WebSite Assessment

Con l’entrata in vigore del nuovo Regolamento Europeo 679/2016, diventa ancora più importante avere il sito web “in regola”.

Mettiamo a disposizione delle organizzazioni il nostro servizio di “Web Site Assessment”, che effettuiamo da anni, le cui procedure sono state aggiornate per comprendere i requisiti del GDPR.

Si tratta di una valutazione di tutti gli aspetti inerenti il sito web, che riguardano configurazioni hosting e dns, tecnologie IT utilizzate, versione software in uso, geolocation di web server e mail server, eventuale C.M.S. e presenza vulnerabilità, integrità del codice html, FrameWork adottati, Content Distribution Network, configurazioni di sicurezza, https:// e validazione relativo certificato ssl, valutazione rispondenza informativa privacy, plug-in presenti e relativi cookies, verifica cookie law, tempi di conservazione dei log, ecc.

Il risultato dell’assessment è costituito da un documento elettronico di report (pdf) firmato e avente data certa, nel quale si evidenziano gli aspetti oggetto di analisi; esso può essere prodotto quale misura tecnica richiesta all’art. 32 comma 1 lettera d) GDPR e più in generale quale dimostrazione di accountability richiesta al titolare all’art. 24 comma 1 GDPR.

Il servizio “Web Site Assessment” è di norma compreso nel nostro pacchetto di consulenza GDPR, mentre per chi lo desidera è effettuabile come attività “stand-alone” ad un prezzo accessibile.

GDPR e sito web

L’entrata in vigore del nuovo Regolamento UE 679/2016 ha effetti anche su tutti i siti web; essi debbono essere aderenti ai principi dettati del GDPR, in particolare agli artt. 5, 6, 7, 8, 11, 12, 13, 15 e successivi, 24, 25, 32, 33, 34, salvo altro.

Occorre valutare la rispondenza, del sito web, non solo al Regolamento ma anche alle ulteriori normative inerenti, come per esempio il provvedimento del Garante 8 maggio 2014 – detto cookie law. 

Da ultimo, ma non per importanza, una verifica professionale degli aspetti inerenti la sicurezza informatica del sito web (come richiesto dall’art. 32 GDPR) che deve essere condotta da un soggetto terzo (e non certamente da chi il sito lo ha realizzato).

Effettuiamo, da tempo, valutazioni di compliance dei siti web a tutti gli aspetti inerenti la dataprotection (sia legale che informatico), tramite il nostro servizio professionale WebSite Assessment; esso potrà essere prodotto come dimostrazione di accountability del Titolare del Trattamento. Generalmente questa valutazione viene effettuata da remoto, senza necessità di avere accesso al sistema informatico, ad un costo accessibile a tutte le organizzazioni.

GDPR vulnerability assessment

Per capire compiutamente cosa sia un vulnerability assessment occorre introdurre il concetto di vulnerabilità, che nel caso di specie si riferisce all’information tecnology.

Una vulnerabilità è una condizione imprevista nella quale si può venire a trovare un sistema, generalmente determinata da un errore di programmazione, una misconfigurazione o un bug presente nei sottosistemi hardware, software e/o nei protocolli di trasmissione.

Questo determina un “punto debole” dell’intero sistema, che può essere sfruttato per compromettere la sicurezza della intera infrastruttura della quale il dispositivo o software fa parte.

Al fine di innalzare il livello di sicurezza, occorre mettere in atto procedure ricorrenti che verifichino gli strumenti, specialmente quelli esposti al pubblico oppure collegati ed InterNet, non abbiano vulnerabilità; queste procedure vengono definite Vulnerability Assessment (che qualcuno indica anche Vulnerability Scan) e sono di norma effettuate tramite strumenti automatici, che evidenziano eventuali vulnerabilità presenti nei dispositivi informatici e/o nel software sottoposto ad analisi.

Utilizziamo gli strumenti professionali di riferimento, nell’ambito internazionale, per il riscontro delle vulnerabilita dei sistemi informativi; le nostre attività di Vulnerability Assessment vengono correlate da apposita documentazione che certifica che, alla data, non sono / sono presenti servizi/strumenti/software affetti/non affetti da specifiche vulnerabilità.

Si tratta quindi di uno strumento che certifica lo stato attuale e dimostra l’accountability del titolare del trattamento.

GDPR security assessment

Security Assessment, Vulnerability Assessment e Penetration Test, cosa sono?
Si tratta della stessa attività o di attività diverse?

Qeste tre definizioni, che spesso vengono confuso e/o scambiate, si riferiscono a tre attività diverse che afferiscono però ad una sola finalità: migliorare notevolmente la sicurezza dei sistemi informativi.

Per attività di Vulnerability Assessment (che qualcuno indica anche come Vulnerability Scan) si intendono quelle attività tecniche (molto specifiche), effettuate di norma con strumenti automatici, che evidenziano eventuali vulnerabilità presenti nei dispositivi informatici e/o nel software.

Le attività di Penetration Test sono le attività di soggetti dotati di particolari competenze che, “indossato il cappello dell’hacker”, operano per superare le misure di sicurezza e le difese messe in atto per proteggere i sistemi. Dato che di norma le attività di penetration test, per avere successo, sfruttano le vulnerabilità di strumenti, software, sistemi e loro configurazioni, tali attività vengono effettuate dopo aver eseguito il Vulnerability Assessment ed averne risolto le vulnerabilità emerse.

Per Security Assessment (o valutazione della sicurezza) intendiamo la somma di tutte le specifiche attività di valutazione della sicurezza; spesso dimentichiamo che la sicurezza di un sistema informativo è funzione anche della relativa sicurezza fisica degli ambiti nel quale esso si trova.

Il Regolamento Europeo ha aumentato esponenzialmente il livello di sicurezza necessario per tutte le tipologie di trattamenti, mettendo in capo al titolare del trattamento la definizione delle misure necessarie da adottare e l’obbligo di testarle, verificarle e valutarne regolarmente l’efficacia (art. 32 comma d GDPR).

Regolarmente, non una tantum, perchè un sistema sicuro oggi potrebbe non esserlo in futuro.