Articoli

GDPR: Le migliori misure tecniche e organizzative

Quali sono le migliori tecniche per perdere distruggere o consegnare ai criminali i dati personali tuoi e dei tuoi clienti? Le misure tecniche e organizzative, queste sconosciute.

Ovviamente sto scherzando, però ci sono degli errori così clamorosi, così evidenti, che sembra incredibile che ancora oggi non si possano evitare con le giuste misure tecniche e organizzative.

Ecco perché faccio questo video, per metterti in guardia verso quello che davvero devi evitare:

Primo elemento di rischio: password deboli.

Le violazioni degli account dei servizi internet sono aumentate in frequenza e dimensione; fonte: databreaches.net

Il più classico degli errori e utilizzare password deboli e condivise fra più utenti. Questo è uno dei maggiori motivi di perdita di dati, furto di dati, furto di identità e truffe.

Per darti un’idea di come parte dei tuoi dati personali siano già in mano a organizzazioni criminali o a persone malintenzionate che vogliono usare i tuoi dati per ricavarne un beneficio, tipicamente economico, ti invito a andare a vedere sul sito vigilante.pw Quali sono i servizi che già usi abitualmente che sono stati violati in maniera massiccia da cybercriminali.

E se la maggior parte dei servizi che usiamo abitualmente (i quali hanno nostri dati personali come email , nome cognome, password, ecc) sono stati violati significa che anche i nostri dati sono stati copiati e sono ora in possesso degli cybercriminali.

Quindi prima cosa è sicuramente mettere in sicurezza il processo di gestione delle password della tua organizzazione. Ovviamente questo deve essere fatto anche in funzione del rischio e dell’esposizione sul web (vedi anche il mio precedente articolo “Come mettersi in regola in 3 fasi”), ma ormai dovrebbe essere di dominio comune che le password debbano essere:

  • SOLIDE, cioè che contengano delle regole di composizione non facilmente decifrabili,
  • strettamente personali
  • modificate periodicamente.

Secondo: Protezione da malware

Il secondo punto, grande classico del rischio informatico, è l’attacco da parte dei cosiddetti malware. Se non sai di cosa sto parlando sicuramente però hai sentito parlare di virus e di altri strumenti che servono per entrare nel tuo computer con lo scopo di recarti un danno, rubare i tuoi dati, oppure bloccarlo per chiederti un riscatto (ransomware).

gli attacchi ransomware (bloccano i tuoi dati per chiederti un riscatto) sono raddoppiati nel 2018 rispetto al 2016

Oppure anche soltanto per spiare le tue i tuoi comportamenti, le tue comunicazioni (spyware), e questo può portare ad un danno ancora maggiore perché le organizzazioni criminali come ti racconto più tardi.

Per darti un’idea della pericolosità e della diffusione di questo fenomeno, gli attacchi ransomware, quelli che appunto chiedono un riscatto per sbloccare i tuoi dati, sono raddoppiati negli ultimi due anni.

Terzo: attacco cybercriminale

Avrai sicuramente sentito parlare del fishing cioè tecniche di chiedere dei dati personali o dei pagamenti alle persone che cliccano su determinate email costruite ad arte per ingannare gli utenti.

gli attacchi ransomware arrivano per il 91% dalle email. Negli ultimi anni abbiamo assistito al DECUPLICARSI degli eventi di Phishing

Lo scopo è far credere che la comunicazione proviene da organizzazioni affidabili, mentre in realtà sono organizzazioni criminali che operano sotto mentita spoglia.

il Social Engineering

Però forse non hai ancora sentito parlare di social Engineering, termine con il quale si racchiudono tutte le tecniche che sfruttano le vulnerabilità umane, partendo da dati disponibili pubblicamente.

Le informazioni preliminari sulle persone sono tratte dai social (linkedIN è una piattaforma eccellente per ricostruire nomi e ruoli all’interno delle organizzazioni) e sulla base di queste informazioni vengono organizzate vere e proprie truffe per estorcere denaro.

Un esempio di applicazione del Social Engineering è quella del dirottamento del conto corrente, chiamata  anche BEC, business email compromise.

Questo è tipicamente il risultato di una lunga attività di spionaggio, tramite degli spyware, sottoinsieme dei malware di cui ti parlavo prima, operato da persone che spiano le comunicazioni email della tua organizzazione.

Tipicamente si insinuano all’interno della transazione tra un cliente è un fornitore. Al momento opportuno dirottano il pagamento del cliente Su un conto corrente non del fornitore ma dell’ organizzazione criminale.

Il procedimento del dirottamento dei conti correnti. I criminali informatici stanno allargando le loro competenze dalla tecnica allo spionaggio industriale e alla psicologia umana (social engineering)

Il 91% di questi attacchi avviene tramite email, quindi vi rendete conto che l’anello debole di questa catena, risiede nel fattore umano. È ovviamente la persona che distrattamente o per incompetenza casca nel tranello e involontariamente crea il danno.

Questi attacchi nei prossimi anni cresceranno ulteriormente perché al momento sono estremamente efficaci. E saranno sempre più precisi.

Le misure tecniche e organizzative

Quindi cosa fare per proteggersi da queste attacchi?

Il Regolamento Europeo 679/2016 GDPR, vi aiuta a mettere a punto le giuste protezioni suddividendo gli interventi da apportare fra misure tecniche e misure organizzative.

Le misure tecniche

Le misure tecniche Sono principalmente:

  • Password solide
  • far accedere i dati solo determinate persone e non tutte indiscriminatamente (permission)
  • aggiornare continuativamente le definizioni di virus e malware in genere
  • proteggere i sistemi con sistemi firewall, software o Hardware
  • avere sistemi di backup
  • valutare periodicamente le vulnerabilità tecniche (vulnerability assessment), cioè procedure per valutare le possibili modalità in cui i tuoi sistemi possono essere “bucati”.

Le misure organizzative

Fra le misure organizzative abbiamo:

  • prima di tutto la formazione e come naturale conseguenza di questo anche delle
  • procedure scritte che prevengano comportamenti sbagliati o inconsapevolmente dannosi. E poi anche tecniche come la
  • business continuity cioè la pianificazione dei comportamenti da mettere in atto a seguito di un incidente o di un evento dannoso.

La cosa che mi preme sottolineare è che il punto fragile dell’organizzazione, l’anello debole della catena è sempre la persona, l’essere umano, un po’ per distrazione, un po’ per incompetenza.

Quindi per prevenire questo tipo di errori è fondamentale elevare la soglia di attenzione e consapevolezza delle persone in modo tale che incompetenza e distrazioni vengano ridotte in maniera drastica.

Non mettere in atto le giuste misure tecniche e organizzative non è solo una violazione del codice privacy e del regolamento europeo GDPR 679/2016 (leggi il mio precedente articolo “GDPR: le sanzioni e gli altri 3 grandi rischi”)

Non è forse la cosa più semplice ma è sicuramente la cosa più efficace da fare. Investite in formazione. Periodica. Capillare. Insistete sempre su questo tasto. Formazione. Costa poco e vi evita tanti danni! 🙂

In un precedente articolo (vedi “Privacy e GDPR, che P… !) avevo sottolineato gli aspetti positivi di un obbligo di legge fondamentalmente noioso, ma il GDPR è davvero una opportunità per proteggere i dati personali e aziendali.

Proteggere i dati personali e aziendali

Se vuoi conoscere nel dettaglio le misure tecniche e organizzative da adottare, avete a disposizione tantissime risorse gratuite su internet, davvero, se te ne intendi un po’, hai a disposizione un mare di risorse.

Se invece stai cercando un metodo passo-passo per fare da solo senza costose consulenze, con video tutorial, webinar con domande e risposte, formazione per te e per le persone che lavorano con te, vai a vedere il nostro metodo S.I.C.U.R. su www.gdprfacile.com.

Ovviamente ci sono tutte le misure tecniche e organizzative di cui parlo sopra e anche di più: il nostro programma gdpr facile ha proprio nella formazione uno dei suoi punti di forza. Infatti all’interno del programma ci sono tanti video tutorial che possono essere distribuiti a tutte le persone che fanno parte dell’organizzazione.

In modo tale da costituire un capitale cognitivo della tua organizzazione, un vero e proprio asset che rimane di tua proprietà negli anni.

Clicca su www.gdprfacile.com e lascia i tuoi dati per conoscere i prossimi incontri di formazione gratuita on line (webinar) e avere del materiale per iniziare a mettere in regola la tua organizzazione.

www.gdprfacile.com
accedi a www.gdprfacile.com

Alla prossima

GDPR: come mettersi in regola in 3 FASI

Cosa pensi che sia il GDPR? cosa è realmente? ecco le 3 fasi tipiche per mettersi in regola.

Intanto cominciamo da COSA NON È:

  • NON è una lista di cose da fare (come spesso si sente dire);
  • NON è una cosa nuova che prima non c’era;
  • NON è un limite all’utilizzo della tua base dati di contatti e potenziali clienti.

Non è una lista di cose da fare nel senso che questo Regolamento Europeo impone uno spostamento dell’attenzione da una serie di requisiti minimi da soddisfare (come qualcuno interpretava il vecchio D.Lgs 196/2003), ad un atteggiamento di responsabilità che richiede un’analisi.

Non è una cosa nuova da fare, perché esisteva già una legge che regolava la privacy, il D.Lgs. 196 del 2003, nato ai tempi in cui ancora i social non esistevano; questa norma aiutava già a capire che cosa andava fatto per tutelare i dati personali. Anche se ancora non c’erano le minacce che ci sono oggi. Ho già parlato in questo precedente articolo che i nuovi adempimenti non sono più pesanti dei precedenti nella maggior parte dei casi.

Infine non è un limite all’utilizzo della tua base dati, database commerciale, contatti e potenziali clienti, se tali dati sono legittimati da una base giuridica e sono utilizzati in maniera lecita.

Vediamo adesso che cosa è e GDPR,

È un regolamento innanzitutto che tende a regolare e a limitare l’utilizzo selvaggio dei dati personali.

La prima cosa che viene in mente sono i call center che cercano insistentemente di vendere contratti telefonici e dell’energia; ma anche i social network che utilizzano i dati in maniera assolutamente spregiudicata, approfittando di clausole lunghissime e illeggibili in pratica.

Siamo all’inizio di questa fase: già molte aziende sono state multate per un utilizzo aggressivo e illecito dei dati in fase di raccolta e vendita. Molte altre saranno multate perché basano sui dati personali il loro modello di business. E saranno sicuramente in difficoltà nei prossimi anni
finché non troveranno un nuovo modello di business.

Il GDPR è anche un’opportunità per proteggere i tuoi dati in maniera sistematica. Lungi dall’essere una cosa meravigliosa per l’imprenditore che avrebbe ben altri argomenti a cui pensare, in effetti questa legge aiuta a definire un metodo per proteggere i dati, non solo i dati personali; aiuta anche a far salire l’attenzione sulla sicurezza e protezione dei dati aziendali in genere, evitando così che i dati tuoi e dei tuoi clienti possano finire in mani malintenzionate o essere distrutti.

GDPR: come mettersi in regola in 3 FASI

Vediamo adesso le tre fasi che servono per adeguarsi al GDPR:

FASE 1 – ANALISI

La prima fase è quella dell’analisi. In questa fase bisogna elencare i dati personali che sono trattati nella tua organizzazione, e valutare l’impatto che avrebbero eventuali perdite o accessi indesiderati.

Quindi si passa da un atteggiamento di risposta ad un elenco di attività minime da eseguire, ad un atteggiamento di responsabilità, attivo, volto a capire quali sono i dati della tua organizzazione, dei tuoi clienti, fornitori e dipendenti, che possono essere persi, danneggiati oppure sottratti da malintenzionati.

In questa fase quindi sarà importante calcolare il rischio associato al trattamento di ciascuno di questi dati. Questo non è un passaggio obbligatorio per legge ma è fondamentale per dimostrare di avere fatto una vera e propria analisi attiva con responsabilità sui dati personali. Nel nostro KIT GDPR facile, è previsto un metodo, chiamato S.I.C.U.R, che contiene uno strumento che ti guida in questo tipo di esame, con decine di casi precompilati in modo da facilitare questa analisi e velocizzarne la documentazione.

 il metodo S.I.C.U.R. di www.gdprfacile.com
il metodo S.I.C.U.R. di www.gdprfacile.com/

FASE 2 – PROTEZIONE

Una volta individuati i rischi, vanno definite le misure tecniche e organizzative che servono a ridurre o ad eliminare questi rischi. Anche in questo caso nel nostro KIT GDPR facile c’è il modulo C, custodisci, che serve appunto per elencare la serie di misure tecniche e organizzative che si devono mettere in pratica. In uno dei prossimi video dettaglierò singolarmente voce per voce le singole misure.

FASE 3 – BUROCRAZIA

La terza fase è quella della messa a norma dell’aspetto burocratico. Quindi mettere a posto gli incarichi ai professionisti esterni, mettere a punto le informative per i clienti reali e potenziali, a seconda del tuo business potresti dover coinvolgere anche dei minori e genitori, oppure trasferire dati all’estero, eccetera. Tutta la fase burocratica da mettere a posto, oggetto del modulo R del metodo S.I.C.U.R. di GDPR facile, non è certo entusiasmante, ma se guidati passo passo, non è certo difficile.

Ricapitolando:

  1. prima fase di analisi,
  2. seconda fase di protezione,
  3. terza fase di messa a norma burocratica.

Andando a vedere su gdprfacile.com puoi capire come è strutturato il metodo e ti puoi fare un’idea anche nel caso tu volessi implementarlo per conto tuo.

Un caro saluto, a presto!