Vai al contenuto
Avanet
GDPR: in che modo Sophos può aiutare

GDPR: in che modo Sophos può aiutare

29. MARZO 2018

È passato ormai un po’ di tempo da quando, il 14 aprile 2016, il Parlamento europeo ha approvato il nuovo Regolamento generale sulla protezione dei dati, meglio noto come GDPR. Il regolamento entra in vigore il 25 maggio 2018 e le aziende hanno quindi avuto quasi due anni di tempo per prepararsi. Nel frattempo se n’è parlato molto, anche perché le aziende statunitensi sono ugualmente tenute a rispettare il General Data Protection Regulation.

In questo articolo vogliamo mostrare in che misura Sophos può aiutare a rispettare i requisiti del nuovo regolamento. Non analizzeremo nel dettaglio quanto viene riportato nei 11 capitoli e 99 articoli. Molte formulazioni sono tuttora piuttosto vaghe e lasciano spazio all’interpretazione. I lobbisti hanno fatto un buon lavoro: le grandi aziende possono permettersi di portare avanti per anni cause legali su singole formulazioni. Per le PMI, invece, sarebbe stato preferibile avere regole più chiare. Saranno i primi procedimenti a mostrare come devono essere interpretati alcuni articoli.

Precisiamo subito una cosa: noi di Avanet abbiamo sede in Svizzera, ma anche le aziende svizzere con clienti nell’UE sono interessate dal GDPR.

Molte aziende, al momento, non fanno nulla e accettano il rischio di essere citate in giudizio. Alcuni Stati membri hanno già dichiarato di non disporre delle risorse necessarie per esaminare tutti i reclami.

Di cosa tratta realmente questo nuovo regolamento?

Ecco alcuni esempi per capire meglio di cosa si tratta e come la sicurezza informatica può essere d’aiuto:

  • I cittadini dell’UE hanno il diritto di richiedere alle aziende una copia dei loro dati personali.Per alcune aziende questo è già un problema. Nel peggiore dei casi, un dipendente dovrà trascorrere ore a raccogliere tutte le informazioni rilevanti.
  • I cittadini dell’UE possono chiedere la cancellazione dei propri dati.Anche questo rappresenta una sfida per l’IT, perché il riferimento è valido anche per i backup. Non tutte le soluzioni di backup consentono di eliminare singoli record e ciò può scontrarsi con gli obblighi di conservazione dei dati.
  • Se a un’azienda vengono sottratti dei dati, sussiste l’obbligo di notifica, a meno che i dati non fossero cifrati.Con questo esempio arriviamo al cuore dell’argomento, perché è proprio qui che la sicurezza informatica assume un ruolo fondamentale.

La sicurezza informatica deve essere presa sul serio

Dal nostro punto di vista è positivo che il GDPR fornisca ulteriori argomenti per prendere finalmente sul serio il tema della sicurezza informatica. Chi lo ignora e continua a pensare di non aver bisogno di una soluzione solida per la propria azienda rischia, prima o poi, di essere sanzionato per grave negligenza. Vediamo ancora troppo spesso PC, server o altri sistemi connessi direttamente a Internet senza alcuna protezione, sui quali vengono ignorate patch e aggiornamenti critici.

Il fatto che Windows XP non riceva più patch non significa che il sistema sia improvvisamente sicuro. Potrà sembrare incredibile, ma ci sono davvero persone convinte del contrario.

Spesso osserviamo anche utenti che navigano in Internet con browser che non vengono aggiornati da molto tempo. Utilizzate sempre un browser moderno, aggiornato dal punto di vista della sicurezza.

Il settore del ransomware si adegua

Viviamo in un’epoca in cui ransomware ed exploit rientrano tra i metodi di attacco più efficaci. Anche questa “industria” si sta preparando al 25 maggio. Sono già state individuate nuove varianti di ransomware che non cifrano più i dati per poi richiedere Bitcoins in cambio della chiave di decrittazione, ma estraggono lentamente i dati aziendali in background per settimane, per poi mostrare un messaggio del tipo:

Abbiamo i tuoi dati! Trasferisci XXX Bitcoins oppure li renderemo pubblici.

In un caso del genere, i backup – che molti hanno considerato la soluzione ideale contro il ransomware tradizionale – non bastano più. Se i dati rubati vengono pubblicati, le conseguenze sono due: danno d’immagine e sanzione dell’UE, che può arrivare fino a 20 milioni di euro o al 4% del fatturato annuo.

Protezione: semplice e relativamente economica

Esistono alcune regole di base che dovrebbero sempre essere rispettate:

  • Utilizzare un sistema operativo aggiornato (PC, server, smartphone, dispositivi IoT).
  • Effettuare regolarmente gli aggiornamenti software.
  • Installare una soluzione antivirus professionale. → A nostro avviso, soluzioni come Avira, Avast, Windows Defender e simili non sono sufficienti se si guarda alla tecnologia sottostante. Parliamo di tecnologia, perché il marketing e i testi di questi prodotti sono spesso molto convincenti. A leggere le descrizioni, anche i prodotti gratuiti proteggono da qualsiasi minaccia. Inoltre, consigliamo sempre Sophos Intercept X. Per i server è disponibile Sophos Server Protection.
  • Cifrare i supporti di memorizzazione (dischi, chiavette USB, ecc.). → Ciò è utile in caso di perdita di un dispositivo. BitLocker per Windows e FileVault per macOS sono buone soluzioni. È possibile attivarli manualmente su pochi dispositivi oppure gestirli centralmente su molti endpoint tramite Sophos Device Encryption.
  • Cifrare i file. → Esistono software come VeraCrypt (successore gratuito di TrueCrypt) o Cryptomator. VeraCrypt memorizza tutti i dati in un unico contenitore, soluzione piuttosto scomoda e non ideale dal punto di vista della sicurezza (per esempio, un’unica password per tutti i dati). Cryptomator (anch’esso gratuito) affronta meglio la questione: ogni file viene cifrato con una chiave dedicata (incluso il nome del file) e i file restano separati, caratteristica utile anche per i backup. E Sophos? Per le piccole aziende, a nostro avviso, non esiste ancora una soluzione davvero adatta, a meno di voler gestire un server Windows con database e integrazione AD, nel qual caso Sophos SafeGuard è una buona opzione. Qualunque prodotto si scelga, un buon cifraggio si basa su una password robusta, che non dovrebbe mai essere la stessa ovunque.

Il GDPR cita esplicitamente la cifratura come metodo adeguato per proteggere i dati in caso di violazione (articolo 34).

  • Formare gli utenti. → Idealmente, i meccanismi di protezione sono presenti ma non devono mai essere utilizzati, proprio come i backup. Purtroppo alcuni utenti non lo sanno e cliccano su ogni link o reagiscono in modo inadeguato alle e‑mail di phishing, con un impatto molto negativo sulla sicurezza informatica. Per questo esistono soluzioni come Sophos Phish Threat, che consente di creare campagne di phishing e testare gli utenti, per poi formarli. L’obiettivo è aumentare la consapevolezza che un’e‑mail non è sempre autentica, anche se sembra perfetta.
  • Proteggere i dispositivi mobili. → Le e‑mail aziendali, i contatti e i calendari si trovano spesso su dispositivi mobili. Anche i dati aziendali vengono portati con sé quotidianamente. Notebook, smartphone e tablet devono quindi essere protetti, vincolati a policy coerenti e, se necessario, cancellabili a distanza. Sophos Central Mobile è lo strumento ideale in questo contesto.
  • Mettere in sicurezza le reti. → Quando almeno il 50% dei punti sopra elencati è coperto, ci si può concentrare sulla sicurezza di rete. Un firewall correttamente configurato può fare una grande differenza e consente anche di mettere in sicurezza le reti wireless. Vedi Sophos XG Firewall.
  • Cifrare le e‑mail. → Si parla da anni di cifrare le e‑mail, ma al di fuori di alcuni settori questa pratica non è ancora molto diffusa, soprattutto perché non è particolarmente comoda. Sophos offre varie soluzioni in questo ambito, ma, ad essere sinceri, non le riteniamo ancora pienamente mature né particolarmente adatte alle PMI.

Questi, in sintesi, sono i punti che vi consigliamo di affrontare per non essere tra i primi a violare involontariamente il GDPR. 😉

Patrizio

Patrizio

Patrizio e uno specialista di rete esperto, focalizzato su firewall Sophos, switch e access point. Supporta clienti e team IT nella configurazione, nella migrazione e in una segmentazione di rete pulita.