GDPR e aziende: cosa fare per essere compliant

GDPR compliant

La tua azienda è compliant al GDPR? Ecco cosa fare per essere conformi ed evitare pesanti sanzioni.

Il Regolamento UE 679/2016, noto come GDPR (General Data Protection Regulation), è entrato in vigore in tutta l’Unione Europea il 25 maggio 2018. Questo nuovo Regolamento ha apportato sostanziali modifiche alla disciplina del trattamento e della libera circolazione dei dati personali.

Dopo la sua introduzione, enti, aziende e organizzazioni che trattano i dati personali delle persone residenti nell’Unione Europea sono stati chiamati a tutelare la privacy in modo più stringente e regolato.

Chiunque non sia compliant al GPDR rischia sanzioni pecuniarie fino a 20 milioni di euro o al 4% del fatturato globale annuale, se superiore.

Proprio per questo non bisogna sottovalutare o trascurare l’adeguamento al GDPR, soprattutto dopo il ricorso massivo allo smart working da parte delle aziende.

È quindi importante capire come il regolamento si applichi alla tutela della privacy nel lavoro da remoto, considerando anche i rischi per la sicurezza informatica. 

Le novità introdotte dal GDPR

Gli aspetti più importanti di questo regolamento definiscono in modo più puntuale e specifico l’area dei diritti e dei doveri sia delle organizzazioni interessate che degli utenti.

Responsabilizzazione delle aziende

Il titolare del trattamento deve assicurare il rispetto dei principi del GDPR, mediante comportamenti dimostrabili. Non deve quindi solamente strutturare la propria organizzazione in modo da garantire un livello di sicurezza adeguato sul piano normativo, ma anche giustificare le scelte compiute.

Nuovi diritti

Agli interessati del trattamento vengono riconosciuti diversi diritti, quali:

  • portabilità dei dati. L’utente può ottenere dal titolare del trattamento i dati personali che lo riguardano e trasmetterli ad un altro titolare del trattamento, come ad esempio un’altra azienda
  • diritto alla cancellazione (o all’oblio)
  • possibilità di proporre reclami all’autorità di controllo.

Maggiore importanza alla privacy

Il GDPR prevede l’implementazione di misure atte a proteggere i dati personali fin dalla fase di progettazione (by design) di un servizio, di un prodotto o di un processo. In questo modo, le regole e i principi di protezione dei dati vengono inseriti già nel momento della sua creazione.

La protezione per impostazione predefinita (privacy by default), invece, implica l’attuazione di interventi finalizzati a garantire soltanto il trattamento di quei dati personali necessari per la specifica finalità perseguita.

Responsabile della Protezione dei Dati (DPO)

Un’innovazione fondamentale del nuovo GDPR riguarda la designazione di un DPO (Data Protection Officer). Le sue funzioni vanno dalla promozione della cultura della tutela dei dati personali alla sorveglianza dell’applicazione del GDPR, fino alla gestione dei rapporti con l’Autorità Garante.

Il DPO rappresenta una sorta di controllore, il cui compito è verificare la corretta applicazione del GDPR. 

Questa figura è obbligatoria nella PA e negli enti pubblici, ad eccezione delle autorità giudiziarie, nelle aziende con più di 250 dipendenti o che trattano dati sensibili e su larga scala.

Registro di trattamento

Le organizzazioni con più di 250 dipendenti o che effettuano trattamenti a rischio, sono inoltre obbligate a tenere un registro delle operazioni di trattamento.

Notifica tempestiva di violazione

È introdotto l’obbligo di comunicazione all’autorità di controllo delle violazioni dei dati personali entro 72 h dal momento in cui il titolare ne ha avuto conoscenza.

In caso di data breach (ovvero di un incidente che abbia esposto informazioni personali o confidenziali) il titolare del trattamento deve poter dimostrare al giudice di aver assunto preventivamente tutte le precauzioni del caso.

Codici di condotta

Il GDPR fornisce alcuni utili strumenti per aiutare le aziende ad essere compliant e attestare l’adeguatezza delle misure di sicurezza adottate.

Le sanzioni previste

Per chi non dovesse rispettare il GDPR, sono previste pesanti sanzioni. L’importo, da valutare in funzione di numerosi elementi, può infatti toccare anche la cifra di:

  • 10 milioni di euro, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, per violazioni minori
  • 20 milioni di euro, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, per violazioni legate al rispetto dei diritti fondamentali.

Oltre a questo, i singoli Stati possono definire ulteriori sanzioni. Le autorità di controllo mantengono invece poteri di ammonimento, revoca di certificazioni, ingiunzioni e limitazione o divieto di trattamento, con inevitabili ripercussioni sul servizio erogato.

Come essere compliant al GDPR

A fronte di questa normativa, le aziende sono obbligate a introdurre una serie di misure, soprattutto per non incorrere nelle sanzioni previste dal nuovo regolamento.

Protezione dei dati

Le aziende devono saper dimostrare in modo documentato di aver fatto tutto ciò che è nelle loro possibilità per proteggere i dati personali acquisiti. Sono inoltre chiamate a preservare i dati personali dalla perdita o dalla modifica fortuita o illecita, dalla distruzione e dalle divulgazioni o dagli accessi non autorizzati.

Per questo è importante monitorare regolarmente il sistema delle protezioni, in modo da individuare eventuali violazioni (interne o esterne) ed effettuare tempestive comunicazioni alle autorità e ai soggetti interessati.

Utilizzo dei dati

Tutte le organizzazioni devono utilizzare i dati personali in modo lecito, corretto e trasparente, dimostrando altresì di aver ricevuto un consenso esplicito per tutti i trattamenti effettuati.

È anche necessario disporre di misure di data governance che includano la continua valutazione del rischio e la predisposizione di documentazione dettagliata.

Conoscenza dei dati

L’azienda deve avere infine una chiara conoscenza di: quali siano i trattamenti effettuati e le categorie di dati gestiti, come vengono trattati e protetti i dati personali, dove siano localizzati e chi è autorizzato a trattarli.

GDPR e aziende
Sai se la tua azienda è GDPR compliant? Contattaci a info@assitech.net per saperne di più.

Attacchi di phishing: come riconoscere le mail pericolose in pochi passi

mail phishing

Gli attacchi di phishing, diventati molto popolari dagli anni ’90, sfruttano delle mail pericolose e siti web creati ad-hoc per indurre le vittime a rivelare informazioni riservate o a scaricare malware sui propri dispositivi.

L’obiettivo è quello di indurre la vittima a credere che si tratti di un messaggio autentico e di convincerla a cliccare un link o scaricare un allegato, che di solito contiene malware o ransomware.

Gli attacchi di phishing stanno diventando sempre più sofisticati e difficili da riconoscere.

Anche se si utilizza il software di filtraggio della posta elettronica più avanzato disponibile sul mercato, non vuol dire che l’azienda sarà protetta al 100%.

Come identificare una mail di phishing

Uno dei motivi principali per cui gli attacchi di phishing sono in costante aumento è la scarsa informazione: molte persone non sanno cosa siano o come difendersi. Pensa cosa accadrebbe se anche solo un dipendente scaricasse un allegato infetto: potrebbe causare danni irreparabili all’intera organizzazione. È quindi fondamentale che ciascun dipendente sappia come riconoscere tali minacce e come reagire.

Fortunatamente, la maggior parte delle mail pericolose non sono mai perfette al 100%. Se si presta attenzione e si sa dove guardare, è possibile riconoscerle e smascherarle con maggiore facilità.

Il mittente è un indirizzo mail pubblico

Esaminare l’indirizzo del mittente aiuta a capire se la persona che ti ha inviato l’e-mail è veramente colei che afferma di essere. Spesso i cybercriminali utilizzano un indirizzo di posta elettronica pubblico, come @gmail.com.

Se ricevi un’e-mail proveniente dalla tua banca o da un collega, è poco probabile che il messaggio, per essere autentico, sia stato inviato da un indirizzo diverso da quello solito della tua banca o quello aziendale. Prima di aprirla o cliccare su qualsiasi link, contatta direttamente il destinatario e chiedi informazioni sull’e-mail ricevuta.

Fai attenzione anche ai destinatari del messaggio: se la stessa email è inviata a decine di indirizzi o gli indirizzi sono mascherati, in entrambi i casi è molto probabile che si tratti di un messaggio pericoloso.

Allegati strani

Se ricevi un’e-mail inaspettata o da un mittente conosciuto e il messaggio ti esorta ad aprire l’allegato, non farlo. Questo può infatti contenere dei malware che infetteranno il computer, o peggio ancora, un ransomware che bloccherà il tuo computer e i tuoi dati, prendendoli in ostaggio e sbloccabili mediante un sostanzioso pagamento.

Senso di urgenza

Molto spesso le e-mail di phishing mirano a creare un falso senso di pericolo o di urgenza che spingono l’ignara vittima a fare ciò che dicono. Per esempio, fanno credere alla vittima che c’è stato un tentativo di accesso al profilo di home-banking, e la invitano ad accedere subito al profilo personale cliccando sul link fornito dal messaggio. Questo link non rimanda ovviamente al sito autentico, ma ad uno creato ad-hoc per la truffa.

Se chi scrive mette fretta per fare qualcosa oppure ci minaccia (se non fai subito questo ti succede questo), se invita a cliccare per scoprire un segreto o se promette un vantaggio incredibile (un premio, un pagamento, della merce gratuita), allora è quasi certo che si tratta di un messaggio pericoloso.

Errori di ortografia

Per smascherare un potenziale link pericolo è sufficiente passare il mouse sopra il link, senza cliccarlo, per visualizzare il vero URL nascosto. Spesso, le truffe replicano siti web famosi. Tuttavia, non potendo duplicare il dominio, cercano di crearne uno il più simile possibile all’originale. Se hai ricevuto un’email che ti invita a cliccare un link che cita amason.it o intessasanpaolo.it, c’è qualcosa che non va.

Quindi fai attenzione a cosa clicchi.

Messaggio sgrammaticato

Spesso un’e-mail di phishing si può individuare dal modo con cui è scritta. Lo stile potrebbe essere diverso da quello solito del mittente, oppure il messaggio potrebbe contenere errori ortografici e grammaticali.

Cosa fare se riceviamo una mail pericolosa

Ricorda che non basta leggere una email pericolosa per rischiare qualcosa. I rischi iniziano solamente se scarichiamo l’allegato o clicchiamo sul link. Quindi è possibile aprire tranquillamente l’email e analizzarla accuratamente.

Nel caso in cui fosse pericolosa, non dovresti semplicemente cancellarla: è utile anche segnalarla come spam all’interno della casella di posta elettronica. Infatti, ogni segnalazione da parte dell’utente allena gli algoritmi antispam dei gestori di posta elettronica.

Pertanto, più volte si segnalano le email pericolose e più è probabile che man mano il filtro le riconosca da solo e le blocchi in modo automatico.

Hai bisogno di un aiuto professionale per aumentare la sicurezza dei tuoi device? Contatta Assitech.Net, i tuoi sistemi non saranno più un problema.

Sicurezza informatica in azienda: alcuni consigli da seguire

sicurezza informatica aziendale

Gli attacchi alla sicurezza informatica in azienda stanno diventando sempre più comuni. Non importa quanto grande o piccola sia la tua attività, è necessario fare tutto il possibile per tenerla al sicuro.

Devi proteggere i tuoi dati, la tua rete, le informazioni relative ai tuoi clienti e la tua reputazione.

Ecco alcuni utili suggerimenti, semplici e pratici, che puoi intraprendere per proteggere la tua azienda dai cybercriminali.

Sicurezza informatica in azienda: come tutelarla

Installare gli aggiornamenti software

Mantenere aggiornati i dispositivi e i software è una delle cose più efficaci che puoi fare per proteggere il tuo sistema.

Assicurati quindi che:

  • i dispositivi siano ancora supportati dal produttore e ricevano aggiornamenti software (patch) per i loro sistemi operativi
  • vengano installate tutte le patch sui sistemi operativi non appena sono disponibili.

Le patch non riguardano solo l’aggiunta di nuove funzionalità: spesso risolvono anche le vulnerabilità della sicurezza. I cybercriminali potrebbero sfruttare queste vulnerabilità per accedere al tuo sistema e l’installazione di patch che le risolva è un modo semplice per evitare che ciò accada.

Cosa fare

Imposta le tue preferenze di sistema per installare automaticamente gli aggiornamenti, se possibile.

Assicurati che tutti i dispositivi mobile, i server o i computer che gestisci per la tua azienda abbiano dei sistemi operativi che siano ancora supportati.

Se il personale utilizza i propri dispositivi per il lavoro (dispositivi BYOD), assicurati che mantengano aggiornati anche i loro dispositivi.

Proteggere i tuoi dispositivi

Abilita il software anti-malware su qualsiasi dispositivo che acceda ai dati o ai sistemi aziendali. Questo impedisce il download di software dannosi, come virus o ransomware.

Cosa fare

Usa le funzioni di sicurezza che vengono fornite di default con il sistema operativo del tuo computer. Ciò include Windows Defender per dispositivi Windows o Gatekeeper per OSX. Altrimenti, usa un software in grado di rilevare il malware e che viene regolarmente aggiornato regolarmente.

I dispositivi del personale devono utilizzare solo app scaricate dall’app store del provider di telefonia, come Apple Store o Google Play Store.

Implementare l’autenticazione a due fattori (2FA)

Come parte della tua strategia aziendale, devi pensare a come proteggere sia i tuoi sistemi che gli account dei tuoi clienti. L’implementazione della 2FA è un modo per farlo. Questo significa che chiunque accede al tuo sistema dovrà fornire qualcos’altro oltre al proprio nome utente e password, in modo da verificare la sua corretta identità.

Puoi mitigare il riutilizzo delle credenziali, sofisticati attacchi di phishing e molti altri rischi per la sicurezza informatica utilizzando 2FA.

Cosa fare

Abilita la 2FA sui tuoi sistemi chiave, come:

  • servizi di posta elettronica
  • servizi di aggregazione cloud, ad esempio Office 365
  • archiviazione dei documenti
  • servizi bancari
  • account di social media
  • servizi di contabilità e qualsiasi sistema che utilizzi per memorizzare dei dati personali o finanziari.

Considera di non utilizzare sistemi che non supportano l’uso di 2FA. Dovrebbe essere un requisito per qualsiasi nuovo sistema utilizzato dalla tua azienda. Rendilo obbligatorio, non facoltativo.

Eseguire il backup dei dati

Se gestisci un’azienda, sai quanto è importante proteggere i tuoi dati. Se vengono in qualche modo compromessi, ad esempio se vengono persi, trapelati o rubati, devi assicurarti di avere un backup o una copia disponibile, in modo da poterli ripristinare.

Cosa fare

Imposta i tuoi backup in modo che avvengano automaticamente: la frequenza con cui li esegui dipende dall’importanza dei tuoi dati.

Archivia i tuoi backup in un luogo sicuro e facile da raggiungere, come il cloud. Idealmente, è necessario archiviare i backup anche offline, attraverso una memory stick o un disco rigido esterno.

Raccogliere solo i dati strettamente necessari

Il tuo livello di rischio si basa sulla quantità di dati che hai: più ne raccogli, più sono preziosi per un utente malintenzionato. Ciò significa che corri un rischio maggiore se vieni preso di mira da cybercriminali: raccogliendo solo ciò di cui hai bisogno, riduci il rischio.

Cosa fare

Assicurati di crittografare tutti i dati che raccogli. Questo include mentre sono:

  • in transito — ad esempio, tramite un modulo HTTPS
  • a riposo — quando è archiviato in un database.

Consigli aggiuntivi

Il CSIRT (Computer Security Incident Response Team), ovvero la massima agenzia governativa italiana in tema di cybersecurity, sta rilevando un sensibile aumento degli attacchi informatici e dei tentativi di intrusione a tutti i sistemi esposti su internet su tutto il territorio italiano.

Ferme restando le misure messe in atto per bloccare a monte le eventuali minacce, è opportuno seguire alcune indicazioni:

  1. Presta sempre la massima attenzione a mail sospette ricevute sulla tua casella, soprattutto se contengono allegati (Es formati: .zip .docx – word, .pdf – con dei link all’interno)
  2. Evitare possibilmente l’apertura di Link contenuti all’interno di Mail sospette (riconoscibili principalmente dal Corpo e dal Mittente)
  3. Utilizzare password complesse (Da 12 a 14 caratteri con una maiuscola, una minuscola, un numero, un carattere speciale, non ripetuti e diversi da nome, cognome ed altri dati personali)
  4. In caso di apertura accidentale di un’e-mail sospetta, procedi tempestivamente al cambio delle credenziali di accesso alla Posta Elettronica Aziendale
  5. Da Pc aziendale sarebbe opportuno evitare l’accesso alle caselle di Posta Elettronica Personali, o a qualsiasi casella di posta elettronica che non sia quella aziendale
  6. Evita di introdurre dispositivi rimovibili (Es: Chiavette USB, Smartphone etc..) all’interno dei client aziendali
  7. Evita il salvataggio delle credenziali sul Browser
  8. Evita l’utilizzo di Browser ormai obsoleti e non aggiornati per la navigazione. (Fanno eccezione portali Regionali/Statali/Agenzia Entrate che a volte richiedono questo tipo di browser).

Hai bisogno di un aiuto professionale per aumentare la sicurezza informatica in azienda? Contatta Assitech.Net, i tuoi sistemi non saranno più un problema.