You are here:

GDPR: adeguamento normativo e sanzioni

25 MAGGIO 2018

2018/05/25 00:00:00
TIMER

Il 14 aprile 2016 il parlamento europeo ha approvato definitivamente il Regolamento Europeo in materia di protezione dei dati personali (GDPR, General Data Protection Regulation). Il nuovo regime proposto permette di armonizzare le diverse normative sulla protezione delle informazioni in tutta l’unione europea; va ad abrogare integralmente la direttiva 95/46/CE (Privacy) in materia di sicurezza e prevenzione della divulgazione dei dati personali, e sarà direttamente applicabile definitivamente dal 25 maggio 2018.

Il regolamento introduce una serie di novità tutelative e restrittive nel trattamento e nella conservazione dei dati in materia di obblighi, diritti e conseguenti rischi rilevanti per le aziende, dal punto di vista sia economico (le sanzioni arriveranno fino al 4% del fatturato e fino ad un massimo di 20 milioni euro!) che reputazionale (possibili conseguenze di un incidente informatico che metta a rischio l’integrità e/o la riservatezza dei dati). Nel nostro articolo per Digi News puoi approfondire meglio le novità che introduce il GDPR.

LE AZIENDE CHE SI CHIEDONO COME PREPARARSI ED ADEGUARSI ALLA NORMATIVA HANNO L'OPPORTUNITÀ DI DARE VALORE AL PROPRIO BUSINESS ED AI SISTEMI DI SICUREZZA E PROTEZIONE DEI DATI PERSONALI.

In merito a questo nuovo scenario Laus Informatica offre una serie di soluzioni che possono aiutare le imprese ad affrontare questa nuova sfida come la gestione della sicurezza dei dati lungo tutto il loro ciclo di vita, la loro cifratura, la loro pseudonimizzazione ed il monitoraggio degli accessi. Scopri quali sono e valuta in tutta libertà, utilizzando le demo gratuite qui, l’utilità effettiva che possono avere per avviare il processo di digitalizzazione della tua azienda!

 

 

La cifratura next-gen è un nuovo approccio alla sicurezza dei dati per essere compliance al GDPR. Vi aiuta a evitare di comparire nei titoli delle news per i motivi sbagliati, grazie alla protezione di tutti i dati in tutti i momenti. Con l’approccio next-gen di Sophos, la cifratura è:

Sempre attiva. Tutti i dati vengono cifrati automaticamente, per impedire che finiscano nelle mani sbagliate;

Sincronizzata. Al primo accenno di un attacco al sistema informatico generale, i dati vengono isolati, per garantirne la protezione contro i tentativi di hacking avanzato;

Virtualmente invisibile. Gli utenti possono mantenere i consueti livelli di produttività, nella piena consapevolezza che i propri dati sono al sicuro, mentre lavorano come di consueto: creando, modificando e condividendo i file come sempre hanno fatto.

GLI STRUMENTI PER METTERE AL SICURO I TUOI DATI AZIENDALI

Sophos Intercept X è un prodotto di sicurezza endpoint next-gen che difende gli endpoint dalle minacce più recenti bloccando le modalità, le tecniche e le procedure tipicamente utilizzate dai cybercriminali. Questa soluzione può essere utilizzata parallelamente a prodotti antivirus già esistenti, oppure come agente unico integrato, se installata insieme a Sophos Endpoint Protection. Intercept X contiene diverse funzionalità importanti che proteggono i sistemi dalle minacce in una maniera innovativa rispetto alla maggior parte degli altri prodotti di sicurezza endpoint, pur prefiggendosi lo stesso obiettivo: prevenire la violazione di sistemi e dati critici.

Scaricate qua sotto la mini guida  alla cifratura next-gen per scoprire come controllare il processo di entrata e uscita dei dati nella vostra azienda.

Tutte le aziende che trattano dati di persone si trovano pertanto nella condizione di dover soddisfare nuove esigenze.

A destare maggiore preoccupazione è il fatto che, da una ricerca condotta dalla Compuware corporation(*) su un campione di 400 chief information officer, è emerso che solo il 28% delle grandi aziende italiane intervistate ha in atto un piano completo per garantire la conformità con il Gdpr. Altro dato che pare assai significativo è che per il 64% degli intervistati in Italia il problema principale, ad ostacolo del pieno e completo adeguamento, è quello dei costi. Questo dimostra che si fatica ancora a maturare l’approccio culturale secondo cui la corretta gestione dei trattamenti di dati personali e dei processi che ne governano i flussi, intra ed extra aziendali, debbano considerarsi valore aggiunto e vera e propria risorsa su cui investire.

Il nostro partner per la sicurezza Sophos lavora senza sosta per raccogliere, studiare e analizzare tutti i dati necessari per fornire protezione efficace a tutti i nostri clienti mediante il SOPHOSLAB.

IL SISTEMA DI ANALISI SOFISTICATO, CHE CONSENTE DI PROCESSARE MILIONI DI E-MAIL, URL, FILE ED ATRI TIPI DI DATI, È IN GRADO DI RILEVARE INTERE CATEGORIE DI MINACCE IN TEMPO REALE E MONITORARE LE ULTIME TENDENZE PER GARANTIRE UN MIGLIORAMENTO CONTINUO DEI PRODOTTI DI CYBER SECURITY. QUI SOTTO PUOI VEDERE I DATI DI SOPHOSLAB IN REAL TIME.

Le differenze più evidenti in materia GDPR rispetto alla normativa precedente riguardano:

  • l’introduzione del principio di accountability dei titolari del trattamento: sparisce il concetto di “misure minime”, fondamento dell’attuale normativa D.Lgs. 196/2003  su Privacy e Sicurezza, e  viene sostituito con quello di “misure adeguate”. Il titolare dovrà autocertificare, sulla base della propria analisi dei rischi, la propria conformità in relazione ad singolo trattamento mediante un ciclo continuo di valutazione e miglioramento (Privacy Impact Assessment). In aggiunta ai vari obblighi della normativa, il nuovo regolamento Europeo introduce il DPIA (Data Protection Impact Assessment), ovvero un Piano di Valutazione d’impatto sui Dati Personali che dovrà essere adottato ogni qualvolta vi sarà una mutazione nell’asset di trattamento. 
  • Data Protection Officer: una figura aziendale (sia esso un soggetto interno o esterno) con competenze giuridiche, informatiche, di risk management e di analisi dei processi che fornirà consulenza in riferimento agli obblighi del nuovo regolamento. Il DPO dovrà dare un parere in merito alla valutazione d’impatto sulla protezione dei dati e verificare l’applicazione e l’attuazione del regolamento UE. Il suo nominativo verrà comunicato al Garante ed inserito in un apposito registro pubblico.
  • Data Breach Notification (art.33-34): il titolare del trattamento, entro 72 ore dall’accadimento, deve notificare eventuali perdite, furti o distruzioni accidentali di informazioni personali sensibili (serious breaches). Se viene effettuata la comunicazione in ritardo deve essere presentata motivazione dello stesso.
  • privacy by design e by default: ci sarà l’obbligo di protezione dei dati fin dalla progettazione riducendo al minimo l’utilizzo delle informazioni riservate e garantendo solamente il trattamento dei dati strettamente necessari all’operazione.

LAUS INFORMATICA, A FRONTE DELLE MODIFICHE APPORTATE DALLA NUOVA NORMATIVA GDPR, È IN GRADO DI FORNIRE GLI STRUMENTI IDEALI PER AIUTARE TUTTE LE AZIENDE AD AFFRONTARE IL CAMBIAMENTO: CON I SERVIZI DI CYBER SECURITY PROMUOVE UN APPROCCIO PROATTIVO ALLA GESTIONE DEI DATI, STRUTTURATO IN PASSI INCREMENTALI ED ITERATIVI, SECONDO IL MODELLO PDCA (PLAN,DO,CHECK,ACT).

Il livello di sicurezza ideale contrasta i rischi di distruzione, perdita, modifica o divulgazione non autorizzata dei dati. Quasi quotidianamente assistiamo a casi di violazione dei dati molto gravi che espongono i clienti a pericoli di furto di identità e perdite finanziarie, mentre le aziende corrono il rischio di perdere la fiducia di clienti e investitori.

In adeguamento agli articoli d’applicazione del nuovo regolamento riguardanti i principi del trattamento dati e della loro protezione, Laus Informatica offre consulenza gestionale ed implementativa per garantire il giusto livello di compliance.

Un esempio d’incidenti di sicurezza che possono accadere sono:

  • un accesso non autorizzato a risorse informative
  • la cancellazione di archivi
  • un furto d’identità
  • la diffusione più o meno volontaria di dati sensibili
  • l’accesso a siti web non consentiti
  • l’alterazione di database
  • l’intrusione fisica in strutture ad accesso riservato
  • l’installazione di programmi potenzialmente dannosi
  • violazione di copyright
  • utilizzo di risorse aziendali per cyber attacchi a sistemi terzi

Con i servizi Laus, relativi alla sicurezza IT e all’elevata protezione dati quali prodotti Encryption, Firewall, Endopoint Protection, Anti RansomWare e Anti Malware, viene definita la migliore soluzione personalizzata per qualunque ambiente informatico. È possibile integrare anche con soluzioni di Tape Vaulting, Tape Management ed E-Vaulting che consentono una più ampia proposta orientata alla continuità del business.

LINEE GUIDA PER L’APPLICAZIONE  DI POLICY DI DATA SECURITY

Vuoi ricevere GRATUITAMENTE esempi di policy  riguardanti la messa in sicurezza dei dati?