggerimento è quello di effettuare un aggiornamento immediato delle periferiche.
Con la pubblicazione sulla Gazzetta Ufficiale del 4 maggio c.m., diventano operative dal giorno 5 maggio (almeno in parte) le Misure urgenti per l’inclusione sociale e l’accesso al mondo del lavoro oggetto del decreto.
Ricordato che l’iter di conversione in legge potrebbe apportare modifiche e/o integrazioni, vediamo insieme quali sono le principali disposizioni contenute.
Atomic macOS Stealer (AMOS), un nuovo malware per i sistemi Mac OsX mette a rischio la sicurezza dei vostri sistemi Apple.
L’attività di consulenza in ambito di protezione dei dati personali si sviluppa in varie fasi, di cui la prima è l’individuazione di una politica privacy ad hoc per l'azienda.
Inizialmente vengono svolti degli incontri con la direzione aziendale e con i vari responsabili di settore per comprendere al meglio la realtà. Una volta individuate le mansioni delle aree aziendali, l’organigramma interno, i contratti in uso, l’eventuale documentazione in ambito privacy ed il flusso dei dati personali all’interno e all’esterno della società si sviluppa un piano di adeguamento al GDPR, Codice Privacy D.lgs. n. 196/2003 e D.lgs. 101/2018.
Durante gli incontri verrà appurata la necessità di effettuare una Valutazioni d’impatto Privacy (cosiddetta “DPIA”) su trattamenti particolarmente delicati svolti dall’azienda. Ad esempio, videosorveglianza all’interno dei locali aziendali, profilazione dei clienti, utilizzo di nuove tecnologie non ancora valutate, ecc.
Il servizio si occupa di redigere il Registro delle attività di trattamento del Titolare del Trattamento ai sensi dell’art. 30 del Regolamento Europeo n.679/2016 (GDPR) e, se necessario, il Registro delle attività di trattamento del Responsabile del trattamento.
I Registri delle Attività di Trattamento devono contenere:
Successivamente alla predisposizione dei Registri delle attività di trattamento è necessario sviluppare un’attenta analisi dei rischi delle sedi operative, degli archivi cartacei e digitali. Questo per comprendere al meglio se le misure in atto a livello logico, organizzativo e fisico sono sufficienti a mantenere un rischio basso per l’azienda.
La redazione dei documenti principali in ambito di protezione dei dati personali si può eseguire solo dopo aver analizzato attentamente la realtà aziendale e le mansioni delle singole aree aziendali.
I documenti da produrre per la compliance al GDPR, al Codice Privacy D.lgs. 196/2003 e al D.lgs. 101/2018 sono:
Il DPO (Data Protection Officer o Responsabile della protezione dei dati personali) è una figura introdotta dal GDPR, cioè una persona fisica/società che può essere sia interna che esterna all’azienda con il compito di sorvegliare l’operato in ambito privacy dell’azienda.
Nello specifico la sezione 4 del GDPR denominata “Responsabile della protezione dei dati” definisce:
La formazione in materia di Privacy è obbligatoria ai sensi del Regolamento Europeo n. 679/2016 per tutti i soggetti che trattano dati all’interno della società. Unitamente ad essa la formazione in materia di Cybersecurity è necessaria per comprendere al meglio la teoria della privacy e la praticità delle misure di sicurezza messe in atto dalla società.
La formazione in materia di Privacy si articola in: Descrizione delle maggiori leggi in materia di protezione dei dati, Inquadramento delle figure del Trattamento (Titolare del Trattamento, Responsabile del Trattamento, Addetti al Trattamento, DPO), Diritti dell’interessato e dell’eventuale esercizio, Procedure in ambito privacy adottate dall’azienda, Procedure operative sulla gestione di un Data Breach e Regolamenti interni in materia di protezione dei dati personali.
Formazione base di Cybersecurity per i dipendenti: corso di formazione rivolto al personale aziendale senza particolari conoscenze nell'ambito della cybersecurity. All'interno del corso vengono fornite solide basi di cybersecurity al fine di tutelare la sicurezza delle informazioni trattate e difendersi dalle principali minacce informatiche quali ad esempio Virus, Phishing, Social Engineering e frodi telefoniche.
Corsi di formazione avanzati in materia di Cybersecurity: corsi di formazione creati ad hoc in ambito della cybersecurity modellati sulle esigenze dell'azienda, basati sulle piattaforme e/o sui software utilizzati all'interno dell'azienda.
La sensibilizzazione del personale può essere affrontata con delle simulazioni di attacchi di Phishing, Social Engineering e Data Breach, in modo da verificare il comportamento dell’utente.
All'interno dei corsi di formazione, su richiesta del committente, potranno essere incluse le policy aziendali attualmente in essere.
Il servizio di Verifica di documenti e politiche in ambito di protezione dei dati personali si sviluppa concordando con il cliente la periodicità di ogni controllo.
In ogni audit verrà verificata:
Il servizio proposto ha lo scopo di identificare gli eventuali punti deboli presenti nel perimetro informatico di proprietà dell'azienda. A seguito dell’individuazione vengono fornite idonee linee guida atte a mitigare o eliminare ogni possibile rischio di sicurezza derivante dalle vulnerabilità rilevate.
A titolo esemplificativo e non esaustivo l’attività di Vulnerability Assessment e Network Scan porterà in evidenza:
L’attività è rivolta sia a reti pubbliche raggiungibili tramite Internet, sia a reti private. La modalità di esecuzione delle attività potrà essere sia “in presenza” direttamente all’interno dell’azienda, sia in remoto. Nel caso di scansioni remote di reti private verrà fornito un appliance specifico che verrà collegato all’interno della rete dell'azienda e permetterà al personale della PrivacyCura di effettuare le attività previste.
Il servizio di Penetration Testing può essere riassunto come una vera e propria simulazione di attacco etico ad un sistema o una rete informatica in condizioni reali. Tramite i test effettuati è possibile determinare quale sia realmente la resistenza dell’intera struttura informatica in previsione di un eventuale attacco informatico. L’attività è composta da molteplici fasi, tra cui:
L’attività, a seconda delle esigenze dell'azienda committente potrà essere svolta in tre diverse modalità:
L’attività prevede un servizio di consulenza da parte del nostro Team di sicurezza informatica al fine di stabilire unitamente alla direzione aziendale quali servizi e/o sistemi possono migliorare l’attuale sicurezza dell’attuale infrastruttura informativa.
L’attività si compone di molteplici punti, tra cui i più importanti:
PrivacyCura, in quanto vendor independent, ci tiene a specificare che l’attività non prevede la rivendita diretta di software o hardware atti a migliorare la situazione generale relativa alla sicurezza della rete oggetto di analisi, ma offre un servizio di consulenza a 360° in cui vengono consigliati fornitori adatti alle esigenze dell'azienda ed un servizio di consulenza che può essere prolungato anche dopo il termine dell’attività richiesta, al fine di avere un organo di controllo che supervisioni tutte le future attività relative alla sicurezza intraprese.