GDPR e 231

Abbiamo già detto che la protezione dei dati personali non è più (non lo è mai stato) produrre scartoffie che nessuno legge, conosce o applica; si tratta di implementare un modello di gestione.

Alcuni lo chiamano Sistema Gestione Privacy (S.G.S.), altri lo definiscono Modello Organizzativo Privacy (M.O.P.).

Per quanto mi riguarda, ritengo che la definizione “privacy” da tempo non sia più adeguata, ma occorra adottare la più rispondente “dataprotection“.

Putroppo per i non anglofoni, anche in questo caso il linguaggio inglese si adatta meglio a descrivere, con due sole parole, il concetto: DataProtection Model (l’acronimo potrebbe essere D.P.M.).

Quindi tutte le aziende che vorranno essere costantemente “compliant” al GDPR, dovranno adottare, ed esercire, un DataProtection Model, con i relativi “innesti” ai processi esistenti e la creazione di quelli necessari.

Dato che molte aziende hanno già adottato altri modelli organizzativi e/o sistemi di gestione (es. Gestione Qualità, Gestione Ambientale, Responsabilità Amministrativa delle Aziende, ecc.), ci sono diverse attività che si sovrappongono.

Il D.Lgs. 231/01 e Regolamento 679/2016 condividono il concetto di “valutazione del rischio”; in effetti essi risultano avere vari “punti di contatto”, tra i quali:

  • reati informatici;
  • trattamento illecito di dati;
  • software illegale;
  • whistleblowing;
  • in alcuni ambiti, sicurezza informatica.

Il D.Lgs. 231 è attualmente obbligatorio solo per le società quotate; in Senato è all’esame un decreto legge che ne estenderebbe l’obbligo alle società di capitali che abbiano avuto, in uno degli ultimi tre esercizi, un attivo patrimoniale non inferiore a 4.400.000 euro oppure ricavi non inferiori ad 8.800.000 euro.

Insieme ad altri colleghi esperti, abbiamo valutato l’opportunità di creare un modello integrato GDPR – D.Lgs. 196/03+101/18 – D.Lgs. 231/01; stiamo quindi lavorando su questo nuovo modello, che presto potrà essere adottato ed implementato dalle aziende italiane.

Differenza tra privacy by design e privacy by default

Privacy by Design e Privacy by Default sono due concetti non particolarmente nuovi, portati alla ribalta dal nuovo Regolamento UE 679/2018.

Concettualmente sono “vicini” ma distinti; spesso assisto ad interventi di professionisti, anche autorevoli, che confondono i due concetti.

Non voglio entrare nel merito di una disquisizione tecnica, che probabilmente confonderebbe ulteriormente le idee, ma intendo fornire una semplice indicazione che consente di districarsi in molte occasioni.

Il concetto di Privacy by Design è affiancabile a quello di progettazione.

Il concetto di Privacy by Default è collegabile a quello di configurazione.

Chip clandestino, spionaggio planetario

Sembra originare dalla Cina il più incredibile caso di cyber-spionaggio della storia.

Secondo un articolo di  Bloomberg, qualcuno ha inserito un chip microscopico nelle motherboard di SuperMicro, una azienda americana che produce sistemi server High Tech.

Si ritiene che questi micro-chips, installati nelle mainboard durante la produzione in Cina, contengano del codice “backdoor” che comprometta il dispositivo, sovrapponendosi al sistema operativo.

Le indagini, condotte sin dal 2015 ed ancora in corso, sarebbero scaturite da una verifica di sicurezza su sistemi server di Amazon; non sono stati divulgati dettagli dalle Autorità.

I big del settore apparentemente coinvolti smentiscono categoricamente; nel frattempo i titoli delle aziende cinesi produttrici di componenti I.T. vanno a picco nelle borse mondiali.

Come sempre, quando si guarda prevalentemente ai costi, la sicurezza viene sempre in ultimo piano; occorre garantire la sicurezza della intera filiera produttiva dei prodotti I.T.

Forse SuperMicro (se supererà il ChipGate) tornerà a produrre in USA?

La sicurezza informatica riguarda tutti gli aspetti di un sistema; adesso l’opinione pubblica ha scoperto che anche l’hardware può essere compromesso in fabbrica.

Lo ripeto da tempo: tutte le componenti debbono essere oggetto di analisi di sicurezza; qualcuno sa esattamente cosa faccia il BIOS (adesso uefi, in pratica un sistema operativo a se stante) dei moderni PC?

IPsent

IPsent (acronimo formato da IP + SENTINEL) è una appliance progettata e realizzata allo scopo di garantire la sicurezza delle reti IP locali e conseguentemente dei dispositivi ad esse collegati.

Si tratta di una delle primarie misure di sicurezza richieste all’art. 32 del nuovo Regolamento UE 679/2016.

In primo luogo, dispone di avanzate funzioni di reporting; ciò consente di visualizzare, graficamente ed in tempo reale, il traffico di rete, compreso i sistemi che stanno utilizzando banda.

 

Realizza inoltre visualizzazioni dettagliate, le quali consentono, agli amministratori di sistema, di avere visione sulle specifiche connessioni attuate, la tipologia ed il traffico intercorso.

 

Dispone di tutte le caratteristiche di un FireWall di ultima generazione, comprese le funzioni MultiWan, Traffic Shaper,  Content Filtering, Intrusion Detection ed Intrusion Prevention.

 

Le appliance sono realizzate con componenti opensource collaudati, utilizzando hardware adatto ad ottenere le prestazioni necessarie alla specifica infrastruttura di rete locale; sono disponibili soluzioni adatte a piccoli studi ed uffici sino ad arrivare a soluzioni ad alto traffico e/o sistemi High-Availability.

IPsent può essere installato con nulle o minime modifiche alla infrastruttura LAN esistente.

I costi sono molto accessibili ed inferiori rispetto agli equivalenti dispositivi dei produttori più blasonati.

Firewall

FireWall, il componente più determinante per la sicurezza I.T.C.

Il termine “firewall” in origine si riferiva a un muro destinato a confinare un incendio all’interno di un edificio; la definizione fu applicata, alla fine degli anni ’80 alla tecnologia di rete che consentiva di  “confinare” una rete locale collegata ad Internet, quando si evidenziarono problematiche afferenti alla sicurezza.

Un FireWall serve a regolare il traffico della rete locale proveniente da e diretto ad Internet; il suo scopo principale è quello di garantire sicurezza ai sistemi collocati dietro al suo perimetro.

Sulla base di regole impostate (policy o ACL) esso, agendo sui pacchetti IP, consente o nega la comunicazione tra le due parti che la richiedono (es. il client locale verso il server remoto); di norma vengono consentite solo le connessioni impostate dalle policy e negato tutto il resto (configurazione deny all).

Successivamente, con la diffusione di ulteriori tipologie di attacco, che veicolavano traffico illecito su connessioni consentite, furono sviluppati FireWall che valutano i pacchetti IP in transito e “capiscono” a quale protocollo o applicazione essi facciano capo; in tale modo è possibile bloccare (o consentire) un determinato tipo di traffico (es. il traffico generato dalle applicazioni p2p) indipendentemente dalle porte utilizzate e dalle regole statiche assentite.

I FireWalls di ultimissima generazione dispongono di ulteriori ed importantissime funzioni di sicurezza, quali Logging & Reporting, AntiMalware e IDS – Intrusion Detection System e/o IPS Intrusion Prevention System.

In ottica GDPR (art. 32 – sicurezza del trattamento) l’installazione e la gestione di un FireWall di terza generazione è assolutamente necessario; la sua installazione non esonera dalle altre misure di prevenzione e sicurezza, come talvolta erroneamente affermato.

Inoltre, per poter prevenire e notificare un eventuale Data Breach qualora eventualmente accada (art. 33 – notifica di una violazione di dati personali all’autorità di controllo) occorre che il FireWall disponga di funzioni IDS, meglio ancora se IPS (Prevention).

Da anni sviluppo e realizzo ApplianceIPsent – che consentono tutto quanto sopra a costi accessibili anche alle piccole realtà.