GDPR

COSA DEVONO FARE LE AZIENDE

Tre sono le criticità relative alla compliance che le aziende potrebbero trovarsi ad affrontare:

L’obbligo in alcuni casi di nominare un responsabile della protezione dei dati. Il DPO (Data Protection Officer), che potrà essere un dipendente o un consulente esterno, avrà il compito di verificare l’attuazione e l’applicazione della normativa, così come informare e consigliare il Responsabile del trattamento in merito agli obblighi derivanti dal Regolamento.

I responsabili dei dati devono informare le autorità di protezione dei dati riguardo ogni violazione che metta a rischio i diritti degli individui entro 72 ore. In caso di data breach, dovranno essere informate nel più breve tempo possibile anche tutte le persone coinvolte. Secondo le più recenti statistiche il periodo medio in Italia per la segnalazione è oggi di 700 giorni!

È opportuno istituire procedure che sostengano sia il diritto di portabilità dei dati – cioè la possibilità di ogni individuo di trasmettere i propri dati personali a un altro ente, senza impedimenti – sia il diritto all’oblio, cioè la facoltà di interrompere il trattamento dati non più pertinenti o necessari mediante revoca del consenso.

COSA POSSIAMO FARE PER AIUTARTI

Grazie a un’esperienza pluriennale nel settore della sicurezza, dei servizi gestiti e della “visione dell’insieme”, siamo in grado di offrire le migliori soluzioni “As a Service”, per dare un riscontro al tema della “Gestione del Rischio” presente nel GDPR, nelle sue varie sfaccettature e non solo. In particolare:

• AssetDiscovery: la prima cosa da fare è (e non è banale) conoscere l’esatta articolazione e configurazione della propria Infrastruttura informatica, mappando tutti gli asset che la compongono e valutandone il relativo livello di rischio.
• Compliance Monitoring: un conto è implementare una Policy aziendale di sicurezza; un altro controllarla periodicamente e rilevarne eventuali discrepanze e/o violazioni.
• Encryption: un passo fondamentale per la protezione dei dati è l’encryption dei dati; tuttavia, trattandosi di una procedura particolarmente delicata, necessita di personale esperto e certificato sulla tecnologia (come il personale Infotech).
• Web Application Security: inutile ricordare quanti attacchi si verificano sfruttando vulnerabilità delle applicazioni Web; è quindi fondamentale individuarle con controlli automatici periodici prima che possano causare danni gravissimi;
• Network Security: verifica e rilevamento delle vulnerabilità infrastrutturali; un check sistematico per tenere sotto controllo la rete aziendale;
• Amministratore di Sistema: raccolta dei Log;
• Vulnerability Assessment: la verifica di sicurezza di tipo Vulnerability Assessment costituisce il primo livello dei servizi di Sicurezza Proattiva. Essa prevede l’esecuzione di scansioni automatizzate e semi-automatizzate non invasive, condotte avvalendosi di strumenti ad hoc, al fine di rilevare la presenza di vulnerabilità note all’interno dell’infrastruttura informatica oggetto di analisi. Tali scansioni sono successivamente integrate da verifiche manuali eseguite da personale altamente qualificato, volte ad eliminare i falsi positivi e negativi eventualmente introdotti dagli strumenti di analisi automatica;
• Controllo degli accessi: è necessario creare una policy strutturata per l’accesso ai dati ed è altrettanto importante dimostrare di poter controllare l’accesso degli utenti ai dati stessi, magari anche mediante il tracciamento delle varie attività eseguite sui singoli files (Audit Trail);
• Consulenza: grazie alla nostra esperienza come System Integrator siamo in grado di effettuare uno studio personalizzato sulle tue esigenze aziendali e seguirti passo a passo nell’implementazione del progetto.