GDPR e sicurezza dei dati: la check list per l’individuazione degli asset aziendali

La sicurezza dei dati personali e più in generale del patrimonio informativo dell’azienda, alla luce del GDPR, è un obiettivo al quale finalmente anche le PMI stanno guardando, come già fanno da tempo le più grandi organizzazioni.

Il Regolamento UE e i suoi evidenti effetti, non ultimo la maggiore notorietà dei data breach, hanno senz’altro contribuito ad accrescere la sensibilità su questo tema, accelerando un processo di consapevolezza che parte da lontano.

GDPR e sicurezza dei dati personali: l’analisi del rischio

La diffusione di tecnologie informatiche, non sempre gestite con la dovuta attenzione e competenza all’interno delle aziende e ancora di più nella sfera privata, fa il passo con l’aumento di vulnerabilità e di conseguenti rischi per i dati trattati.

Nella vita quotidiana sappiamo come proteggere i nostri beni: quali sono le cose che ci appartengono, quale è il loro valore e quali comportamenti adottare per difendere i nostri beni più preziosi.

Non si può dire la stessa cosa per i “beni” informatici, ma soprattutto per le informazioni memorizzate e trattate con i nostri dispositivi e applicativi software. Non è così semplice dare un valore alle informazioni che abbiamo memorizzate, al lavoro che abbiamo svolto per raccoglierle e di conseguenza valutare le conseguenze economiche – ma non solo – che deriverebbero da un danno su tale patrimonio.

È ormai chiaro che uno dei “must” del GDPR si chiama analisi del rischio. Non si pretende che all’interno delle PMI si adottino complicate metodiche di risk analysis degne di master post-universitari, ma una adeguata identificazione delle minacce e delle probabilità che queste si verifichino, è doverosa per tutti.

GDPR e sicurezza dei dati personali: identificazione degli asset

Il punto di partenza di una qualsiasi metodologia di analisi del rischio è l’identificazione dei propri asset. Se vogliamo stabilire il valore di un bene informatico e dei dati con esso gestiti, dobbiamo tener conto dei possibili danni diretti e indiretti e in questo modo stilare una classifica dei beni da proteggere secondo la loro criticità. Solo a questo punto saremmo pronti per decidere che tipo di protezioni adottare, così come indicato dall’articolo 32 del GDPR:

“Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”

Check list di controllo degli asset

Proponiamo per questo una semplice check list di controllo dell’hardware e software presenti nella propria organizzazione, e delle loro configurazioni in ottica di adeguate misure di sicurezza.

Asset hardware

• Protezione fisica:

1. presenza di CED o sala server;
2. locale chiuso;
3. collocazione idonea;
4. modalità di accesso;
5. misure antincendio;
6. misure anti intrusione;
7. misure anti allagamento;
8. continuità alimentazione elettrica;
9. sistemi di allarme e relative notifiche;
10. fornitori esterni coinvolti, componenti ridondanti.

• Componenti di rete:

1. tipologia rete locale;
2. tipologia rete geografica;
3. descrizione infrastrutture utilizzate per la gestione delle trasmissioni Internet/Intranet dell’organizzazione e le comunicazioni di posta elettronica;
4. configurazioni VPN;
5. certificati digitali;
6. crittografia delle comunicazioni.

• Protezione perimetrale:

1. presenza di firewall;
2. tipologia;
3. caratteristiche;
4. numero apparati e relative configurazioni;
5. gestione interna o in outsourcing.

• Protezione della navigazione:

1. presenza di proxy;
2. gestione del traffico;
3. regole di navigazione;
4. web filtering;
5. navigazione differenziata per gruppi di utenti;
6. gestione log di navigazione.

• Apparati di comunicazione:

1. numero e tipologia di cellulari aziendali;
2. centralino analogico;
3. centralino virtuale o PBX;
4. VoIP;
5. Cloud Voice;
6. sistemi di videoconferenza;
7. dispositivi non aziendali;
8. sistemi MDM;
9. policy BYOD.

• Componenti server:

1. numero e tipologia server (fisici, virtuali, marca, modello, anno di installazione);
2. funzione del server (es. Domain Controller, File Server, Console Antivirus, Application Server ecc.);
3. sistema operativo installato;
4. tipologia di manutenzione hardware (tempi di intervento, accessi remoti ecc.);
5. utenze amministrative;
6. gestione log accesso.

• Componenti client:

1. numero e tipologia di client (fissi e portatili);
2. configurazione media delle macchine a livello di sistema operativo e software;
3. frequenza di aggiornamento dei sistemi operativi;
4. configurazione utente (administrator, super user, user);
5. dispositivi collegati e collegabili;
6. tipologia di manutenzione hardware.

• Stampanti, scanner e altri apparati condivisi:

1. numero e tipologia;
2. modalità di gestione;
3. controllo delle stampe;
4. sistemi di holding della stampa;
5. tipologia di manutenzione hardware.

Asset software

• OS & dominio:

1. configurazione MS Active Directory;
2. gestione profili utenti e gruppi;
3. profili di accesso differenziati a risorse di rete;
4. password policy;
5. altre policy di dominio (es. screen saver a tempo);
6. cessazione utenti;
7. modalità patching e aggiornamenti.

• Applicativi gestionali (ERP, CRM, Payroll & HR):

1. produttore;
2. nome e versione;
3. tipologia di installazione (client/server, SaaS ecc.);
4. tipologia di manutenzione;
5. supporto da remoto;
6. profili utente differenziati;
7. processi di creazione e assegnazione profili;
8. password policy;
9. cessazione utenti;
10. modalità patching e aggiornamenti.

Servizi

• Posta elettronica:

1. presenza di un Mail Server (interno o esterno) oppure servizio SaaS o cloud;
2. tipologia di client utilizzato;
3. tipologia caselle (POP, IMAP, Exchange ecc.);
4. indirizzi di funzione o personali;
5. funzioni di antivirus, antispam e content filtering sulla posta;
6. password policy;
7. funzioni di Data Loss Prevention o archiviazione sicura.

• Intranet/Extranet:

1. presenza di applicazioni Intra/Extranet;
2. modalità di accesso;
3. scopo dell’utilizzo;
4. persone che possono utilizzarli.

• Antivirus, Anti malware, Endpoint security:

1. tipo di software;
2. versione;
3. gestione download e installazione aggiornamenti;
4. frequenza degli aggiornamenti;
5. utilizzo di funzioni antispam;
6. gestione scansioni.

• Backup:

1. strumenti per il backup (es. server dedicato, NAS, altri apparati);
2. software utilizzato;
3. notifiche sull’esito;
4. frequenza del backup;
5. tipo di backup (totale, differenziale o incrementale);
6. retention dei dati;
7. oggetto del backup (DB, cartelle dati, configurazioni);
8. luogo conservazione supporti esterni se presenti;
9. test sull’integrità dei supporti;
10. ciclo di riutilizzo dei supporti;
11. test di ripristino;
12. procedure di Disaster Recovery o Business Continuity;
13. controlli e test effettuati;
14. eventuali norme ISO e certificazioni di riferimento.

• Sito Internet:

1. gestione interna o esterna (ISP);
2. owner inserimento contenuti;
3. responsabilità degli aggiornamenti;
4. cookie policy.

• SysLog:

1. gestione e registrazione dei log degli amministratori;
2. forma, tempi e luogo di conservazione;
3. reportistica, autorizzazioni all’accesso.

GDPR e sicurezza dei dati: considerazioni finali

Un’attenta analisi degli asset presenti nell’organizzazione e delle relative misure di sicurezza (presenti e mancanti), unita ad una esaustiva rilevazione dei dati personali trattati (registro dei trattamenti), costituirà una buona base per rilevare il livello di rischio.

È importante ricordare che ai sensi del GDPR vanno presi in considerazione i rischi per i diritti e le libertà delle persone fisiche e non quelli per il business aziendale o la sicurezza in generale delle informazioni, che va comunque considerata in un’ottica di sistema di gestione integrato del quale la data protection fa sicuramente parte.