GDPR

SEI PRONTO PER I NUOVI OBBLIGHI DEL GDPR?
Studiamo insieme un piano di adeguamento alla normativa

Il Regolamento Generale sulla protezione dei dati è entrato in vigore in tutta Europa il 25 maggio 2018. Secondo una recente indagine di Gartner un’azienda su 2 non sarà in regola prima della fine del 2019 in Italia. Eppure le sanzioni previste per chi non si allinea sono salatissime.

CHE COS’E’ IL GDPR

Il GDPR è un insieme di disposizioni che armonizzano la protezione dei dati in tutti gli stati membri dell’UE. Tali disposizioni coinvolgeranno direttamente le aziende sia dentro che fuori l’Europa.
Le imprese e le pubbliche amministrazioni che non si uniformeranno alle nuove norme entro il 25 maggio 2018 si esporranno a sanzioni molto consistenti, che in casi particolari potranno arrivare fino a 20 milioni di euro o al 4% del fatturato annuo.

COSA DEVONO FARE LE AZIENDE

Tre sono le criticità relative alla compliance che le aziende potrebbero trovarsi ad affrontare:

L’obbligo in alcuni casi di nominare un responsabile della protezione dei dati. Il DPO (Data Protection Officer), che potrà essere un dipendente o un consulente esterno, avrà il compito di verificare l’attuazione e l’applicazione della normativa, così come informare e consigliare il Responsabile del trattamento in merito agli obblighi derivanti dal Regolamento.

I responsabili dei dati devono informare le autorità di protezione dei dati riguardo ogni violazione che metta a rischio i diritti degli individui entro 72 ore. In caso di data breach, dovranno essere informate nel più breve tempo possibile anche tutte le persone coinvolte. Secondo le più recenti statistiche il periodo medio in Italia per la segnalazione è oggi di 700 giorni!

È opportuno istituire procedure che sostengano sia il diritto di portabilità dei dati – cioè la possibilità di ogni individuo di trasmettere i propri dati personali a un altro ente, senza impedimenti – sia il diritto all’oblio, cioè la facoltà di interrompere il trattamento dati non più pertinenti o necessari mediante revoca del consenso.

Tutte le attività di elaborazione dei dati dovranno essere catalogate e conservate in registri interni, che potranno essere revisionati per dimostrare la conformità alle disposizioni del regolamento.

COSA POSSIAMO FARE PER AIUTARTI

Grazie a un’esperienza pluriennale nel settore della sicurezza, dei servizi gestiti e della “visione dell’insieme”, siamo in grado di offrire le migliori soluzioni “As a Service”, per dare un riscontro al tema della “Gestione del Rischio” presente nel GDPR, nelle sue varie sfaccettature e non solo. In particolare:

  • AssetDiscovery: la prima cosa da fare è (e non è banale) conoscere l’esatta articolazione e configurazione della propria Infrastruttura informatica, mappando tutti gli asset che la compongono e valutandone il relativo livello di rischio.
  • Compliance Monitoring: un conto è implementare una Policy aziendale di sicurezza; un altro controllarla periodicamente e rilevarne eventuali discrepanze e/o violazioni.
  • Encryption: un passo fondamentale per la protezione dei dati è l’encryption dei dati; tuttavia, trattandosi di una procedura particolarmente delicata, necessita di personale esperto e certificato sulla tecnologia (come il personale Infotech).
  • Web Application Security: inutile ricordare quanti attacchi si verificano sfruttando vulnerabilità delle applicazioni Web; è quindi fondamentale individuarle con controlli automatici periodici prima che possano causare danni gravissimi;
  • Network Security: verifica e rilevamento delle vulnerabilità infrastrutturali; un check sistematico per tenere sotto controllo la rete aziendale;
  • Amministratore di Sistema: raccolta dei Log;
  • Vulnerability Assessment: la verifica di sicurezza di tipo Vulnerability Assessment costituisce il primo livello dei servizi di Sicurezza Proattiva. Essa prevede l’esecuzione di scansioni automatizzate e semi-automatizzate non invasive, condotte avvalendosi di strumenti ad hoc, al fine di rilevare la presenza di vulnerabilità note all’interno dell’infrastruttura informatica oggetto di analisi. Tali scansioni sono successivamente integrate da verifiche manuali eseguite da personale altamente qualificato, volte ad eliminare i falsi positivi e negativi eventualmente introdotti dagli strumenti di analisi automatica;
  • Controllo degli accessi: è necessario creare una policy strutturata per l’accesso ai dati ed è altrettanto importante dimostrare di poter controllare l’accesso degli utenti ai dati stessi, magari anche mediante il tracciamento delle varie attività eseguite sui singoli files (Audit Trail);
  • Consulenza: grazie alla nostra esperienza come System Integrator siamo in grado di effettuare uno studio personalizzato sulle tue esigenze aziendali e seguirti passo a passo nell’implementazione del progetto.

A corollario di ciò che obbligatoriamente prevede il GDPR forniamo i seguenti servizi:

Security Advisory
  • Analysis & Testing
    • Security Audit
    • Penetration Test
      • Vettori di attacco
  • Security Evaluation
    • Scenari tecnologici
  • Risk Management
  • Compliance & Governance
    • ISO/IEC 27001:2013
    • Business Continuity Management
    • Privacy Compliance
    • Gap Analysis e IT Audit
    • Secure SDLC
Corporate Protection
  • Bonifiche ambientali e elettroniche
  • Threat Detection & Analysis
  • Incident Handling
  • Digital Forensics