Articoli

GDPR: Le migliori misure tecniche e organizzative

Quali sono le migliori tecniche per perdere distruggere o consegnare ai criminali i dati personali tuoi e dei tuoi clienti? Le misure tecniche e organizzative, queste sconosciute.

Ovviamente sto scherzando, però ci sono degli errori così clamorosi, così evidenti, che sembra incredibile che ancora oggi non si possano evitare con le giuste misure tecniche e organizzative.

Ecco perché faccio questo video, per metterti in guardia verso quello che davvero devi evitare:

Primo elemento di rischio: password deboli.

Le violazioni degli account dei servizi internet sono aumentate in frequenza e dimensione; fonte: databreaches.net

Il più classico degli errori e utilizzare password deboli e condivise fra più utenti. Questo è uno dei maggiori motivi di perdita di dati, furto di dati, furto di identità e truffe.

Per darti un’idea di come parte dei tuoi dati personali siano già in mano a organizzazioni criminali o a persone malintenzionate che vogliono usare i tuoi dati per ricavarne un beneficio, tipicamente economico, ti invito a andare a vedere sul sito vigilante.pw Quali sono i servizi che già usi abitualmente che sono stati violati in maniera massiccia da cybercriminali.

E se la maggior parte dei servizi che usiamo abitualmente (i quali hanno nostri dati personali come email , nome cognome, password, ecc) sono stati violati significa che anche i nostri dati sono stati copiati e sono ora in possesso degli cybercriminali.

Quindi prima cosa è sicuramente mettere in sicurezza il processo di gestione delle password della tua organizzazione. Ovviamente questo deve essere fatto anche in funzione del rischio e dell’esposizione sul web (vedi anche il mio precedente articolo “Come mettersi in regola in 3 fasi”), ma ormai dovrebbe essere di dominio comune che le password debbano essere:

  • SOLIDE, cioè che contengano delle regole di composizione non facilmente decifrabili,
  • strettamente personali
  • modificate periodicamente.

Secondo: Protezione da malware

Il secondo punto, grande classico del rischio informatico, è l’attacco da parte dei cosiddetti malware. Se non sai di cosa sto parlando sicuramente però hai sentito parlare di virus e di altri strumenti che servono per entrare nel tuo computer con lo scopo di recarti un danno, rubare i tuoi dati, oppure bloccarlo per chiederti un riscatto (ransomware).

gli attacchi ransomware (bloccano i tuoi dati per chiederti un riscatto) sono raddoppiati nel 2018 rispetto al 2016

Oppure anche soltanto per spiare le tue i tuoi comportamenti, le tue comunicazioni (spyware), e questo può portare ad un danno ancora maggiore perché le organizzazioni criminali come ti racconto più tardi.

Per darti un’idea della pericolosità e della diffusione di questo fenomeno, gli attacchi ransomware, quelli che appunto chiedono un riscatto per sbloccare i tuoi dati, sono raddoppiati negli ultimi due anni.

Terzo: attacco cybercriminale

Avrai sicuramente sentito parlare del fishing cioè tecniche di chiedere dei dati personali o dei pagamenti alle persone che cliccano su determinate email costruite ad arte per ingannare gli utenti.

gli attacchi ransomware arrivano per il 91% dalle email. Negli ultimi anni abbiamo assistito al DECUPLICARSI degli eventi di Phishing

Lo scopo è far credere che la comunicazione proviene da organizzazioni affidabili, mentre in realtà sono organizzazioni criminali che operano sotto mentita spoglia.

il Social Engineering

Però forse non hai ancora sentito parlare di social Engineering, termine con il quale si racchiudono tutte le tecniche che sfruttano le vulnerabilità umane, partendo da dati disponibili pubblicamente.

Le informazioni preliminari sulle persone sono tratte dai social (linkedIN è una piattaforma eccellente per ricostruire nomi e ruoli all’interno delle organizzazioni) e sulla base di queste informazioni vengono organizzate vere e proprie truffe per estorcere denaro.

Un esempio di applicazione del Social Engineering è quella del dirottamento del conto corrente, chiamata  anche BEC, business email compromise.

Questo è tipicamente il risultato di una lunga attività di spionaggio, tramite degli spyware, sottoinsieme dei malware di cui ti parlavo prima, operato da persone che spiano le comunicazioni email della tua organizzazione.

Tipicamente si insinuano all’interno della transazione tra un cliente è un fornitore. Al momento opportuno dirottano il pagamento del cliente Su un conto corrente non del fornitore ma dell’ organizzazione criminale.

Il procedimento del dirottamento dei conti correnti. I criminali informatici stanno allargando le loro competenze dalla tecnica allo spionaggio industriale e alla psicologia umana (social engineering)

Il 91% di questi attacchi avviene tramite email, quindi vi rendete conto che l’anello debole di questa catena, risiede nel fattore umano. È ovviamente la persona che distrattamente o per incompetenza casca nel tranello e involontariamente crea il danno.

Questi attacchi nei prossimi anni cresceranno ulteriormente perché al momento sono estremamente efficaci. E saranno sempre più precisi.

Le misure tecniche e organizzative

Quindi cosa fare per proteggersi da queste attacchi?

Il Regolamento Europeo 679/2016 GDPR, vi aiuta a mettere a punto le giuste protezioni suddividendo gli interventi da apportare fra misure tecniche e misure organizzative.

Le misure tecniche

Le misure tecniche Sono principalmente:

  • Password solide
  • far accedere i dati solo determinate persone e non tutte indiscriminatamente (permission)
  • aggiornare continuativamente le definizioni di virus e malware in genere
  • proteggere i sistemi con sistemi firewall, software o Hardware
  • avere sistemi di backup
  • valutare periodicamente le vulnerabilità tecniche (vulnerability assessment), cioè procedure per valutare le possibili modalità in cui i tuoi sistemi possono essere “bucati”.

Le misure organizzative

Fra le misure organizzative abbiamo:

  • prima di tutto la formazione e come naturale conseguenza di questo anche delle
  • procedure scritte che prevengano comportamenti sbagliati o inconsapevolmente dannosi. E poi anche tecniche come la
  • business continuity cioè la pianificazione dei comportamenti da mettere in atto a seguito di un incidente o di un evento dannoso.

La cosa che mi preme sottolineare è che il punto fragile dell’organizzazione, l’anello debole della catena è sempre la persona, l’essere umano, un po’ per distrazione, un po’ per incompetenza.

Quindi per prevenire questo tipo di errori è fondamentale elevare la soglia di attenzione e consapevolezza delle persone in modo tale che incompetenza e distrazioni vengano ridotte in maniera drastica.

Non mettere in atto le giuste misure tecniche e organizzative non è solo una violazione del codice privacy e del regolamento europeo GDPR 679/2016 (leggi il mio precedente articolo “GDPR: le sanzioni e gli altri 3 grandi rischi”)

Non è forse la cosa più semplice ma è sicuramente la cosa più efficace da fare. Investite in formazione. Periodica. Capillare. Insistete sempre su questo tasto. Formazione. Costa poco e vi evita tanti danni! 🙂

In un precedente articolo (vedi “Privacy e GDPR, che P… !) avevo sottolineato gli aspetti positivi di un obbligo di legge fondamentalmente noioso, ma il GDPR è davvero una opportunità per proteggere i dati personali e aziendali.

Proteggere i dati personali e aziendali

Se vuoi conoscere nel dettaglio le misure tecniche e organizzative da adottare, avete a disposizione tantissime risorse gratuite su internet, davvero, se te ne intendi un po’, hai a disposizione un mare di risorse.

Se invece stai cercando un metodo passo-passo per fare da solo senza costose consulenze, con video tutorial, webinar con domande e risposte, formazione per te e per le persone che lavorano con te, vai a vedere il nostro metodo S.I.C.U.R. su www.gdprfacile.com.

Ovviamente ci sono tutte le misure tecniche e organizzative di cui parlo sopra e anche di più: il nostro programma gdpr facile ha proprio nella formazione uno dei suoi punti di forza. Infatti all’interno del programma ci sono tanti video tutorial che possono essere distribuiti a tutte le persone che fanno parte dell’organizzazione.

In modo tale da costituire un capitale cognitivo della tua organizzazione, un vero e proprio asset che rimane di tua proprietà negli anni.

Clicca su www.gdprfacile.com e lascia i tuoi dati per conoscere i prossimi incontri di formazione gratuita on line (webinar) e avere del materiale per iniziare a mettere in regola la tua organizzazione.

www.gdprfacile.com
accedi a www.gdprfacile.com

Alla prossima

/0 Commenti/da

GDPR: le Sanzioni e gli altri 3 grandi rischi

Quali sono le sanzioni e gli altri principali rischi per l’impresa che trasgredisce i requisiti del Regolamento Europeo della privacy?

Il rischio più famoso, quello più minacciato è quello delle sanzioni pecuniarie. Si parla di sanzioni da decine di milioni di Euro, percentuali elevate del fatturato, e altri spauracchi di questo tipo. Ma vediamo la realtà. Ovviamente si tratta di esagerazioni. Create ad hoc per spaventare gli imprenditori e spingerli  rapidamente all’azione.

Per la precisione queste cifre sono realmente previste ma solo in determinate circostanze e in determinate condizioni e quindi non ne parliamo.

Ma vediamo quali sono i quattro principali tipi di rischio a cui un’impresa va incontro se non è in regola con la privacy.

Primo rischio: SANZIONI PECUNIARIE

In effetti il primo tipo di rischio è proprio quello sanzionatorio. Esiste, non è il principale, come vediamo dopo, ma non è poca cosa. Ci sono molti casi in cui effettivamente piccole imprese sono state multate sproporzionatamente anche solo per questioni burocratiche. Ho già parlato una volta di uno studio di commercialisti di Prato che è stato multato per €12000 soltanto perché non aveva il banner dei cookies installato sul sito. Vedi l’articolo a questo link.

Certo, è una inadempienza, ma la ritengo una misura assolutamente sproporzionata soprattutto perché il commercialista non usava i dati per profilare clienti o per attività di marketing automatizzato. Quindi non arrecava un vero danno a nessuno.

Ma vediamo: come si risolve questo aspetto? come ci si mette al riparo dalle sanzioni?

Bene, se non ci sono criticità specifiche nell’uso dei dati, questa parte è facilmente risolvibile mettendo in ordine la questione burocratica della privacy. Mettendo cioè a norma la parte documentale e formale con un buon assetto documentale di partenza.

Ci sono decine di documenti scaricabili, anche gratuitamente, da internet.

Il nostro kit gdpr facile ti fornisce:

  • un metodo guidato in 5 fasi
  • con video che guidano passo passo
  • il kit di documenti pronti da personalizzare e già conformi al regolamento privacy

È stato pensato per questo: per farti mettere in regola senza l’aiuto di consulenti.

Secondo rischio: RISCHIO RISARCITORIO

La seconda voce di rischio è sicuramente quella del rischio risarcitorio.

Sbagliare comportamento riguardo ai dati personali, sbagliare un trattamento dei dati con dolo o con colpa può far arrabbiare qualcuno.

Comportamenti sbagliati come scambiarsi i dati fra aziende, senza una  formale contitolarità, oppure utilizzare liste di email o telefoni per finalità diverse da quelle per cui sono stati raccolti, oppure ancora, trattare dati sensibili senza proteggerli in maniera particolare, sono  illeciti che giustamente sono puniti dalla legge.

È importante  conoscere i meccanismi che ci stanno dietro per non infrangere la legge, però è importante anche e soprattutto usare il buon senso. Mettetevi sempre nei panni anche dell’interessato, della PERSONA a cui si riferiscono i dati.

un aneddoto: l’agenzia incompetente che rischia grosso

Come tutti, anche i miei dati personali sono stati captati da agenzie che li hanno poi usati per finalità diverse; oppure senza avere la base giuridica per usarli (consenso, legittimo interesse, ecc).

L’anno scorso il mio numero di cellulare è finito in una lista sms e da allora sono stato bersagliato da continui messaggi promozionali per finalità che non avevo autorizzato. E fra l’altro in aree geografiche che non mi riguardavano.

Dopo un primo avviso bonario, senza risultati, ho mandato una raccomandata per farmi togliere dalla lista. Ma anche in quel caso non ho ottenuto niente. Dopo tre o quattro solleciti ho mandato una raccomandata con la minaccia di fare un esposto al garante per la privacy. In quel caso sono stato richiamato e il problema è stato risolto. Ovviamente non era mia intenzione fare un danno grave ad un’azienda.

Magari aveva fatto il danno involontariamente, solo per negligenza o incompetenza. Però se invece di me, avesse incontrato uno di quei puntigliosi che vivono di questo, sicuramente avrebbe avuto una sanzione finanziaria di migliaia di euro e avrebbe rischiato l’interdizione del database, cosa di cui parlo fra poco.

Terzo rischio: INTERDIZIONE DEI DATI

Infatti il terzo rischio è proprio quello dell’interdizione all’uso dei dati. Usare allegramente e illecitamente una base di dati senza autorizzazione o consenso o senza una base giuridica vera e propria, termine chiave molto importante, questo, può avere come effetto l’interdizione ad usare l’intera base dei dati. Quindi occhio,  alcune aziende che basano la loro crescita sul database dei clienti è sicuramente molto sensibile a questo argomento. Vedi l’aneddoto raccontato sopra.

Quarto rischio: VIOLAZIONE DEI DATI

L’ultimo rischio, spesso sottovalutato, ma veramente importantissimo, è il rischio di perdita di dati e della violazione dei dati, detto in inglese data breach.

Data breach significa più genericamente violazione dei dati, violazione che può venire dall’esterno o anche dall’interno.

Significa comunque che alcune persone non autorizzate hanno avuto accesso ai dati di cui sei titolare, e potrebbero farne un uso illecito:

  • usarli per propri scopi,
  • usarli per attività illegali
  • minacciarti per un riscatto
  • e così via

L’imprenditore è tenuto a segnalare anche solo il sospetto che i dati dei suoi clienti, dipendenti e fornitori siano entrati in possesso di malintenzionati. Deve avviare una procedura formale e segnalarlo all’interessato e al garante della privacy.

Come si risolve questo aspetto? Il principale modo per prevenire le violazioni dei dati è quello di avere un solido sistema di protezione. Tecnico e organizzativo.

Lo stesso Regolamento Europeo chiede di adottare le giuste misure tecniche e organizzative in base al proprio livello di rischio.

Di come analizzare i rischi ne parlo in questo articolo: Come mettersi in regola al GDPR in 3 fasi, mentre delle delle misure tecniche e organizzative ne parlo nel prossimo articolo, quello del 25 marzo.

Ma grossomodo le misure tecniche possono andare

  • da una definizione di un solido processo di gestione delle password,
  • ad una protezione tramite antimalware, antivirus e firewall con apparati IT sempre aggiornati,
  • a sistemi di monitoraggio
  • eccetera

La misura organizzativa per eccellenza che più di ogni altra ti mette al sicuro da ogni violazione di dati, invece, è la formazione del personale. L’anello debole della catena di sicurezza che protegge i tuoi dati sta nel fattore umano, come sempre accade.

Molte volte ho visto implementare dei sistemi di gestione della privacy ineccepibili dal punto di vista formale ma senza alcuna formazione al personale.

Questo non è solo un rischio formale dato che la formazione è obbligatoria. Ma è soprattutto un rischio sostanziale perché il personale non è aggiornato sulle principali tecniche di violazione che gli hacker e i malviventi digitali mettono in atto. E può quindi danneggiare non solo i dati personali, ma anche i tuoi dati aziendali fino anche a danni finanziari (ne ho parlo anche in un altro video articolo). È un rischio vero, reale e  grave.

La formazione si può trovare facilmente online, gratuitamente o per poche centinaia di euro, quindi, non ti conviene assolutamente trascurarla.

Anche nel nostro programma gdpr facile (www.gdprfacile.com), in ognuna delle 5 sezioni del metodo S.I.C.U.R. c’è una serie di video formativi che rimane tua proprietà e che può essere usata per sempre per la formazione del tuo personale, anche quello futuro.

Quindi, Ricapitolando:

  1. rischio sanzioni,
  2. rischio di risarcimenti
  3. rischio di interdizione di un determinato database
  4. rischio di perdita di dati per violazione da parte di malintenzionati.

Questi sono i quattro rischi principali. Ti ho già detto come metterti al riparo, quindi mi raccomando… a buon imprenditor, poche parole…

Nel prossimo video ti parlerò delle migliori tecniche per proteggere i tuoi dati

Alla prossima

/0 Commenti/da