GDPR e sito web

L’entrata in vigore del nuovo Regolamento UE 679/2016 ha effetti anche su tutti i siti web; essi debbono essere aderenti ai principi dettati del GDPR, in particolare agli artt. 5, 6, 7, 8, 11, 12, 13, 15 e successivi, 24, 25, 32, 33, 34, salvo altro.

Occorre valutare la rispondenza, del sito web, non solo al Regolamento ma anche alle ulteriori normative inerenti, come per esempio il provvedimento del Garante 8 maggio 2014 – detto cookie law. 

Da ultimo, ma non per importanza, una verifica professionale degli aspetti inerenti la sicurezza informatica del sito web (come richiesto dall’art. 32 GDPR) che deve essere condotta da un soggetto terzo (e non certamente da chi il sito lo ha realizzato).

Effettuiamo, da tempo, valutazioni di compliance dei siti web a tutti gli aspetti inerenti la dataprotection (sia legale che informatico), tramite il nostro servizio professionale WebSite Assessment; esso potrà essere prodotto come dimostrazione di accountability del Titolare del Trattamento. Generalmente questa valutazione viene effettuata da remoto, senza necessità di avere accesso al sistema informatico, ad un costo accessibile a tutte le organizzazioni.

Firewall

FireWall, il componente più determinante per la sicurezza I.T.C.

Il termine “firewall” in origine si riferiva a un muro destinato a confinare un incendio all’interno di un edificio; la definizione fu applicata, alla fine degli anni ’80 alla tecnologia di rete che consentiva di  “confinare” una rete locale collegata ad Internet, quando si evidenziarono problematiche afferenti alla sicurezza.

Un FireWall serve a regolare il traffico della rete locale proveniente da e diretto ad Internet; il suo scopo principale è quello di garantire sicurezza ai sistemi collocati dietro al suo perimetro.

Sulla base di regole impostate (policy o ACL) esso, agendo sui pacchetti IP, consente o nega la comunicazione tra le due parti che la richiedono (es. il client locale verso il server remoto); di norma vengono consentite solo le connessioni impostate dalle policy e negato tutto il resto (configurazione deny all).

Successivamente, con la diffusione di ulteriori tipologie di attacco, che veicolavano traffico illecito su connessioni consentite, furono sviluppati FireWall che valutano i pacchetti IP in transito e “capiscono” a quale protocollo o applicazione essi facciano capo; in tale modo è possibile bloccare (o consentire) un determinato tipo di traffico (es. il traffico generato dalle applicazioni p2p) indipendentemente dalle porte utilizzate e dalle regole statiche assentite.

I FireWalls di ultimissima generazione dispongono di ulteriori ed importantissime funzioni di sicurezza, quali Logging & Reporting, AntiMalware e IDS – Intrusion Detection System e/o IPS Intrusion Prevention System.

In ottica GDPR (art. 32 – sicurezza del trattamento) l’installazione e la gestione di un FireWall di terza generazione è assolutamente necessario; la sua installazione non esonera dalle altre misure di prevenzione e sicurezza, come talvolta erroneamente affermato.

Inoltre, per poter prevenire e notificare un eventuale Data Breach qualora eventualmente accada (art. 33 – notifica di una violazione di dati personali all’autorità di controllo) occorre che il FireWall disponga di funzioni IDS, meglio ancora se IPS (Prevention).

Da anni sviluppo e realizzo ApplianceIPsent – che consentono tutto quanto sopra a costi accessibili anche alle piccole realtà.

Percezione della sicurezza informatica

Non esiste nulla di peggio che la devastante percezione della sicurezza, specialmente quando l’azienda è lontanissima da un livello accettabile (la sicurezza informatica assoluta non esiste, specialmente in questo periodo nel quale sono vulnerabili anche i processori).

La scorsa settimana ho udito con le mie orecchie un consulente affermare: “qualora si  installi un FireWall a protezione della LAN, non occorre aggiornare il software di sistema ne installare alcun antivirus sugli elaboratori”.

Si iniziano anche a vedere valutazioni di Risk Assessments, GAP analysis e D.P.I.A. (alcune prodotte ove non serviva) dalle quali si evince che chi le ha predisposte non ha le idee ben chiare su quali siano i rischi che incombono sui trattementi di dati personali (specialmente per gli assets digitali), ne ovviamente le adeguate contromisure da adottare.