Tutto quello che devi sapere e fare per adeguarti al GDPR
Introduzione
A seguito dell’aumento della frequenza, della portata e dei costi connessi alle violazioni dei dati, i governi di tutto il mondo hanno emanato leggi più stringenti in materia di protezione dei dati personali. L’Europa non fa eccezione a questo trend. Fin dal 2012 la Commissione Europea ha approvato vari nuovi strumenti di tutela il cui obiettivo è migliorare i processi di gestione di questi dati aumentandone la sicurezza, ma anche armonizzare le legislature nazionali degli Stati Membri.
In questo panorama di inserisce il General Data Protection Regulation (GDPR), che ha destato più scalpore dei suoi predecessori poiché porta con sé una quantità consistente di cambiamenti rispetto alle legislature esistenti. Lo schema del GDPR non è semplice da implementare: istituisce un nuovo sistema di responsabilità, nuove procedure per la notifica delle violazioni e fissa norme molto stringenti sulla gestione dei flussi di dati. Restano pochi mesi per adeguarsi al regolamento, dunque per le aziende i tempi sono maturi per rivedere radicalmente le proprie strategie di sicurezza.
Questa guida vuole sottolineare i più rilevanti cambiamenti e le nuove sfide da affrontare, nonché le azioni che le aziende dovrebbero porre in essere per adeguarsi al GDPR.
Cambiamenti, azioni richieste e Action Plan
Il GDPR non ha confini
Il GDPR è uno strumento globale di tutela dei dati che non impone i suoi effetti solo alle aziende che operano in Europa. Al contrario, i suoi effetti si estendono a qualsiasi azienda i cui clienti siano domiciliati in un paese dell’Unione e a tutti i cittadini che posseggono un passaporto dell’Unione anche se residenti fuori da essa.
Azioni richieste:
<
- Tutte le aziende devono rivedere le proprie politiche di sicurezza, anche quelle che non operano in Europa ma gestiscono dati di cittadini europei.
- Anche le aziende europee che sono già conformi ai regolamenti precedentemente emanati devono aggiornare le proprie policy, rendendole più stringenti come richiesto dal GDPR.
Action Plan:
- Se la tua azienda fornisce beni o servizi, o si occupa di monitorare i comportamenti di cittadini domiciliati in Europa deve adeguarvi al GDPR prima del 25 Maggio 2018.
- Rivedi le tue policy di sicurezza e assicurati di compiere i giusti passi (vedi oltre) nel gestire i dati personali.
- Scrivi informative sulla privacy chiare e complete, che consentano alle persone di capire con chiarezza come intendi gestire i loro dati personali. Se questi documenti già esistono, revisionali per omologarli al nuovo regolamento.
- Controlla le performance degli strumenti tecnici e logistici che utilizzi per assicurare la riservatezza e sicurezza dei dati.
- Se necessario, nomina un Garante che si occupi di supervisionare i processi di gestione dei dati e ne sia personalmente responsabile.
Ampiamento del concetto di “dato personale”
Il nuovo regolamento amplia i concetti di “dato personale” e “dato personale sensibile”.
Secondo il GDPR, un dato personale è “qualsiasi informazione che si riferisce ad una persona fisica identificata ed identificabile”. Comprende anche le identità digitali come gli indirizzi IP o i cookie.
Una particolare categoria di essi sono i dati personali sensibili, ossia “qualsiasi informazione che riguardi l’origine etnica, il credo politico e religioso, i valori personali, l’appartenenza a sindacati, l’orientamento sessuale, le condizioni di salute e qualsiasi dato di natura genetica o biometrica.”
Questi nuovi criteri impongono alle aziende una revisione delle informative sulla gestione dei dati.
Sfide:
L’estensione delle definizioni e l’apertura alle identità digitali impone alle aziende di ampliare lo spettro d’indagine includendo nell’analisi i comportamenti degli utenti, la pubblicità e i Social Media per essere conformi al GDPR.
Action Plan:
- Definisci con chiarezza qual è il motivo per cui la tua azienda richiede e gestisce dati personali.
- Se il dato in oggetto è “sensibile” secondo la definizione del GDPR, bisogna emanare informative sul trattamento chiare e complete, che spieghino anche le future variazioni di condizioni.
- Se utilizzi questi strumenti, assicurati che siano aggiornati.
Ridefinizione dei principi di protezione del dato
Il GDPR poggia la sua struttura sui 6 principi di protezione del dato sanciti nel precedente regolamento “Data Protection Act”, con poche ma significative aggiunte. Questi sanciscono che i dati personali, che siano sensibili o meno, devono essere:
- Processati in modo equo e trasparente e sempre nel rispetto delle legislature nazionali ed internazionali.
- Raccolti per scopi specifici, espliciti e legittimi, nel rispetto del principio sopra elencato. L’archiviazione di dati per motivi di pubblico interesse o per scopi scientifici, storici o statistici non deve essere considerato incompatibile con quanto fin qui detto.
- Adeguati e limitati a ciò che è strettamente necessario per raggiungere l’obiettivo che si è dichiarato.
- Accurati ed aggiornati. È necessaria una continua azione di revisione.
- Gestiti solo per il tempo strettamente necessario per raggiungere l’obiettivo che si è dichiarato. L’archiviazione oltre questo periodo è concessa solo per motivi di pubblico interesse o per scopi scientifici, storici o statistici. Inoltre, le aziende sono obbligate a porre in essere misure tecniche mirate a salvaguardare i diritti e la libertà degli individui.
- Processati con gli strumenti tecnici più adeguati a garantire incolumità dai rischi di trattamento illecito, perdite accidentali, distruzione o danneggiamento.
È il responsabile del trattamento dei dati personali a dover assicurare l’osservanza di questi principi e a dover dimostrare che l’azienda ha raggiunto la piena conformità al GDPR.
Azioni richieste:
- Oltre a far applicare i principi di cui sopra, le aziende devono definire chiaramente il loro ruolo rispetto ai dati, ovvero chiarire in che modo li utilizzano, per vedersi imputate le giuste responsabilità (distingueremo, quindi, il “Garante”, cioè colui che definisce le policy e le procedure, dal “Responsabile” che si occupa di porle in essere, etc.).
- Anche le politiche di controllo dei flussi di dati devono essere omologate.
- Se ad essere processati sono dati sensibili, le aziende dovrebbero effettuare una giusta valutazione del rischio. I Garanti dovrebbero realizzare delle valutazioni di impatto sulla protezione dei dati (DPIA) per determinare quale sia il rischio connesso alla manipolazione dei dati prima ancora che questi siano gestiti. La DPIA è anche molto utile per identificare e minimizzare le violazioni nel più breve tempo possibile, riducendo così i costi connessi.
- Quando un progetto che prevede il trattamento di dati personali viene avviato, le aziende dovrebbero adottare un approccio alla privacy "personalizzato" a seconda del tipo di lavoro portare a termine, per minimizzare le violazioni.
Action Plan:
- Tieni traccia di tutte le informazioni connesse al trattamento dei dati, incluse:
- Che tipo di dati personali sono stati raccolti
- Come sono stati raccolti, utilizzati, trasmessi e archiviati.
- Cosa è stato fatto, in ciascuna fase, per evitarne la divulgazione non autorizzata
- Oltre a sapere dove i dati sono archiviati e chi ne è il proprietario, devi monitorare:
- Chi ha accesso ad essi
- Con chi sono condivisi questi dati
- Monitora continuamente i file o cartelle che contengono i dati, in modo da identificare qualsiasi tentativo di accesso non autorizzato o illegale e fare subito rapporto alle autorità.
- Monitora per quanto tempo i dati sono trattenuti in archivio ed assicurati che siano criptati e a prova di manomissione.
Le figure coinvolte: Garante e Responsabile
A seconda del tipo di operazioni che compiono sui dati, distinguiamo la figura del Garante da quella di Responsabile. Per poter accertare le responsabilità, il GDPR sancisce il giusto equilibrio tra i due ruoli, suddividendo le responsabilità di compliance.
Garante dei dati personali:
- Secondo la definizione del GDPR, "garanti sono quelle entità che, individualmente o collegialmente, determinano come e perché i dati personali sono processati"
- I Garanti hanno la responsabilità di:
- Revisionare tutte le attività che riguardano il trattamento dei dati
- Produrre la necessaria documentazione su queste attività
- Produrre le valutazioni di impatto sulla protezione dei dati (PIA)
- Pone in essere i concetti di protezione dei dati "by design & by default"1
- Scegliere il Responsabile del trattamento dei dati personali e determinare le necessarie procedure di gestione
- Allertare le autorità in caso di violazioni
Responsabile del trattamento dei dati personali:
- Secondo il GDPR è “qualsiasi persona fisica che si occupa praticamente della gestione dei dati su mandato del Garante”.
- Tra le sue responsabilità, rientrano:
- Processare i dati attenendosi strettamente alle indicazioni del Garante
- Porre in essere le misure di sicurezza e logistiche per evitare violazioni
- Cancellare tutti i dati personali alla fine di ciascun processo (attenendosi alle procedure definite dal Garante)
- Mantenere un registro scritto delle attività svolte per conto del Garante
- Nominare gli Addetti alla Protezione dei Dati (DPO)
- Informare tempestivamente il Garante in caso di violazioni
- Fornire al Garante tutte le informazioni necessarie a dimostrare compliance e definire i processi che permettono di valutarla
Azioni richieste:
- Le aziende dovranno attentamente revisionare e valutare i regolamenti sul trattamento dei dati attualmente in uso ed aggiornare le voci relative alla responsabilità. Qualsiasi nuovo regolamento dovrà essere conforme al GDPR.
- Sia i Garanti che i Responsabili dovranno rivedere le proprie policy in tema di sicurezza, analisi e gestione delle violazioni ed omologarle al GDPR.
- LE aziende hanno l’obbligo di dimostrare le azioni che hanno compiuto per evitare le violazioni.
Action Plan:
- Tenere un registro accurato dei flussi di dati che transitano nell’azienda, con particolare attenzione alle modalità con cui questi sono raccolti, visualizzati, condivisi e chi ne è il possessore designato.
- Quadro di riferimento in tema di sicurezza:
- Monitorare i network aziendali per individuare le anomalie
- Monitorare il comportamento di tutti gli utenti ed in particolare di quelli privilegiati che hanno accesso ai dati personali.
- Tenere sotto controllo i file o le cartelle in cui i dati personali sono stoccati. Utilizzare strumenti che permettono istantaneamente di rilevare tentativi di accesso inappropriati o non autorizzati.
- Fornire gli strumenti tecnici ed organizzativi necessari a mettere in sicurezza i dati da attacchi o violazioni.
Notifica delle violazioni
Il GDPR definisce la violazione come "qualsiasi alterazione della sicurezza che abbia come conseguenza la distruzione, perdita, alterazione, accesso o divulgazione non autorizzati di dati personali".
In quest’ottica, la violazione non è semplicemente una perdita di informazioni. Il regolamento obbliga l’azienda a segnalare le violazioni entro 72 ore "senza attendere troppo, lì dove è possibile".
Azioni richieste:
- Le aziende devono avere opportune politiche interne di report delle violazioni.
- Le aziende devono rivedere la propria supply chain ed effettuare periodiche valutazioni in osservanza ai nuovi criteri di sicurezza imposti dal regolamento.
- Le aziende dovrebbero sviluppare un sistema di sicurezza adatto a rilevare istantaneamente le violazioni. Il sistema dovrebbe essere in grado di rendere subito disponibili informazioni approfondite sull’evento, in modo da accorciare i tempi di reazione fin dalla fase iniziale.
Action Plan:
- Identifica nel tuo network i cd. “Indicatori di compromissione” (IOC) e produci le policy adatte a proteggerli.
- Impiega sistemi di sicurezza come firewall o IDS/IPS in funzione preventiva.
- Implementa soluzioni di sicurezza che istantaneamente identificano, avvisano e fanno rapporto su qualsiasi infrazione della sicurezza. La notifica in tempo reale è uno strumento particolarmente importante.
- Sviluppa un sistema di notifica per tutte queste operazioni non autorizzate:
- Accesso o tentativo di accesso
- Cancellazione
- Condivisione
- Copia o tentativo di copia
- Monitora il comportamento degli utenti privilegiati (o di qualsiasi utente abbia accesso ai dati personali) in modo da riscontrare subito le attività non pianificate nei casi di furto di identità e reagire tempestivamente.
I diritti degli interessati
Il GDPR è molto rigido nel definire i comportamenti che possono o non possono essere posti in essere dalle aziende quando trattano i dati personali. Per converso, definisce i diritti delle persone alle quali i dati appartengono.
Diritto ad essere informati: si riferisce al momento della raccolta del dato. Le aziende devono comunicare agli interessati che i loro dati saranno raccolti ed assicurare un trattamento trasparente e giusto attraverso una “informativa sulla privacy”. Per le grandi aziende ottenere il consenso scritto è un requisito indispensabile per poter gestire i dati.
Diritto di accesso: gli interessati devono poter accedere alle informazioni che li riguardano in qualsiasi momento. Con questo requisito il GDPR assicura la possibilità dell’interessato di verificare e confermare che il trattamento sia equo.
Diritto di rettifica: se i loro dati sono incompleti o non corretti, gli interessati hanno diritto a chiedere una rettifica. Quando si fa una richiesta di questo tipo è responsabilità del Garante fornire tempestivamente tutte le informazioni rilevanti per soddisfarla.
Diritto di limitazione del trattamento dei dati: in questo caso il garante può conservare i dati ma non può utilizzarli in alcun modo. Gli interessati possono richiedere la limitazione nei seguenti casi:
- I dati sono incompleti o non corretti
- I dati sono stati trattati non nel pieno rispetto della legge
- Il Garante non ha più ragione di processare i dati, essendo venuto meno il terzo principio base (si veda sopra, “Data Protection Act”)
Diritto di trasferire i dati: gli interessati possono in qualsiasi momento riprendere in mano i propri dati e trasferirli ad un altro Garante per farli processare. Questo diritto permette agli individui di muovere, copiare o trasferire dati personali facilmente e in modo sicuro da un ambiente lavorativo all’altro.
Diritto ad essere dimenticati: il GDPR riconosce a pieno il diritto degli interessati di chiedere la cancellazione o rimozione dei propri dati personali. La richiesta può essere presentata nei seguenti casi:
- Sono venute meno le circostanze per le quali i dati erano stati originariamente raccolti e processati. (Principio #3 “Data Protection Act”)
- L’interessato ha ritirato l’autorizzazione al trattamento.
- Quando l’interessato chiede di interrompere il trattamento rilevando azioni illegittime o violazioni.
- Se la cancellazione è richiesta per motivi di legge.
Action Plan:
- Scrivi informative sulla privacy e documenti di richiesta del consenso al trattamento chiari e completi.
- Documenta ogni tecnica e flusso di trattamento dei dati in modo che siano facilmente indagabili dagli interessati che stiano esercitano il loro diritto all’accesso.
- Implementa strumenti tecnologici che ti permettano di cancellare il dato una volta che è stato raggiunto l’obiettivo per il quale era stato raccolto in principio.
- Mentre i dati vengono archiviati, assicurati che siano conservati con cura, integri e criptati.
- Fornisci all’interessato gli strumenti per decriptare i suoi dati.
Le sanzioni
Se le aziende non si conformano al GDPR o se avvengono violazioni possono ricevere multe fino a 10 Milioni di Euro o al 2% del fatturato lordo del precedente anno fiscale. Garanti e Responsabili rispondono personalmente nei seguenti casi:
- Violazione di uno dei 6 principi cardine
- Violazione delle condizioni di trattamento dei dati, sia personali che non personali
- Violazioni delle condizioni poste per il consenso
- Violazioni dei diritti degli interessati (si veda sopra)
Il Commissario che impone le sanzioni terrà in considerazione la natura e l’intensità della variazione, le misure di mitigazione poste in essere, gli strumenti tecnici che logistici implementati: in base a questi elementi decidono l’ammontare della sanzione.
Che cos’è EventLog Analyzer
EventLog Analyzer è una soluzione completa e wab-based di analisi e gestione dei log che aiuta le aziende a mettere al sicuro i propri network da attacchi, violazioni e minacce alla sicurezza. La soluzione raccoglie i log da tutte le fonti presenti nel network, inclusi:
- Strumenti come router, switch, firewall, IDP/IPS
- Applicazioni come IIS, Apache Web Server, Applicazioni DHCP sia su Linux che Windows etc.
- Database Oracle e MS SQL
- Server e postazioni Windows
- Postazioni Linux e Unix
- IBM AS400
- Piattaforme virtuali come vCenter e server Hyper-V
- Richieste da Amazon AWS EC2
- Altre soluzioni di gestione delle minacce, strumenti di rilevazione delle vulnerabilità etc.
La soluzione è integrata con un decodificatore personalizzabile ed è in grado di processare anche i dati provenienti da applicazioni in-house.
EventLog Analyzer ha oltre 1000 profili di analisi e alert, scrupolosamente disegnati in base agli IOC per individuare il prima possibile la minaccia. Dalla consolle centrale, un sistema di alert in tempo reale consente di inviare email o SMS di notifica all’amministratore in qualsiasi circostanza che possa portare ad una violazione. Inoltre, la soluzione ha la capacità di correlare i dati log che provengono da device diversi, consentendoti di avere una vista completa sui tuoi sistemi informativi e aiutandoti ad implementare il prima possibile i necessari interventi di mitigazione del rischio.
Grazie allo strumento di monitoraggio interno dell'integrità dei file, ogni variazione significativa nei file o cartelle che contengono dati sensibili viene immediatamente segnalata, via email o SMS, all’amministratore. Sono "significative" le seguenti operazioni su file o cartelle:
- Creazione
- Modifica
- Cancellazione
- Accesso
- Cambio del nome
Come EventLog Analyzer ci può rendere 100% GDPR compliant
- Lo strumento tecnico e logistico ideale per mitigare ma soprattutto evitare violazioni: grazie alla sua capacità di monitorare le attività di tutti i device e utenti presenti nel network e di segnalare le anomalie agli amministratori in modo istantaneo, EventLog Analyzer minimizza i tempi di indagine e facilita l’applicazione di misure di mitigazione.
- Analisi dei dati semplificata: grazie allo strumento di monitoraggio interno dell’integrità dei file, qualsiasi variazione critica dello stato dei dati sensibili viene segnalata in tempo reale, correlata da tutte le informazioni utili (chi ha effettuato l’accesso, quando e da dove). Questo report è utile anche per dare informazioni agli interessati circa il flusso di dati in azienda.
- Porre in essere il giusto procedimento di controllo: il potente strumento di analisi dei log di EventLog Analyzer consente di effettuare analisi legali con facilità, riuscendo a processare terabyte di dati in pochi minuti e producendo report con valore legale che possono essere inviati direttamente alle autorità. Di grande importanza è lo strumento che permette di convertire la query di ricerca in un alert, riuscendo così ad intercettare future minacce dello stesso tipo.
- Soddisfare i requisiti fissati da PIA & DPIA: Nessuna anomalia di sistema sfugge a EventLog Analyzer e questo assicura il minimo danno e quindi il minor costo associato. Essere conformi ai PIA/DPIA diventa molto più facile.
- Esigenza di notifica delle violazioni: gli alert istantanei via email o SMS riducono drasticamente il tempo di indagine e report alle autorità. EventLog Analyzer ha oltre 600 profili alert pre-impostati, basati su vari IOC, ma anche la possibilità di crearne di personalizzati.
Su ManageEngine
ManageEngine fornisce al Team IT gli strumenti di IT Managament necessari per garantire la fornitura di servizi e supporto in tempo reale a tutti i settori della tua azienda. È presente in oltre 60.000 aziende in tutto il mondo – di cui oltre il 60% fanno parte di “Fortune 500”. I suoi prodotti assicurano performance ottimali in tutta l’infrastruttura, compresi network, server, applicativi, client e molto altro. ManageEngine è una divisione di Zoho Corporation ed ha ufficio in tutto il mondo, inclusi USA, UK, India, Giappone e Cina.
Sull’autore
Subhalakshmi Ganapathy è Senior Product Marketing Analyst in ambito Sicurezza. La sua conoscenza dele tematiche di sicurezza IT e compliace è vastissima. Si occupa di fornire assistenza strategica alle aziende in tema di SIEM, sicurezza dei network e privacy.
Contatta il distributore italiano:
Bludis – Divisione di Spin Srl
Telefono:
+39 06 43230077