Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

GUIDA ALLA NORMATIVA

GDPR e sicurezza del trattamento, quali misure tecniche e organizzative per il titolare

Per raggiungere la compliance in merito a GDPR e sicurezza del trattamento, il titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate a garantire la sicurezza dei dati personali, così come richiesto dagli articoli 25 e 32. Ecco le indicazioni pratiche di adeguamento tecnologico

31 Ott 2018
P

Aldo Pedico

Consulente per il Regolamento (UE) 2016/679 (RGDP o GDPR) presso Teleion


Il Regolamento UE 2016/679 (GDPR) richiede la modifica delle procedure attualmente adottate dalle imprese nel trattamento dei dati personali.

In particolare, gli articoli 25 e 32 del Regolamento stabiliscono le modalità con le quali i titolari del trattamento devono:

  • adempiere ai propri obblighi nei confronti degli interessati, introducendo anche nuovi obblighi;
  • adottare incombenti organizzativi, introducendone anche di nuovi.

L’adeguamento agli articoli suddetti impone di intervenire su aspetti tecnici e organizzativi.

In particolare, gli interventi richiedono:

  1. competenze nel settore delle tecnologie informatiche;
  2. uso di prodotti per la protezione e classificazione dei dati;
  3. verifica statica e dinamica delle vulnerabilità del software;
  4. verifica delle compliance del software libero;
  5. revisione delle procedure organizzative.

Le competenze sono necessarie per dare una risposta concreta ai requisiti richiesti dalle norme del Regolamento Generale sulla Protezione dei Dati ed in particolare ai seguenti aspetti:

  1. protezione dei dati fin dalla progettazione (art. 25);
  2. data loss e leak prevention (DLP) sia per le funzioni sia per le modalità (artt. 25 e 32);
  3. application security (art. 25);
  4. sicurezza del trattamento dei dati (art. 32 commi 1 e 2).

GDPR e sicurezza del trattamento: attività per l’adeguamento

Per facilitare le interpretazioni di ciò che la legge richiede, di seguito sono rappresentati, in uno schema su due colonne, a sinistra gli articoli di legge, a destra la traduzione in linguaggio informatico.

Schema di traduzione della legge in linguaggio informatico.

Volendo descrivere quanto rappresentato nella figura precedente, possiamo iniziare a delineare un percorso di attività per affrontare un progetto organico.

Valutare l’adeguatezza in fase di progettazione (art. 25)

Occorre eseguire una verifica:

  1. degli strumenti di sviluppo e di collaudo del software;
  2. dei sistemi di protezione, cifratura e mascheratura dei dati.

Sovente le attività di collaudo del software utilizzano dati copiati dall’ambiente di esercizio della produzione senza che questi siano stati oggetto di mascheratura per differenziare l’interessato.

Determinare i mezzi del trattamento in fase di sviluppo e di esercizio (art. 25 e 32)

I mezzi del trattamento sono i programmi software che devono essere sviluppati secondo criteri di qualità; questi si identificano con:

  1. istruzioni non vulnerabili;
  2. procedure per i test logici e fisici sia dell’uso dei dati sia delle debolezze del software (ad esempio: non alterazione dei dati, cancellazione involontaria, ecc.).

Per verificare e valutare regolarmente l’efficacia delle misure tecniche ed organizzative sia nel ciclo di vita di sviluppo del software sia durante il regolare svolgimento in un ambiente di esercizio, sarebbe opportuno utilizzare strumenti che permettano:

  1. analisi statica (Static Application Security Testing);
  2. test dinamico (Dynamic Application Security Testing);
  3. test PT (Penetration Testing);
  4. test interattivo (Interactive Application Security Testing);
  • la riduzione o annullamento della vulnerabilità delle istruzioni software in fase di esercizio con strumenti di:
  1. protezione runtime (Runtime Application Self Protection);
  2. protezione del Web (Web Application Firewall);
  • il controllo degli accessi e dei profili delle utenze con strumenti di:
  1. identificazione e controllo degli accessi;
  2. raccolta e classificazione dei dati (impostazione predefinita);
  • l’analisi dei log e di monitoraggio.

Acquisire strumenti per la sicurezza dei dati

Tali strumenti permettono di mettere in pratica la pseudonimizzazione, la minimizzazione e la cifratura dei dati (art. 32);

Gestire la disponibilità del dato (art. 32)

Procedure e programmi di backup e restore; strumenti di analisi dei log e di monitoraggio di gestione dei dati e delle reti e della corretta affidabilità dei programmi (art. 32).

Gestire la Resilienza dei sistemi software, hardware e servizi di trattamento (art. 32)

Procedure e programmi di backup e restore, strumenti di analisi dei log e di monitoraggio dei sistemi di ripartenza o recovery.

Analisi dei processi DLP sia per le funzioni logiche sia per le modalità

A questo punto, è necessario svolgere l’attività di analisi per alcune famiglie di rischi cui i dati possono essere soggetti.

Dal comma 2 dell’articolo 32 del regolamento:

Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione (loss), dalla perdita (loss), dalla modifica (loss), dalla divulgazione (leak; estrusione) non autorizzata o dall’accesso (leak; intrusione), in modo accidentale o illegale, a dati personali trasmessi (in movimento), conservati (a riposo) o comunque trattati (in uso)

è possibile derivare i punti focali che la legge stabilisce ai fini di un’analisi attenta dei rischi; in particolare si possono stabilire gli aspetti tecnici da prendere in considerazione durante uno specifico trattamento.

Nel testo sono stati evidenziati i punti focali e accanto ad essi, fra parentesi, la correlazione con l’insieme delle tecniche per la gestione della sicurezza informatica dei dati; tale tecnica è definita DLP (Data Loss Prevention).

Il DLP, pertanto, identifica una serie di attività, tecniche e tipologie di prodotti che si traducono in trattamenti necessari a tutelare il dato e ad assicurarne l’uso corretto.

Le principali attività appartenenti al processo di gestione della sicurezza si possono ricondurre a:

  1. rilevamento perdita di informazioni e prevenzione (ILDP);
  2. prevenzione perdita di informazioni (ILP);
  3. monitoraggio dei contenuti e filtraggio (CMF);
  4. protezione delle informazioni e controllo (IPC);
  5. sistema di prevenzione di estrusione (EPS);
  6. sistema di prevenzione delle intrusioni (IPS).

Il rilevamento è un’attività, svolta attraverso l’uso di prodotti, che permette di individuare anomalie in tutto il sistema informatico; tali evidenze si riferiscono alla continuità del servizio (mancanza di corrente elettrica, guasti hardware, interruzioni della rete, mancanza di raffrescamento delle sale tecnologiche, ecc.), alle azioni intrusive o estrusive non autorizzate, malfunzionamenti software o trattamenti, azioni non corrette sui dati (in uso o a riposo).

La prevenzione (punti 2, 5 e 6) ha lo scopo di assicurare che non siano trasmesse (in movimento) informazioni personali o aziendali senza autorizzazione. Inoltre, rientrano al suo interno anche le tecnologie per il controllo del contenuto dei messaggi compresi gli allegati, allo scopo di bloccare anche l’intrusione di virus.

Quindi è possibile semplificare il suddetto elenco in questo modo:

Processo di Monitoraggio

Include:

  • le attività di analisi delle segnalazioni che provengono dal rilevamento;
  • i sistemi di prevenzione di intrusione, di estrusione e della continuità del servizio;
  • i sistemi di protezione ovvero di gestione della sicurezza degli accessi perimetrali e interni e di trattamento dei dati.

Tra i prodotti software per il DLP è importante considerare quei prodotti che classificano i dati in base alle regole di business; tale classificazione impone una profilazione degli accessi in funzione del grado di riservatezza e della criticità, impedendo accessi non autorizzati e coerenza con le politiche di Business Continuity e Disaster Recovery (salvataggio e ripristino dei dati).

Ciclo di vita del trattamento dei dati

Se in precedenza è stato descritto un percorso di attività per affrontare un progetto organico, adesso è necessario tradurre in uno schema i punti caratteristici degli articoli di legge, descrivendo un iter attraverso cui una pratica deve passare per essere considerata conforme.

La finalità di questa pratica è di fatto un ciclo di vita, opportunamente organizzato in fasi temporali, che esaurientemente facilita l’adeguamento al Regolamento del sistema di gestione dei dati all’interno di una organizzazione.

Tale ciclo racchiude l’analisi e la definizione di processi, azioni e modalità del trattamento dei dati.

I dati devono essere oggetto dei seguenti processi:

  1. classificazione;
  2. protezione;
  3. monitoraggio.

In dati personali possono subire in maniera accidentale o illegale le seguenti azioni:

  1. distruzione (loss);
  2. perdita (loss);
  3. modifica (loss);
  4. divulgazione (leak; estrusione) non autorizzata verso l’esterno dell’azienda;
  5. accesso (leak; intrusione) non autorizzata;

durante le seguenti modalità:

  1. trasmissione (in movimento);
  2. conservazione (a riposo);
  3. trattamento (in uso).

Processi e modalità di trattamento dei dati

In sintesi, di seguito si forniscono due elenchi riassuntivi dei processi e delle modalità.

Elenco dei macro processi DLP

  1. definizione delle policy aziendali per il rischio Loss (Perdita) e Leak (Furto) partendo dalla progettazione iniziale;
  2. valutazione degli aspetti organizzativi (ruoli, personale, mansioni);
  3. identificazione dei dati aziendali all’interno di storage di rete (SAN/NAS, file server) database, e endpoint (workstation, laptop);
  4. classificazione dei dati;
  5. definizione dei requisiti di memorizzazione e salvataggio (backup, ecc.) di tutti i dati;
  6. prevenzione perdita di informazioni (ILP);
  7. protezione delle informazioni e controllo (IPC);
  8. change management del software;
  9. controllo e monitoraggio dei contenuti e Filtraggio (CMF);
  10. rilevamento perdita di informazioni e prevenzione (ILDP);
  11. sistema di prevenzione delle estrusioni (EPS) e intrusioni (IPS);
  12. rapporti sugli incidenti.

Elenco dei tipi di sistemi DLP

  1. network DLP (dati in movimento);
  2. endpoint DLP (dati in uso);
  3. identificazione dei dati;
  4. rilevamento fuga di dati (Leak);
  5. dati a riposo;
  6. dati in uso;
  7. dati in movimento.

GDPR e sicurezza del trattamento: valutare l’adeguatezza degli strumenti e dei sistemi

Al fine di ottenere un quadro complessivo dello stato in cui si trova l’intero sistema informatico, è opportuno compilare una tabella, simile a quella suggerita nell’immagine sottostante, allo scopo di verificare l’esistenza di lacune all’interno dell’organizzazione ovvero se non sono presenti strumenti preposti a soddisfare lo specifico requisito richiesto dall’articolo di legge.

Uno schema di tabella utile per verificare l’esistenza di lacune all’interno dell’organizzazione in merito alla sicurezza del trattamento dati.

A scopo informativo, si riportano di seguito le indicazioni del Regolamento di esecuzione (UE) 2018/151 della Commissione del 30 gennaio 2018 per fornire una traccia utilizzabile ai fini del calcolo del rischio:

keyboard_arrow_right
keyboard_arrow_left
 Dal comma 1: Elementi per la sicurezza delle reti e dei sistemi informativi e del loro ambiente fisico
mappatura dei sistemi informativi e la definizione di una serie di politiche adeguate in materia di gestione della sicurezza informatica, comprese l’analisi dei rischi, le risorse umane, la sicurezza delle operazioni, l’architettura di sicurezza, la gestione del ciclo di vita dei dati e dei sistemi protetti e, se del caso, la crittografia e la sua gestione;
disponibilità di una serie di misure volte a proteggere le reti e i sistemi informativi dei fornitori di servizi digitali dai danni attraverso il ricorso a un approccio globale ai pericoli basato sui rischi, che affronti ad esempio gli errori di sistema, gli errori umani, gli atti dolosi o i fenomeni naturali;
definizione e mantenimento di politiche adeguate al fine di assicurare l’accessibilità e, se del caso, la tracciabilità delle forniture critiche utilizzate nella prestazione dei servizi;
disponibilità di una serie di misure volte ad assicurare che l’accesso fisico e logico alle reti e ai sistemi informativi, ivi inclusa la sicurezza amministrativa di tali reti e sistemi, sia autorizzato e limitato sulla base di esigenze aziendali e di sicurezza.
Dal comma 2: Per quanto riguarda il trattamento degli incidenti, le misure adottate dal fornitore di servizi digitali comprendono
il mantenimento e la prova di processi e procedure di individuazione per assicurare l’individuazione tempestiva e idonea degli eventi anomali;
i processi e le politiche per la segnalazione degli incidenti e l’individuazione delle debolezze e vulnerabilità nei propri sistemi informativi;
una risposta conforme alle procedure stabilite e la comunicazione dei risultati ottenuti con la misura adottata;
la valutazione della gravità dell’incidente, la documentazione delle conoscenze acquisite grazie all’analisi dell’incidente e la raccolta di informazioni pertinenti da utilizzare eventualmente come prova e per sostenere un processo di costante miglioramento.
Dal comma 3: La gestione della continuità operativa è la capacità di un’organizzazione di mantenere o, se del caso, ripristinare l’erogazione di servizi a livelli predefiniti accettabili in seguito a un incidente perturbatore e comprende
la definizione e l’uso di piani di emergenza basati sull’analisi dell’impatto sulle attività aziendali volti a garantire la continuità dei servizi erogati dai fornitori di servizi digitali e valutati e testati regolarmente, ad esempio mediante esercitazioni;
la capacità di ripristino di emergenza, valutata e testata regolarmente, ad esempio mediante esercitazioni.
Dal comma 4: Il monitoraggio, l’audit e i test comprendono la definizione e il mantenimento di politiche relative
alla conduzione di una sequenza pianificata di osservazioni o misurazioni per valutare se le reti e i sistemi informativi funzionano come previsto;
all’ispezione e alla verifica per controllare se una norma o una serie di orientamenti sono applicati, se le registrazioni sono accurate e se gli obiettivi di efficienza ed efficacia sono raggiunti;
a un processo finalizzato a rivelare i difetti dei meccanismi di sicurezza di una rete o di un sistema informativo che proteggono i dati e mantengono la funzionalità prevista. Tale processo comprende i processi tecnici e il personale coinvolto nel flusso di operazioni.
Dal comma 5: I fornitori di servizi digitali provvedono a rendere disponibile la documentazione adeguata per consentire all’autorità competente di verificare la conformità con gli elementi di sicurezza di cui ai paragrafi 1, 2, 3, 4 e 5

@RIPRODUZIONE RISERVATA

Articolo 1 di 5