Percezione della sicurezza informatica

Non esiste nulla di peggio che la devastante percezione della sicurezza, specialmente quando l’azienda è lontanissima da un livello accettabile (la sicurezza informatica assoluta non esiste, specialmente in questo periodo nel quale sono vulnerabili anche i processori).

La scorsa settimana ho udito con le mie orecchie un consulente affermare: “qualora si  installi un FireWall a protezione della LAN, non occorre aggiornare il software di sistema ne installare alcun antivirus sugli elaboratori”.

Si iniziano anche a vedere valutazioni di Risk Assessments, GAP analysis e D.P.I.A. (alcune prodotte ove non serviva) dalle quali si evince che chi le ha predisposte non ha le idee ben chiare su quali siano i rischi che incombono sui trattementi di dati personali (specialmente per gli assets digitali), ne ovviamente le adeguate contromisure da adottare.

Corso Privacy GDPR

Sono aperte le iscrizioni per il prossimo corso privacy GDPR relativo alla formazione degli addetti (ex incaricati) autorizzati al trattamento dei dati personali.

Si ricorda che la formazione è un obbligo, pre-esistente già nel D.Lgs. 196/03, poi abrogato nel 2012 dal famigerato Governo Monti, ed adesso reintrodotto dalla normativa GDPR; essa (formazione) dovrebbe essere fatta prima dell’inserimento nel ruolo.

I prossimi corsi sono previsti in maggio (due effettuati) e giugno, si terranno presso la nostra aula di formazione, in orario lavorativo oppure al di fuori (il sabato mattina o in tarda serata) per venire incontro alle varie esigenze delle organizzazioni.

Sono già previste due tipologie di “corso di formazione privacy” secondo il regolamento GDPR:

  • per addetti (ex incaricati) al trattamento di dati personali GDPR (2 ore);
  • per responsabili e titolari del trattamento di dati personali GDPR (4 ore).

I relativi corsi partiranno al raggiungimento del numero minimo di partecipanti (6 persone) e saranno organizzati per mansioni compatibili (non metteremo assieme impiegati ed operatori sanitari).

Contattateci per i costi e le date calendarizzate; per le organizzazioni che hanno aderito al servizio di consulenza privacy GDPR, la formazione dei loro incaricati è già prevista e compresa nel costo globale.

A seguito del corso verrà rilasciato attestato di partecipazione, valido a dimostrare formalmente la formazione svolta, ai termini del GDPR; sarà messo a disposizione il materiale utilizzato ed un apposito manuale degli incaricati al trattamento, aggiornato al nuovo regolamento 2016/679 GDPR.

Informiamo altresì che si realizzano corsi di formazione ad-hoc per le organizzazioni che dispongono di una struttura in-house oppure che vogliono organizzare un evento riservato, in tutta la Toscana e nelle regioni limitrofe.

GDO Grande Distribuzione Organizzata e DPO

Domanda: la grande distribuzione organizzata (GDO) deve nominare il Data Protection Officer ?

Occorre valutare se la GDO, il centro commerciale, il supermarket, il discount, outlet village, ecc… :

  • adotta uno o più strumenti di fidelizzazione (es. le carte punti);
  • esegue attività di profilazione degli utenti (es. sito web promozionale, e-commerce, app per cellulari che raccolgono dati personali, ecc…);
  • impiega strumenti di pubblicità comportamentale;
  • dispone di sistemi che realizzano attività di monitoraggio della clientela;
  • ha soci tra i suoi clienti e offre loro servizi finanziari, telefonici ed altro (es. la Coop).

Qualora anche una sola delle condizioni sia presente, dovrà essere nominato il responsabile della protezione dei dati (RPD) o Data Protection Officer (DPO).

Ultimamente quasi tutte le realtà della grande distribuzione rilasciano delle fidelity card che consentono di profilare scelte di consumo dei clienti; dalle pregresse esperienze, tali particolari trattamenti di dati personali possono produrre gravi violazioni della privacy, anche a seguito di accadimenti banali; è quindi necessario che l’organizzazione implementi un sistema di protezione adeguato al grado di rischio, che deve essere sempre valutato con una D.P.I.A.

Privacy, l’allarme di Soro

“Le imprese sono troppo deboli nelle difese contro gli hacker”

Intervista ad Antonello Soro, Presidente della Autorità Garante per la Protezione dei Dati Personali italiana (di Francesco Condoluci, Economy, 26 marzo 2018)

… “L’idea di fondo è che la società digitale richiede regolamentazioni diverse da quelle preesistenti. Perché fin quando il volto deteriore della digitalizzazione si limita ad un hackeraggio irritante ma innocuo della posta della segreteria, si può anche far spallucce. Ma quando, com’è capitato lo scorso anno ad una impresa britannica, l’hackeraggio determina un danno che è stato quantificato in 700 milioni di sterline, c’è poco da far finta di niente!” … Una nuova regolamentazione europea, in vigore dal prossimo maggio imporrà una brusca sterzata alle aziende, costringendole a presidiare con ben altro piglio i dati propri e soprattutto quelli dei propri clienti. E non mancano i mugugni contro le salatissime multe a carico di chi non si adeguerà. Ma adeguarsi è sacrosanto.

Presidente, spieghi lei perché…
I dati da proteggere non sono aride cifre ma sono le proiezioni delle nostre persone nella nuova dimensione della vita che è il digitale. I dati sono i protagonisti della società digitale, sono il nuovo petrolio dell’economia digitale, ma dal punto di vista giuridico sono l’oggetto di un diritto fondamentale della persona, e pertanto ne va garantita l’inviolabilità.

Chi ha interesse invece a violarli?
Gli hacker, una variabile non eludibile. Ci sono e vanno contrastati. Invece i sistemi di difesa delle imprese, non solo in Italia ma in tutto il mondo, sono di totale debolezza. Per questo mi auguro che le nuove regole inducano un cambio di atteggiamento delle imprese verso questo problema. La protezione dei dati non va considerata un costo ma una risorsa. Gli investimenti per proteggere il proprio patrimonio informativo sono fondamentali per la sicurezza, personale e aziendale, per la reputazione e in assenza di questi un’impresa rischia di essere devastata, con oneri ben più grandi del costo di un pacchetto di software aggiornato. Quindi il tema vero è: la partita fra hacker e impresa si giocherà a tutto campo, non illudiamoci che gli hacker o chiunque abbia interesse a svolgere attività informatica ostile verso imprese o Stati rinunci a farlo se non duramente contrastato.


E veniamo all’Autorità: riuscirete a far fronte con le vostre risorse alle nuove incombenze di vigilanza sull’applicazione del regolamento?
Ci impegneremo a fondo. La nostra macchina è piccola ma molto efficiente. Dovremo crescere, ineluttabilmente. Questa autorità è stata calibrata per una società predigitale. Ora il Parlamento ci ha riconosciuto un aumento dell’organico. Siamo in 140, potremo acquisire altre 25 risorse. Si consideri che l’omologa autorità britannica conta 500 dipendenti e ne ha chiesti altri 200 per far fronte alle nuove incombenze. Faremo fronte stringendo i denti e facendo leva su una struttura qualitativamente all’avanguardia.

E le multe?
Trovo singolare che imprese accettino tranquillamente che per violazioni delle regole sulla concorrenza possano esserci sanzioni miliardarie e si indignino su quelle previste dalle violazioni contro le regole poste a tutela dei dati delle persone…

Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali

Il Garante della Protezione dei Dati Personali italiano ha predisposto una apposita Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali nel proprio sito.

Per tutti coloro che iniziano a chiedersi “di che si tratta”, in buon punto di partenza.

Ignoranti Digitali

L’ultimo scandalo FaceBook-Cambridge Analytica riporta ancora una volta all’attenzione la scarsa consapevolezza generale del parco-utenti delle piattaforme social.

Nessuno ha mai letto le condizioni di utilizzo proposte durante l’iscrizione, nessuno legge gli aggiornamenti che vengono periodicamente proposti, nessuno ha idea di chi sia la proprietà delle informazioni che vengono inserite, nessuno sa quali dati comportamentali vengano raccolti, nessuno sa per quali scopi potranno essere usate, nessuno sa … e pochi si interessano delle conseguenze.

Importa solo che il giochino funzioni; scova i vostri ex compagni di classe elementari, i vostri ex compagni di squadra, i vostri ex allievi, ex amici, ex fidanzate; ma anche past psichiatra, escort ecc…

Gli utenti pubblicano qualsiasi cosa gli passi in mente; fanno foto e video di maggiorenni e minorenni in ogni luogo, anche privato; identificano luoghi e frequentazione di persone; mettono “mi piace” e “non mi piace” ovunque, in un’orgia quotidiana di miliardi di byte personali.

Una ricerca svolta da accademici americani ha evidenziato come, senza avere nessuna informazione sul profilo di una persona, sia possibile ricostruirne tutte le caratteristiche (età, sesso, nazionalità, inclinazioni sessuali, livello di studio, professione …) solo analizzando i suoi post e la sua rete di contatti, con una accuratezza dell’87%.
Ma come è possibile collegare persone che usano numeri diversificati per lavoro e vita personale, proprio per motivi di privacy ? In molti modi, uno dei quali è la condivisione delle informazioni tra WhatsApp e FaceBook, introdotta lo scorso anno, ovviamente solo “per migliorare le esperienze con le inserzioni e i prodotti di Facebook”.

Ragazzi, ma se ve la danno gratis (la partecipazione al social network) non vi viene in mente la domanda: chi paga al posto di miliardi di utenti?

Qualcuno ha appositamente coniato il termine “somari digitali”; io ritengo più adatto il termine “ignoranti digitali”, nel senso di ignorare; spesso si tratta anche di colpevole distrattezza.

Le famiglie consegnano uno smartphone ai loro figli ad un’età sempre più bassa, senza nulla insegnare loro, onere che quindi si traferisce completamente a carico della scuola italiana.

Mi rivolgo quindi al prossimo Ministro della Pubblica Istruzione Italiana: Sig. Ministro, vogliamo pensare a colmare questa “irrilevante” lacuna dei nostri futuri cittadini digitali?

Anche iniziando con poco, un piccolo progetto co-finanziato dalla Comunità Europea, magari come alternativa allo Stretching in Classe?