it

𝙈𝙚𝙩𝙩𝙞 𝙞𝙣 𝙨𝙞𝙘𝙪𝙧𝙚𝙯𝙯𝙖 𝙞 𝙩𝙪𝙤𝙞 𝙙𝙖𝙩𝙞, 𝙤𝙫𝙪𝙣𝙦𝙪𝙚 𝙚𝙨𝙨𝙞 𝙨𝙞𝙖𝙣𝙤

Spesso ci si concentra sul valutare se e quali sistemi di sicurezza adottare nella propria infrastruttura informatica, o su quante risorse investire, perdendo di vista un punto fondamentale:

⚠️ 𝚍𝚘𝚟𝚎 𝚜𝚘𝚗𝚘 𝚌𝚘𝚗𝚜𝚎𝚛𝚟𝚊𝚝𝚒 𝚝𝚞𝚝𝚝𝚒 𝚒  𝚗𝚘𝚜𝚝𝚛𝚒 𝚍𝚊𝚝𝚒?

Può sembrare scontato o banale ma al Security summit organizzato per la presentazione del rapporto clusit 2022 è emerso quanto la problematica sia attuale.

Ciò vale tanto per i professionisti e le piccole aziende quanto per i colossi.

Che si tratti dei contatti dei clienti, email riservate, documenti che stiamo redigendo, file di progetto o allegati, sono dati importanti per i nostri committenti in attesa dei frutti del nostro lavoro, ma lo sono soprattutto per noi, se vogliamo essere pagati, mantenere con loro rapporti futuri, evitare una causa e le sanzioni del Garante.

In ossequio al principio di accountability ovvero di responsabilizzazione cui fa riferimento il GDPR 679/2016 (artt. 5, 24 e considerando n. 74) occorre tenere presente tre punti.


1) Sicurezza multi device

La nostra operatività quotidiana è caratterizzata dall’utilizzo contemporaneo di una molteplicità di dispositivi attraverso i quali transitano e vengono salvate molte se non tutte le informazioni relative alla nostra attività professionale: pc, smartphone, tablet, chiavette usb, server, NAS, periferiche varie e altri dispositivi di archiviazione. Ricordiamo che anche le stampanti al giorno d’oggi sono dotate di una memoria di archiviazione, seppure di limitata capacità.

È consigliabile quindi:

  • fare un inventario dei dispositivi utilizzati da tenere costantemente aggiornato
  • redigere una chiara policy aziendale che stabilisca se consentire o vietare l’impiego dei dispositivi anche per uso personale e/o quelli personali per lavoro, individuando le migliori prassi per ridurre al massimo i rischi, e vigilando sull’osservanza da parte di manager e dipendenti.

2) Sicurezza dispositivi obsoleti

Ogni dispositivo elettronico ha un ciclo di vita limitato e quindi sarà soggetto a sostituzione periodica per mancato funzionamento, cessazione supporto di sicurezza, aggiornamento con altro più moderno e performante.

Anche in questo caso occorre individuare ed indicare nella policy le procedure per:

  • un’efficace cancellazione dei dati residui
  • il corretto smaltimento del dispositivo.

Abbandonarli in un cassetto della scrivania o nel fondo di un armadio in ufficio, cui chiunque può avere accesso, dimenticandosi della loro esistenza, non è ciò che si può propriamente definire un comportamento responsabile.


3) Sicurezza Cloud Computing

Si rientra in questa fattispecie se si è soliti fare copie di backup, se si utilizzano software o servizi specifici su cloud, ovvero su piattaforme o spazi fisici sul web forniti da terzi, a cui si accede tramite un contratto di licenza. Tutto deve risultare nel dettaglio della documentazione interna aziendale, fra le risorse disponibili e come tali vanno gestite.

Esternalizzare significa abbattere i costi in termini di infrastruttura IT e di competenze tecniche. Non si può pensare, tuttavia, che ciò comporti una totale deresponsabilizzazione.

L’ambito di intervento è senza dubbio ridotto ma non meno importante. Si tratta qui di:

  • scegliere fornitori comunitari o che rendano disponibili risorse in ambito comunitario, soggette, quindi all’ambito di applicazione del GDPR
  • prevedere credenziali di accesso robuste, modificate periodicamente e conservate in modo sicuro
  • limitare l’accesso solo a determinati soggetti fra dipendenti e collaboratori
  • monitorare gli accessi non autorizzati
  • cancellare i dati prima di passare ad altro piano o fornitore

Conclusione

Prima di pianificare i sistemi di sicurezza aziendali occorre avere chiaro dove si trovano i nostri dati, valutare le criticità e selezionare le misure più efficaci per ciascuna risorsa, sulla base dello stato dell’arte, ovvero di quanto universalmente riconosciuto come funzionale in un dato momento. A tal proposito si rinvia alle certificazioni di sicurezza. Solo così potremo dimostrare di rispettare il parametro dell’accountability e, quindi, di aver agito in modo responsabile, in piena conformità al GDPR.

Previous PostNext Post

Related Posts

We are using cookies to give you the best experience. You can find out more about which cookies we are using or switch them off in privacy settings.
AcceptPrivacy Settings

  • Politica di riservatezza

Politica di riservatezza

ENGLISH |
ESPAÑOL

Raccogliamo i tuoi dati per fornire un’esperienza personalizzata e migliorare il servizio. Navigando nel nostro sito acconsenti alla raccolta dei tuoi dati secondo i termini e le condizioni della nostra Politica di riservatezza che puoi trovare a questo indirizzo:

https://www.justich.net/riservatezza/


We collect your information to provide a personalized experience and improve the service. By browsing our site you consent to the collection of your data according to the terms and conditions of our Privacy Policy which you can find at this address:

https://www.justich.net/en/privacy-policy/


Recopilamos su información para brindar una experiencia personalizada y mejorar el servicio. Al navegar por nuestro sitio, usted acepta la recopilación de sus datos de acuerdo con los términos y condiciones de nuestra Política de privacidad que puede encontrar en esta dirección:

https://www.justich.net/es/privacidad/