Le misure tecniche per adeguarsi al nuovo Regolamento europeo privacy

Il nuovo Regolamento europeo sulla protezione dei dati (GDPR), obbliga le aziende ad implementare processi e politiche volti a dare alle persone un maggiore controllo sui propri dati personali.

Vuoi adeguare la tua impresa al GDPR? In questo post ti descrivo quali sono le misure di sicurezza che dovresti implementare per garantire la riservatezza e l’integrità dei dati personali.

Il nuovo Regolamento europeo privacy, cita nell’articolo 32: “sicurezza nel trattamento dei dati”, al punto 3:

Considerando lo stato dell’arte, i costi di implementazione e la loro natura, la portata, il contesto e le finalità del trattamento dei dati come anche le variabili legate ai rischi per i diritti e la libertà delle persone fisiche, il sistema di controllo e trattamento dei dati verrà implementato con misure tecniche e organizzative per assicurare un livello di sicurezza adeguato ai rischi, che include a seconda dei casi:

  1. l’utilizzo di pseudonimi e la crittografia dei dati personali;
  2. la capacità di garantire la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di elaborazione;
  3. la capacità di ripristinare la disponibilità e l’accesso ai dati personali in maniera tempestiva in caso di incidenti fisici o tecnici;
  4. un processo di controllo periodico e la valutazione dell’efficienza dei mezzi tecnici per verificare la sicurezza dell’elaborazione.

Come citato dall’art.32 punto a) la crittografia è il modo più semplice e sicuro per proteggere i dati.

Le tecnologie da adottare in azienda per la protezione dei dati

Per essere in regola con il Regolamento ci aiuta la tecnologia. In particolare l’utilizzo della crittografia e dell’autenticazione a due fattori. Questi strumenti consentono di proteggere le informazioni da furti o da appropriazioni illecite.

Il GDPR prevede la progettazione di piani per il ripristino:

  • dei dati;
  • delle password;
  • dei sistemi di gestione delle chiavi.

L’articolo 30 del nuovo Regolamento europeo privacy richiede che i documenti siano conservati, inclusa una descrizione generale delle misure di sicurezza tecniche e organizzative adottate, di cui all’art.32.

Questo significa che le imprese dovranno produrre la documentazione e le prove che i loro sistemi sono sicuri e che i dati criptati siano recuperabili dopo un incidente tecnico.

Per garantire “la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di elaborazione”, previsti dal Regolamento, si aprono diversi scenari di tecniche da utilizzare.

In questo post incominceremo a considerare la crittografia dei dati e l’autenticazione a due fattori.

  • la crittografia: è il modo più semplice e sicuro per proteggere i dati, come richiesto dall’art.32;
  • l’autenticazione a due fattori: può essere usata per migliorare la riservatezza dei dati.

Cos’è la crittografia?

La crittografia è il processo di codifica delle informazioni tale da impedire a parti non autorizzate di leggerle. Il livello di complessità della crittografia viene identificato con la lunghezza della chiave (bit) e con l’algoritmo di codifica utilizzato. Il modo più semplice per riuscire a superare la crittografia è tentare tutte le chiavi possibili.

Questa pratica è nota come attacco brute force, ma l’introduzione di chiavi più complesse ha reso questo approccio inefficace in quanto i tempi di elaborazione sono estremamente lunghi.

I criminali possono controllare le vulnerabilità presenti nel software di codifica o tentare di infettare il sistema con malware in grado di trasmettere loro le password o le chiavi quando queste vengono elaborate. Per ridurre i rischi di attacco, si dovrebbe:

  • usare un valido prodotto software per la crittografia;
  • utilizzare una soluzione anti-malware aggiornata in modo continuo.

Cos’è e come funziona l’autenticazione a due fattori?

L’autenticazione a due fattori è un sistema autenticazione che si basa sull’uso congiunto di due metodi di autenticazione differenti.

Tipicamente per autenticarsi su di un sistema, vengono distinti tre metodi diversi:

  • utilizzando qualcosa che si conosce (password o PIN per esempio);
  • utilizzando qualcosa che si ha (un token od una smart card);
  • utilizzando qualcosa che si è (tipicamente fattori biometrici quali l’impronta digitale o la retina).

Come secondo fattore di autenticazione, possiamo utilizzare un sistema di autenticazione OTP (One Time Password) che si interfaccia direttamente con qualcosa che sia in possesso dell’utente come smartphone o tablet.

L’utente, al momento di accedere da remoto alla rete aziendale, riceverà una password one-time sul cellulare che verrà utilizzata per completare e rafforzare l’abituale processo di autenticazione basato su password tradizionale.

Le misure tecniche per adeguarsi al nuovo Regolamento europeo privacy: le conclusioni

Le singole entità per proteggere i propri dati personali ed essere in regola con il nuovo Regolamento europeo sulla protezione dei dati, dovranno rispondere del loro progetto, in caso di problemi. Ogni entità dovrà valutare l’importanza dei dati che tratta ed il modo migliore per proteggerli. In questo post ho elencato alcune soluzioni tecniche che possono essere di aiuto.

Se vuoi approfondire l’argomento, puoi leggere la nostra mini guida sul nuovo Regolamento europeo sulla protezione dei dati.

La presente comunicazione ha lo scopo di tenere informato il cliente sul nuovo Regolamento europeo e sulle soluzioni per la protezione dei dati. Non vuole sostituirsi ai veri esperti in materia.

Ci impegneremo a mantenere aggiornata la comunicazione.

Fonti: Garante per la protezione dei dati personali – Gazzetta ufficiale dell’unione europea.

Contattaci per proteggere i tuoi dati

IThesia Sistemi aiuta le imprese a valutare la soluzione più adatta per proteggere i dati aziendali. Compila il modulo sottostante per ricevere maggiori informazioni.

Offriamo consulenza per rispettare la normativa in materia di privacy, come il nuovo Regolamento europeo sulla Protezione dei Dati.

Il GDPR sarà applicato, in tutti i Paesi UE, a decorrere dal 25 maggio 2018.

    Nome*

    E-Mail*

    Oggetto

    Messaggio

    Ho letto e accetto la Privacy Policy ed i Termini e Condizioni.

    Accetto di ricevere materiale informativo in relazione al servizio offerto.
    SiNo

    Share

    Enrico Bermano

    SENIOR IT CONSULTANT