Il Regolamento Generale per la Protezione dei Dati (GDPR) costituisce l’insieme delle normative europee in materia di sicurezza dei dati e delle informazioni. Le normative riguardano il modo in cui sono gestiti e protetti i dati personali (su formato elettronico o di altro tipo) e, nello specifico, archiviazione, condivisione, utilizzo, autorizzazione, divulgazione e cancellazione degli stessi.
Dall’avvento del GDPR sono nate tantissime aziende di consulenza che offrono servizio chiavi in mano per la gestione della privacy e il rispetto delle norme. La maggior parte sono generatori di “fogli da riempire”, tutta una serie di documenti da compilare e tenere aggiornati per dimostrare la compliance con il GDPR. In realtà, bisogna stare molto attenti, perché il GDPR spazia tra diversi aspetti legati all’azienda e ai dati, da quello legale fino alla sicurezza informatica passando per server, storage e sicurezza fisica dei dati.
Ci sono svariati consulenti che associano il Firewall (apparati di sicurezza informatica perimetrale) al GDPR; banalmente, se hai il Firewall e i “fogli compilati”, la compliance è a posto. Ma non è proprio così semplice. Il GDPR prevede l’obbligo di mettere in atto tutte le policy necessarie per ridurre i rischi e occorre cambiare la cultura aziendale per essere più consapevoli e assumersi maggiori responsabilità. Di fatto, il Firewall non è a prova di hacker e la sicurezza al 100% non esiste; questo accentua l’attenzione sulle misure da porre in essere al fine di garantire la sicurezza nell’ambito del networking.
Il GDPR non detta una serie di adempimenti da rispettare ma parte dal concetto di rischio della sicurezza dei dati personali. Occorre quindi analizzare i dati che sono in azienda e capire come proteggerli e documentare come sono protetti. In pratica, il GDPR si limita a richiedere controlli e infrastrutture adeguate per la vostra attività e siete voi, con l’aiuto di un consulente sulla sicurezza informatica, a capire quale rischio corrono i vostri dati, di che entità sono e che livello di protezione adottare.
Quindi che cosa si deve fare per la compliance? Ci sono alcune linee guida che possono venire in aiuto, come ad esempio:
- Protezione della connessione Internet attraverso firewall
- Protezione di tutti i dispositivi e dei software utilizzati in ambito aziendale (PC, tablet, telefoni)
- Controllo dell’accesso ai vostri dati e servizi di rete quali computer e server
- Protezione da virus e altri malware (hardware o software)
- Aggiornamento costante dei dispositivi e del software come i sistemi operativi o il firmware degli apparati
- Se si elaborano dati nel cloud, è necessario assicurarsi che i fornitori di servizi cloud mantengano la conformità appropriata.
Per adeguarsi alle normative è necessario conoscere esattamente la realtà aziendale. Tutte le prescrizioni devono essere documentate e attuate. In particolare, con il controllo degli accessi e utilizzando i metodi di protezione più efficaci garantiti dall’hardware e dal software.
Avere un Firewall non garantisce la conformità al GDPR ma sicuramente è uno dei tasselli. Ma non basta comprare una scatola con scritto Firewall: deve essere configurata per la protezione dei dati, dei dispositivi, dei malware, evitare accessi indesiderati e filtrare le connessioni in uscita e entrata verso internet. Inoltre, gli apparati devono essere aggiornati e monitorati altrimenti si resta conformi sulla carta ma non nella realtà; si rischiano multe in caso di ispezione e perdita reali di soldi se abbiamo delle vulnerabilità e qualcuno le scopre.
Un Firewall non opportunamente configurato è inutile al fine di garantire la privacy e la necessaria sicurezza, e ogni azienda deve effettuare la configurazione più opportuna, considerando la realtà e le esigenze aziendali. Altrettanto importante è documentare scrupolosamente tutte le procedure di sicurezza messe in atto attraverso l’analisi preventiva e la successiva programmazione dei sistemi attraverso l’ausilio di un tecnico.
Se non hai un Firewall o ne hai uno e ti limiti a lanciare il programma, chiamaci subito e ti invieremo un nostro consulente per analizzare lo stato della tua azienda