Dati sensibili al centro della governance. L’entrata in vigore del regolamento generale sulla protezione dei dati personali UE 2016/679 ha portato a un vero e proprio cambio di passo rispetto alla gestione delle informazioni sensibili e della loro messa in sicurezza. Il GDPR, infatti, abbandona un approccio marcatamente formalistico, basato su regole e adempimenti analiticamente definiti (ad esempio, l’elenco delle misure minime di sicurezza da adottare). La normativa sancisce il passaggio a un approccio che responsabilizza maggiormente il Titolare del Trattamento, lasciando allo stesso una maggiore libertà decisionale, seppur nel rispetto di principi definiti. In sostanza, il legislatore amplia i diritti dell’interessato (consumatore, cliente, dipendente aziendale e così via) in tema di trattamento dei dati sensibili, offrendo precise linee guida che prevedono, tra l’altro, il diritto all’oblio e impongono alcune limitazioni, dando precise indicazioni sul come portare altrove questo tipo di informazioni. In questo contesto, adottare una soluzione di Continuous Vulnerability Assessment consente alle aziende di garantire l’efficienza e la sicurezza di tutti i sistemi che raccolgono, archiviano e gestiscono dati personali in maniera conforme al GDPR.
Scopri cosa può fare il Continuous Vulnerability Assessment per la tua azienda
Le 5 regole essenziali per proteggere i dati sensibili
Una gestione semplice ed efficiente delle misure di sicurezza che riguardano l’intero ciclo di vita dei dati sensibili è essenziale per l’attuazione del GDPR: dall’acquisizione alla produzione di informazioni, includendo i sistemi alla divulgazione per arrivare all’archiviazione fino alla loro distruzione. Le misure preventive sono a livello organizzativo (separazione dei compiti, concetto di ruolo e responsabilità, gestione degli utenti e loro diritti, gestione degli accessi fisici, rintracciabilità, misurazione, controlli e verifiche, gestione degli asset e dei supporti rimovibili, istruzione e promozione della consapevolezza) e tecnico.
A questo proposito gli esperti indicano 5 regole essenziali:
1. Sapere quali sono i dati da proteggere (e dove sono)
Mettere a regime la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali deve partire da un presupposto fondamentale: capire di quali dati dispone la propria organizzazione, dove si trovano e chi ne è responsabile. A questo proposito, realizzare e mantenere un registro dei dati garantisce che tutte le misure preventive di seguito introdotte facciano riferimento e includano tutte le risorse dati rilevanti. Questo si traduce in una maggiore trasparenza ma anche in una più facile tracciabilità dei processi associati alla gestione dei dati sensibili che, in caso di contenzioso o di situazioni di vulnerabilità legate ad eventuali furti di dati, permette di dimostrare a un’azienda di aver agito in modo conforme alla normativa. Grazie a una soluzione di Continuous Vulnerability Assessment i risultati delle scansioni possono essere utilizzati per contribuire alla redazione dei Registri delle attività di trattamento e delle Valutazioni di impatto sulla protezione dei dati. I contributi, infatti, includono tutte le informazioni relative alle vulnerabilità e alle attività previste per l’eventuale ripristino della conformità.
2. Impostare correttamente la gestione delle identità e degli accessi
Un altro capitolo fondamentale per la protezione dei dati sensibili è la gestione delle identità e degli accessi. Le organizzazioni con il GDPR devono dimostrare di adottare un approccio proattivo alla gestione dell'accesso ai dati sensibili. Adottare una soluzione IAM (Identity Access Management) aiuta le aziende a soddisfare i requisiti di conformità relativi alla separazione dei ruoli, permettendo di applicare policy di accesso per account e informazioni personali. Non solo: questo approccio permette di stabilire i livelli di privilegio di accesso di alcuni utenti e di escludere gli utenti senza permesso. Uno dei temi più controversi della sicurezza, infatti, è la gestione delle password. A questo proposito una soluzione IAM aiuta a ridurre anche i costi degli helpdesk, consentendo la reimpostazione delle password in modalità autonoma. Il sistema IAM garantisce una tracciabilità importante in merito a chi ha effettuato il log-in, quando e a quali dati ha avuto accesso. Integrando una soluzione di Continuous Vulnerability Assessment, le aziende possono monitorare le security policy, identificare e tracciare le vulnerabilità e soprattutto documentare le azioni correttive messe in campo. Il tutto assicurando anche la governance delle identità in modo che l'organizzazione possa mantenere la conformità in modo continuativo e regolare.
3. Effettuare un’analisi dei rischi
Gli esperti consigliano di effettuare regolari valutazioni del rischio per individuare eventuali potenziali pericoli per i dati dell’organizzazione. Con questa prassi dovrebbero essere esaminati tutti i tipi di minaccia identificabili (sia digitali che fisici): dalla violazione dei dati online, alle interruzioni di corrente. In questo modo è possibile identificare eventuali punti deboli nel sistema di sicurezza aziendale, stabilire le priorità e formulare quindi un preciso piano d’azione per evitare danni, riducendo così il rischio di dover poi far fronte a una violazione ben più costosa. Adottare una soluzione di Continuous Vulnerability Assessment assicura alle organizzazioni un monitoraggio costante di infrastrutture, applicazioni e sistemi, garantendo non solo una maggiore sicurezza dei dati sensibili ma anche la qualità di una reportistica che, in sede legale, può dimostrare la piena adesione dell’azienda alla compliance.
4. Impostare correttamente il backup dei dati sensibili
Il GDPR regolamentando la protezione dei dati sensibili va a impattare anche su tutti quegli aspetti legati all’impostazione di backup e sistemi di cifratura dei dati. Il che include anche tutti gli apparati necessari per proteggere reti e sistemi operativi, come antivirus e firewall. Anche in questo caso, il responsabile del trattamento e l’incaricato del trattamento sono obbligati ad attuare una serie di misure tecniche e organizzative adeguate a garantire un livello di sicurezza proporzionale al rischio. il soggetto che immagazzina dati sensibili di cittadini UE, infatti, deve assicurarsi di avere delle procedure di cifratura dei dati e la capacità di ripristinare l’accesso agli stessi in caso di attacchi hacker o guasti tecnici. Questo significa dotarsi di procedure di backup dei dati sempre attive, che anche la cifratura dei dati oggetto del backup in modo da impedire l’accesso a chi non conosca le necessarie password. Per poter dimostrare la conformità con il regolamento, il titolare del trattamento dovrebbe adottare politiche interne e attuare misure che soddisfino in particolare i principi della protezione dei dati fin dalla progettazione e della protezione dei dati di default. I dati sensibili, dunque, devono essere conservati in una forma che impedisce l’identificazione del soggetto senza l’utilizzo di informazioni aggiuntive, e che dunque riduce i rischi effettivi in caso di una loro possibile esposizione legata a incidenti di tipo fisico o tecnico. Gli esperti puntano l’attenzione sui criteri di indicizzazione utilizzati: in diversi sistemi, infatti, i dati identificativi come il codice fiscale o il nome e cognome vengono usati come chiavi di indicizzazione; se i dati sensibili sono la base del sistema stesso di indicizzazione, diventa chiaramente difficile lavorare sulla loro pseudonimizzazione. Per assicurare anche la messa in sicurezza dei dati sensibili relativi ai processi di back-up adottare una soluzione di Continuous Vulnerability Assessment consente alle organizzazioni di testare, valutare e documentare non solo il livello di sicurezza applicato, ma anche l’effettivo ripristino attraverso le tecnologie più adeguate.
5. Monitoring, adeguamento e miglioramento
Il GDPR, grazie alle linee guida in merito alla gestione dei dati sensibili, sta favorendo una nuova cultura della sicurezza, più sostenibile ma anche più dinamica. Le misure di sicurezza adottate, infatti, devono essere continuamente adattate alle nuove esigenze e ai cambiamenti del contesto. L’approccio deve infatti contemplare eventuali cambiamenti dei sistemi e/o componenti o nuovi progetti/sistemi. A questo proposito le aziende devono dotarsi di sistemi di monitoraggio e di controllo che includono test, verifica e valutazione periodica dell’efficacia delle misure adottate al fine di garantire la sicurezza del trattamento dei dati sensibili. Il tutto senza dimenticare che la normativa obbliga le aziende a vagliare, rivedere e aggiornare anche tutta la gestione dei dati sensibili affidata al cloud. A questo proposito, il regolamento stabilisce contenuti contrattuali puntuali e specifici che devono connotare gli accordi tra le imprese che esternalizzano il trattamento di dati personali (data controller), e i fornitori di servizi esternalizzati (data processor) incaricati di detto trattamento (siano essi un outsourcer tradizionale o un cloud service provider). Anche in questo caso, l’adozione di una piattaforma di Continuous Vulnerability Assessment aiuta a presidiare al meglio infrastrutture e servizi, dimostrando che sono state implementare tutte le misure di sicurezza adeguate e che sono state effettuate tutte le azioni del caso per mitigare le vulnerabilità a garanzia di una migliore gestione della sicurezza dei dati sensibili.
Le linee guida relative all’analisi dei rischi
Dal punto di vista della governance, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, le aziende sono tenute a mettere in atto misure tali da garantire un livello di sicurezza e di riservatezza adeguato al rischio (art. 32). L’analisi dei rischi viene richiesta per (art. 35):
-
l’utilizzo di soluzioni tecnologiche che elaborano una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, attraverso modalità di trattamento automatiche (compresa la profilazione, sulla quale vengano prese decisioni che hanno risvolti giuridici o che impattano significativamente su dette persone fisiche: situazione economica, salute, preferenze personali, localizzazione, profili per il marketing);
-
trattamenti su larga scala di dati sensibili e/o giudiziari (ad esempio numero di persone coinvolte, volume di dati trattati, permanenza dei dati trattati, estensione geografica del trattamento, trasferimento di dati in Paesi non appartenente all’Unione europea) o dati di persone con maggiore necessità di protezione (es. bambini, pazienti con malattie mentali);
-
sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
Dati sensibili e nuovi regimi di gestione e conservazione
Per le aziende adempiere agli obblighi di legge e, al contempo, garantire la qualità dei dati sensibili necessaria è una bella sfida. Certamente la compliance con SOX, HIPAA, PCI DSS, OWASP Top 10 e ISO 27001 può essere di aiuto, ma il GDPR ha le sue peculiarità, in particolare per quello che riguarda la reportistica. Ecco perché un servizio di Continuous Vulnerability Assessment è la giusta strategia per garantire di essere in regola con tutti i requisiti richiesti dalla normativa. Tra le novità introdotte dal GDPR, ad esempio, vi è l’obbligo (art. 30) della tenuta del Registro dei Trattamenti (documento solo in parte sovrapponibile a quello già richiesto dal DPS nell’allegato B, punto 19). Il Registro non solo deve contenere tutte le informazioni che identificano finalità del trattamento e modalità di conservazione dei dati sensibili ma deve anche riportare le misure di sicurezza applicate e tutti gli elementi necessari a verificare che gli obblighi normativi siano correttamente rispettati. Le organizzazioni devono prestare attenzione anche a definire i tempi di conservazione dei dati sensibili il che, secondo la normativa, deve avvenire non appena questi non siano più necessari rispetto alle finalità per le quali sono stati raccolti. Anche questa è una nuova prassi, rispetto all’abitudine consolidata delle aziende di accumulare i dati sensibili per finalità legate a iniziative di marketing più o meno strategico. Nel caso l’interessato ritenesse non lecito il trattamento di un dato che lo riguarda oggi per legge può chiedere al titolare di limitarne l’uso fino alla soluzione della controversia. Considerando come, di fatto, molti nuovi servizi funzionino attraverso l’uso di sistemi di Intelligenza Artificiale.
Il legislatore ha previsto che l’interessato possa addirittura opporsi e richiedere l’intervento umano. Per le aziende che offrono servizi a sottoscrizione o di vendita si aggiunge la necessità di acquisire il consenso dei minori sopra i 14 anni con informative comprensibili, adeguate all’età.
Altre misure riguardano l’utilizzo dei dati biometrici, genetici, di salute o relativi a eventuali condanne e reati dell’interessato. Tutto questo flusso di dati va tracciato in modo da condividere, in caso di violazione, una reportistica dettagliata che mostri come l’azienda abbia messo in atto tutte le contromisure necessarie. A questo proposito una soluzione di Continuous Vulnerability Assessment, generando report dettagliati sugli asset, sulle loro vulnerabilità e sul ripristino della sicurezza, garantisce la raccolta precisa di tutte le informazioni relative agli asset digitali impiegati nel trattamento dei dati, offrendo un log dettagliato anche in vista di indagini future.
Attenzione all’analisi dei trattamenti e dei requisiti
Il GDPR definisce i requisiti di sicurezza in base alle aspettative dei diversi soggetti interessati e agli obiettivi aziendali, tenendo conto di tutte le richieste legali, contrattuali e dei regolatori di tutti i Paesi di destinazione dei servizi/prodotti e pertinenti al tipo di attività (ad esempio PCI DSS per il settore finanziario). Oltre a ciò, il regolamento e la ISO / IEC 27001 richiedono di tener conto del contesto esterno, come può essere la situazione attuale delle minacce alla sicurezza, gli eventi e/o gli incidenti di sicurezza avvenuti, e del contesto interno come, ad esempio, il processo operativo sostenuto, la consapevolezza e le competenze informatiche degli utenti, l’infrastruttura disponibile. In merito all’analisi dei rischi, la normativa definisce per ogni trattamento/processo associato alla gestione dei dati sensibili anche precise indicazioni sui servizi IT di riferimento, andando a includere tutti i componenti tecnici di supporto a tutti i livelli architetturali e sistemici. A tale proposito, è necessario partire dai processi/trattamenti e dalla classificazione dei dati sensibili. In base alla definizione delle relazioni si va a identificare quali sono le richieste legate alla privacy per ogni componente/archivio e per l’intero ciclo di vita dell’informazione e del sistema/prodotto/atto. È a questo punto che diventa fondamentale stabilire i livelli di sicurezza dei propri sistemi. Specie quando i dati sensibili si appoggiano a servizi aperti o connessi in modo flessibile. Utilizzare una soluzione di Continuous Vulnerability Assessment è essenziale per dimostrare che le problematiche poste dal trattamento e dalla protezione dei dati sono state prese in giusta considerazione dall’azienda!
Insomma, grazie al CVA puoi garantirti una soluzione ad hoc per la sicurezza aziendale. Non si tratta infatti solo di proteggere i dati sensibili, ma di porre l'accento su una gestione ottimale della protezione dell'intero sistema IT aziendale. Vuoi sapere cosa può fare il Continuous Vulnerability Assessment per la tua azienda? Scarica l'eBook gratuito e scopri tutti i dettagli!