Manca meno di un anno alla scadenza del 25 maggio 2018 e molte organizzazioni stanno cercando soluzioni che consentano di ottemperare al nuovo regolamento GDPR, altre non sanno ancora di cosa si stia parlando e pensano che non sarà tanto diverso da quello che fu per la Privacy.
Purtroppo queste ultime si sbagliano.
Tutte le aziende che raccolgono e trattano i dati di cittadini dell’UE devono adeguarsi e saranno costrette a regolamentare l’elaborazione dei dati nelle loro organizzazioni in conformità ai requisiti imposti dal GDPR.
GDPR: preparatevi a grandi cambiamenti
Che si tratti di rivedere o redigere un nuovo documento di consenso per l’elaborazione dei dati, o di nominare un nuovo responsabile della protezione dei dati, il GDPR comporterà enormi cambiamenti per tutti.
La questione non è se riusciremo o meno a scamparla, il vero problema sarà: come possiamo essere pronti?
I consigli di Avecto
Gli Inglesi sanno essere precisi e sintetici ed Avecto ci spiega tutto quello che è fondamentale sapere (e fare!!!) per ottemperare al GDPR in solo 8 minuti!.
Guarda il video e scarica il manuale di Avecto, che ti permetterà di prepararti gratuitamente all’arrivo del GDPR.
In soli 8 minuti impararei:
• in che modo il GDPR influirà sul business globale;
• le difficoltà che potresti incontrare nel soddisfare i requisiti GDPR;
• come creare un piano d’azione per essere GDPR compliant.
Serverlab ha tradotto il video per voi!
“Ciao a tutti, sono Doug di Avecto, produttore di Avecto Defend Point Privilege Management e Application Control Software, e oggi parleremo di GDPR cioè del regolamento generale sulla protezione dei dati.
Il GDPR è un tema caldo in questo periodo, in virtù del suo ambito relativamente ampio e delle pesanti multe in cui potremmo incappare, quindi diamo un’occhiata più da vicino a come esso potrà influenzare la tua azienda.
Per cominciare, il GDPR entrerà in vigore il 25 maggio 2018. È un regolamento, non una direttiva, quindi sostituirà le attuali leggi sulla protezione dei dati che sono in vigore dal 1995.
Il regolamento si riferisce a tutti i dati personali che vengono raccolti sui cittadini europei e si applica non solo alle società europee, ma a qualsiasi società che raccolga dati su chiunque in Europa. Quindi se hai clienti in Europa, il GDPR si applica anche per te!
Inoltre è un regolamento, e non c’è modo di aggirarlo.
In caso di violazione dei dati, avrai 72 ore dal momento in cui entri a conoscenza della violazione per notificarla all’autorità di vigilanza. E tu dovrai notificare a tutti gli interessati i dati, a meno che tali dati non siano stati raccolti in maniera anonima o crittografati correttamente. Le multe, come detto, arrivano rapidamente. Fino al 4% del tuo fatturato annuo a livello mondiale nell’anno precedente, oppure delle vendite nette, o 20.000.000 euro, in base a quale è la cifra maggiore.
Di seguito alcuni dei prinicpali punti riguardanti la raccolta di dati personali da tenere in mente.
Il primo è che il trattamento dei dati personali deve essere lecito, ovvero aderire a una serie di test previsti dal regolamento. Deve essere equo, questo significa che l’elaborazione dei dati personali deve essere coerente al modo in cui viene presentata a ciascun interlocutore. Questo deve essere trasparente, nel senso che l’interlocutore dovrà essere informato su come si svolgerà l’elaborazione dei dati. Ci sono anche dei limiti su ciò per cui i dati personali del cliente possono essere utilizzati. Cioè per quali scopi specifici e legittimi potranno essere utilizzati, e tali scopi dovranno essere chiari.
Allo stesso modo, la raccolta dei dati personali deve limitarsi solo a ciò che è necessario e pertinente. In altre parole, non dovresti semplicemente raccogliere dati per raccogliere dati. I dati raccolti devono essere accurati e deve esserci un processo che garantisca che i dati possano essere sempre aggiornati. Infine i dati non devono essere conservati per un periodo più lungo del necessario. Quindi quello che non viene usato dovrebbe essere rimosso. Devi inoltre garantire l’integrità del dato. Deve essere correttamente conservato e protetto per evitare perdite, furti e danni. Pertanto, è importante per la tua azienda identificare come vengono archiviati i dati del cliente, come sono stati presi e chi può accedervi, e se contengono informazioni personali di identificazione o informazioni sensibili. Ad esempio cartelle mediche, numeri di previdenza sociale, dettagli della carta di credito, numeri di passaporto e dati simili. Quindi, molte possono essere le regole, i consigli e le interpretazioni, ma nessuna regola si adatta a tutte le linee guida.
Sappiamo è che la maggior parte degli attacchi informatici si basa su software malevoli, che fanno leva sui privilegi di amministratore per rubare dati sensibili. Quindi gli hacker sono in grado di,
A) eseguire software;
B) rubare credenziali utili.
Alla fine, stai gestendo un difficile equilibrismo. Idealmente, l’intera azienda deve essere sicura e conforme e allo stesso tempo deve essere produttiva.
E tu vuoi fare tutto questo senza appesantire i tuoi utenti o il tuo personale IT o spendere troppi soldi. Così molte aziende investono molto tempo, denaro e risorse umane in antivirus, firewall, crittografia e in vari altri prodotti. Questi sono tutti importanti strumenti di salvaguardia. Non stiamo dicendo che non dovete preoccupatevi del firewall o dell’antivirus. Ma alla fine della giornata, il vero rischio è l’essere umano seduto di fronte a tutti questi computer che sta facendo clic su qualcosa.
In un mondo ideale dovresti avere tutti gli utenti impostati come utente standard, invece che amministratore. Il problema, ovviamente, è che tutti questi utenti così saranno nella condizione di coinvolgere l’IT ogni volta che avranno bisogno di installare un software o configurare una stampante o addirittura cambiare l’orologio. Questo è estremamente sicuro, giusto? Infatti anche se un utente malintenzionato riesce ad accedere al computer di un utente, in realtà non può farsene nulla. Non può lanciare un malware se l’utente non è in grado di eseguire alcun programma e se vengono rubate le credenziali di un utente standard non si ha accesso a nulla di importante.
Le richieste di conformità con il GDPR, ovvero i dati persi o rubati, diventano così meno problematiche.
Ma ancora una volta, il personale IT non sarà mai in grado di tenere il passo su tutte le richieste. In un ambiente pieno di utenti standard gli utenti si stancheranno molto velocemente ad aspettare un IT per ogni richiesta, ecco perché la maggior parte delle organizzazioni alza bandiera bianca ed imposta alcuni utenti come amministratori. È troppo grande il mal di testa. Ed ecco il punto in cui noi di Avecto arriviamo. Il nostro prodotto Defendpoint è realizzato per una gestione granulare dei privilegi e per un controllo avanzato delle applicazioni.
Gli utenti operano in sicurezza come account standard, ma il nostro software eleva i privilegi a software, task e script di cui gli utenti hanno bisogno per svolgere bene il proprio lavoro. Abbiamo una politica di avvio rapido unica nel suo genere che sblocca in modo efficace app aziendali come Microsoft Office e prodotti Adobe per l’intera organizzazione. Inoltre, sblocca le comuni impostazioni di Windows e non consente l’installazione di alcun software. Abbiamo perfezionato queste app e queste impostazioni grazie a migliaia di implementazioni nell’ultimo decennio.
Quindi, una volta che Avecto è impostato, hai tre workstyle precostituiti che possono essere applicati ai singoli utenti della tua organizzazione ed hanno lo scopo di impedire l’escalation di privilegi indesiderati, il furto di codice e il furto di dati che potrebbero portare a problemi con il rispetto del GDPR. Il workstyle ad alta flessibilità è utile per i tuoi utenti più esperti o per i tuoi ingegneri, sviluppatori, IT, QA, chiunque abbia bisogno di un po ‘più di accesso per eseguire varie app e script.
I workstyle sono presentati come una richiesta di sicurezza, e qualunque cosa stiano facendo i tuoi utenti verrà registrata. La flessibilità media blocca un po più di cose ma consente agli utenti di eseguire software sconosciuto fornendo prima una motivazione di business, nella bassa flessibilità serve un prompt di risposta alla rchiesta, gli utenti dovranno contattare l’IT che può generare rapidamente un codice di sblocco da fornire all’utente. Tutti questi parametri sono impostabili in poche ore, praticamente da un giorno all’altro, e quindi è possibile continuare a perfezionare le policy senza interrompere gli utenti.
In questo modo riduci rapidamente e drasticamente la possibilità di attacco, e previeni le violazioni dei dati che potrebbero metterti nei guai con GDPR. Ancora una volta, questo è unico in Avecto, grazie agli innumerevoli scenari di distribuzione che abbiamo creato. Con prodotti simili, generalmente potete capovolgere il software e monitorare ciò che i vostri utenti installano e fanno funzionare per mesi e mesi e quindi ottimizzare le vostre politiche in base a come si comporta la vostra organizzazione. Abbiamo imbottigliato questi mesi e mesi in pochi clic con quickstart.
Quindi per prima cosa metti in sicurezza la tua organizzazione e poi raffina le cose su Time calendar, e non il contrario. Alcune organizzazioni utilizzano solo le impostazioni di avvio rapido senza ulteriori modifiche. Abbiamo anche una funzione chiamata protezione delle applicazioni attendibili o TAP. Cioè questa funzione impedisce alle app conosciute, a quelle di Microsoft, alle app di Adobe e simili, di eseguire codice dannoso. Pertanto, anche se una di queste app viene compromessa o sfruttata, e questo è comune in vari attacchi avanzati, abbiamo impedito loro di eseguire codice non autorizzato. Questo è Defendpoint di Avecto.
Avecto ti aiuta a raggiungere la conformità GDPR prevenendo l’escalation di privilegi non autorizzati e l’installazione di software dannoso e questo previene notevolmente il furto di dati nell’intera organizzazione. È un ottimo primo passo nella strategia di sicurezza di qualsiasi azienda.”