Quattro cose da considerare prima di installare le applicazioni per il tracciamento dei contatti

Quattro cose da considerare prima di installare le applicazioni per il tracciamento dei contatti

L’attuale pandemia è uno di quegli scenari che possono mettere alla prova i valori fondamentali di una società. Per la maggior parte degli account, il coronavirus è un caso limite, l’eccezione alla regola. E, tuttavia, costringe molti a ripensare al modo in cui operano nel mondo, come trattano gli altri e le regole che sono disposti (o meno) a seguire. La recente risposta pubblica al tracciamento dei contatti è un buon esempio.

1. Tracciamento della posizione e privacy dei dati
In generale, alle persone non piace essere rintracciate. Il diritto alla privacy è considerato un diritto umano fondamentale in molte parti del mondo. Legislazioni come il GDPR e il CCPA sono concepiti per far rispettare questa convinzione, definendo come i dati privati debbano essere raccolti, elaborati, condivisi e conservati. Con l’attuale legislazione sulla privacy dei dati, le linee guida e le protezioni esistenti dovrebbero essere adeguate per affrontare l’attuale crisi sanitaria globale.
Il monitoraggio del numero di casi di coronavirus, delle regioni colpite e di altre macro tendenze è essenziale per comprendere la diffusione del virus. Le macro tendenze possono informare su come il virus si sta propagando e anche sull’efficacia di alcune misure per contenere la diffusione.
Una qualche forma di localizzazione personale è stata ampiamente accettata come metodo efficace per comprendere la diffusione del virus. Tuttavia, dovrebbe essere implementato solo come opt-in, permettendo alle persone di scegliere quando condividere le proprie informazioni personali e dove si trovano. Fornire alle persone una scelta, insieme a dettagli su come i loro dati vengono gestiti e condivisi (dettagli che sono richiesti dal GDPR) dovrebbe essere una pratica standard.
La trasparenza dei metodi di raccolta dei dati è necessaria affinché gli esperti mondiali possano utilizzare con precisione i dati messi a disposizione. L’anonimizzazione è fondamentale quando si condividono i dati, ma essere in grado di correlare i casi significa anche che le entità locali devono condividere i dati in modo selettivo.

2. Tecnologia Bluetooth per la tracciamento dei contatti
In alcuni paesi, le applicazioni per tracciare il virus sono in fase di sviluppo con il sostegno ufficiale del governo. Sono state sollevate preoccupazioni in materia di privacy sul tracciamento della posizione geografica degli utenti, con persone che sostengono che l’iniziativa sia una scusa per far avanzare la sorveglianza del governo. Per questo motivo, l’approccio preferito utilizza la tecnologia Bluetooth, che può tracciare la vicinanza degli utenti ma non associare i dati di localizzazione ad un individuo.
Sono stati sviluppati diverse framework per la creazione di applicazioni per il tracciamento dei contatti. Apple e Google hanno unito le loro forze per supportare un metodo basato sul Bluetooth per tracciare la diffusione delle infezioni senza compromettere la privacy della posizione. Ciò comporta l’aggiunta di nuove funzionalità ai loro sistemi operativi mobili che consentono ad alcune app approvate dalle agenzie sanitarie governative di utilizzare il Bluetooth per registrare la vicinanza tra i telefoni e, quindi, tra le persone che li portano con sé.
In generale, queste app approvate dal governo funzionano consentendo all’utente di segnalare, in forma anonima, una diagnosi positiva di Covid-19 nell’app. In tal caso, tutti gli utenti che si sono trovati nelle vicinanze entro un certo periodo di tempo riceveranno una notifica. Il sistema è segnalato come Bluetooth-only, non raccoglie dati di localizzazione basati su GPS dagli utenti, ed è completamente opt-in.
La tecnologia funziona trasmettendo costantemente codici Bluetooth unici che derivano da una chiave crittografica che cambia una volta al giorno. Vengono monitorati costantemente i dispositivi mobili nelle vicinanze, registrando i codici di tutti gli altri telefoni che incontrano.
Quando un utente segnala una diagnosi positiva di Covid-19, la sua app carica su un server le chiavi crittografiche che sono state utilizzate per generare i suoi codici nelle ultime due settimane. Ogni app scarica quindi quelle chiavi giornaliere e cerca una corrispondenza con uno dei suoi codici memorizzati, l’app notificherà a quella persona che potrebbe essere stata esposta.

3. Potenziali problemi di prestazioni del dispositivo con il tracciamento dei contatti
Il problema con queste applicazioni è che devono essere costantemente in esecuzione in background e monitorare continuamente l’ambiente circostante per funzionare correttamente, il che significa che un potenziale effetto collaterale potrebbe essere un più rapido esaurimento della batteria del dispositivo.
I moderni sistemi operativi mobili impediscono il consumo della batteria utilizzando varie tecniche per “soffocare” le applicazioni che non sono in uso, come la riduzione dell’accesso alle risorse del sistema. Se, quanto, e in che modo dipende dalla versione del sistema operativo e dalle impostazioni del dispositivo.
Ad esempio, sappiamo che le versioni più recenti dei sistemi operativi sono più aggressive nel ridurre l’attività in background del Bluetooth per risparmiare energia. I dispositivi Android a volte utilizzano applicazioni di sistema aggiuntive denominate ” battery optimizers “, che possono limitare ulteriormente l’attività in background del Bluetooth.
Anche il livello della batteria gioca un ruolo importante, perché molti dispositivi potrebbero passare automaticamente alla modalità risparmio energetico, che disattiva i processi in background. Ciò potrebbe potenzialmente ridurre l’efficacia delle applicazioni di tracciamento dei contatti che devono essere costantemente in esecuzione in background.
Se avete deciso di optare per l’applicazione ufficiale di tracciamento contatti del vostro governo, seguite questi passi per aumentare l’efficacia dell’applicazione:

  • Mantenere la batteria carica, evitare di utilizzare vari ottimizzatori di batteria (o, in caso affermativo, creare un’eccezione per la vostra applicazione). Portare con sé un caricabatterie portatile.
  • Se sei un utente iPhone, evita di utilizzare la modalità risparmio energetico sul dispositivo, in quanto ciò può impedire l’esecuzione dell’applicazione in background.
  • Non utilizzare due o più applicazioni di tracciamento simili contemporaneamente perché potrebbe esserci un conflitto nell’uso delle risorse (accesso Bluetooth).

Gli sviluppatori di applicazioni approvate dal governo stanno lavorando sia con Apple che con Google al fine di ottenere un accesso più profondo alle risorse del dispositivo e quindi essere in grado di continuare a funzionare pienamente anche in varie modalità stand-by e a basso consumo energetico mentre l’applicazione è in esecuzione in background.

4. Rischi per la sicurezza delle applicazioni di tracciamento dei contatti
È estremamente importante non installare applicazioni che si trovano su siti non ufficiali o app store di terze parti. Le applicazioni devono essere scaricate solo dagli app store ufficiali. I criminali informatici sono molto attivi durante questa crisi Covid e cercano di sfruttare l’elevata domanda di applicazioni di tracciamento. Una tattica molto comune è quella di riconfezionare un’applicazione esistente, modificarla con codice maligno e pubblicarla su uno store non ufficiale. È sempre meglio controllare il sito web del proprio governo locale per trovare informazioni sulle soluzioni di tracciamento di contatti approvate.
Molti dei nostri clienti in diverse parti del mondo si stanno chiedendo se dovrebbero consentire ai dipendenti di installare e utilizzare le applicazioni di tracciamento dei contatti sui dispositivi di lavoro. Utilizzando App Insights, abbiamo completato le valutazioni del rischio per una piccola rappresentazione delle applicazioni di tracciamento dei contatti disponibili nei diversi paesi in cui hanno sede i nostri clienti. Le sintesi di queste valutazioni dei rischi sono disponibili nelle tabelle seguenti. I clienti Wandera possono richiedere la valutazione completa del rischio per ciascuna di queste applicazioni contattando i loro account manager. Queste informazioni saranno aggiornate man mano che raccoglieremo più richieste da parte dei clienti e man mano che le applicazioni verranno rilasciate e aggiornate.

Australia | Covid Safe

Australia | Covid Safe | Developer: Australian Department of Health | Risk Indicator: LOW
Source [version tested]Google Play [1.0.17]App Store [1.3]
# of permissions84
# of extracted URLs13N/A
Source code availabilityYesYes
ATS assessmentN/AATS enabled
Well supported application with working bug report channel. Registration limited to Australian phone numbers only on the server side (plus few checks in the application itself).
United Kingdom | NHS Covid 19

United Kingdom | NHS Covid 19 | Developer: NHSX | Risk Indicator: LOW
Source [version tested]Google Play [1.0.17]App Store [1.3]
# of permissions122
# of extracted URLs24N/A
Source code availabilityYesYes
ATS assessmentN/AATS enabled
The NHS app is currently still in beta and being tested on Isle of Wight. Reportedly uses data stored on a central server rather than the decentralized approach created by Apple and Google.
Italy | SM_Covid19

Italy | SM_Covid19 | Developer: Softmining | Risk Indicator: MED
Source [version tested]Google Play [3.6]N/A
# of permissions34N/A
# of extracted URLs41N/A
Source code availabilityYesNo
ATS assessmentN/AN/A
Only test version available on request for iOS. The application is requesting user consent while launching in order for SoftMining to acquire/manipulate user data.
Spain | Corona Madrid

Spain | Corona Madrid | Developer: Comunidad de Madrid | Risk Indicator: LOW
Source [version tested]Google Play [1.0.10]App Store [1.0.10]
# of permissions73
# of extracted URLs5N/A
Source code availabilityNoNo
ATS assessmentN/AATS disabled
This app communicates with the fewest number of external websites. It communicates only with Coronavirus Comunidad Madrid among other legitimate cloud hosts over HTTPS. It also had a low number of permissions requested.
Spain | Stop Covid19 Cat

Spain | Stop Covid19 Cat | Developer: Generalitat de Catalunya | Risk Indicator: MED
Source [version tested]Google Play [1.0.2]App Store [1.0.2]
# of permissions124
# of extracted URLs18N/A
Source code availabilityNoNo
ATS assessmentN/AATS disabled
The app sends data to a backend server using HTTPS. Shares location data with Mubiquo, a mobile marketing company.

Come valutiamo il livello di rischio delle applicazioni

Le valutazioni del rischio consistono in due tipi principali di analisi delle applicazioni:

L’analisi statica viene effettuata tramite il reverse-engineering del codice dell’applicazione, disassemblando e decompilando il pacchetto dell’applicazione. Durante questa fase estraiamo vari metadati come la versione, i permessi, gli URL, le librerie usate, ecc. Controlliamo anche i record nello store di applicazioni corrispondente, se disponibile.
L’analisi dinamica osserva e analizza il comportamento delle app e il traffico di rete in tempo reale. Durante questa fase, possiamo identificare se l’applicazione utilizza metodi sicuri per il trasferimento di dati sensibili, se contatta solo i server remoti che dichiara di fare, ecc.

Quando si tratta di valutazioni del rischio delle applicazione, ci sono un gran numero di indicatori che consideriamo. Nei riepiloghi di cui sopra abbiamo incluso quanto segue:

Autorizzazioni delle app – Le autorizzazioni delle app regolano ciò che un’app può fare e a cosa può accedere. Questo va dall’accesso ai dati memorizzati sul telefono, come contatti e file multimediali, fino all’hardware come la fotocamera o il microfono del dispositivo. Le autorizzazioni disponibili per le applicazioni su iOS e Android sono molto diverse. Raccomandiamo sempre di verificare le autorizzazioni di ogni app per assicurarsi che non richiedano l’accesso a risorse di cui non hanno bisogno, per ridurre al minimo il rischio che le vostre informazioni sensibili siano esposte a soggetti indesiderati. Le autorizzazioni servono per le funzionalità dell’applicazione? Esistono rischi potenziali legati ai permessi sensibili (ad esempio, l’accesso agli SMS)?

URL – Il numero di URL integrati in un’app mobile è indicativo del numero di servizi web con cui l’app comunica. Numeri bassi e numeri alti non sono necessariamente indicativi di rischio, ma guardando questo numero e verificando che sia in linea con applicazioni simili è un buon punto di partenza prima di controllare ogni singolo URL sospetto. Teniamo conto del numero di siti web con cui un’applicazione comunica rispetto ad applicazioni simili per verificare la presenza di anomalie che potrebbero sollevare domande.

Disponibilità del codice sorgente – Quando il codice sorgente è disponibile al pubblico significa che qualsiasi ricercatore potrebbe guardare linea per linea ciò che lo sviluppatore ha programmato, il che può potenzialmente identificare difetti e codice dannoso nelle applicazioni. Ma come proprietà intellettuale, il codice sorgente spesso non è accessibile per i test. Se il codice sorgente è disponibile, controlliamo i componenti chiave dell’applicazione – come comunica con i server remoti, se utilizza correttamente i certificati, come vengono utilizzati i permessi, come comunica con le periferiche wireless (Bluetooth, Wi-Fi, NFC), se lo stile del codice segue le best practices, ecc.

Valutazione ATS – Sulle piattaforme Apple, una funzione di sicurezza di rete chiamata App Transport Security (ATS) è disponibile e abilitata di default. ATS è fondamentalmente un insieme di regole che assicurano che le applicazioni iOS e le estensioni delle applicazioni si connettano ai servizi web utilizzando protocolli di connessione sicuri come HTTPS. Le applicazioni iOS con ATS abilitato utilizzano la crittografia, mentre quelle con ATS disabilitato possono significare che stanno utilizzando la crittografia, ma solo per connessioni di rete selezionate.

Altri indicatori di rischio sono i seguenti:
Componenti: quali sono gli elementi costitutivi dell’applicazione? Il linguaggio utilizzato, le tecniche di programmazione, le librerie e le loro versioni, i framework, ecc. L’obiettivo è quello di verificare se l’applicazione utilizza componenti sicuri senza vulnerabilità note e/o potenziali problemi.
Comunicazione: con quali soggetti remoti comunica l’applicazione? Potrebbe essere un server su internet, un dispositivo remoto contattato tramite Bluetooth o un beacon accessibile tramite NFC. In tutti i casi monitoriamo il tipo di comunicazione, la frequenza con cui l’applicazione comunica e i dati che invia. Valutiamo anche gli URL contattati rispetto all’elenco dei servizi remoti e dei componenti applicativi per verificare se non tenta di inviare qualcosa di sensibile senza il consenso dell’utente.
Record degli App store: Chi è lo sviluppatore? Quanti installazioni ha? Con quale frequenza viene aggiornato? C’è un processo di segnalazione di bug funzionante?
Intelligence di terze parti: controlliamo quali altri rapporti o valutazioni sono stati resi disponibili da altri ricercatori.

Fonte: Wandera

Cinque tendenze che domineranno l’agenda della sicurezza del mobile nel 2020

Cinque tendenze che domineranno l’agenda della sicurezza del mobile nel 2020

A partire dal 2019 i professionisti della sicurezza di tutto il mondo stanno raccogliendo indizi che potrebbero offrire un’idea di ciò che il 2020  porterà in merito alle minacce e gli attacchi cibernetici. Man mano che i dispositivi mobili diventano più importanti e più radicati nel business, i rischi per la sicurezza aumentano. Ecco i rischi e le minacce in evoluzione che crediamo domineranno l’agenda mobile nel 2020.

1. Il Ransomware rimarrà solo una distrazione per i cellulari
Rispetto ad altre minacce mobili, i ransomware rappresentano quasi lo zero percento degli incidenti totali verificatisi. È tempo che gli utenti finali spostino la loro attenzione verso le minacce che contano davvero. I nostri dati mostrano che trojan, adware e spyware sono stati i tipi di malware più frequentemente riscontrati nel 2019. Finché le aziende saranno sviate dalla protezione dai ransomware, continueranno ad essere esposte ai tipi più diffusi di malware nel 2020.

2. La sofisticazione del phishing andrà alle stelle
Invece di minacce prodotte in massa basate su tattiche di “sparare a caso “, stiamo assistendo ad una maggiore sofisticazione da parte dell’aggressore. Gli schemi avanzati di phishing sono già apparsi negli app store, dimostrando funzionalità più sofisticate ed eludendo con successo il rilevamento. Con l’81% degli attacchi di mobile phishing già in atto al di fuori della posta elettronica, nel 2020 gli aggressori si muoveranno attraverso le app di messaggistica e i social media, dove gli utenti sono vulnerabili a profili e notifiche false abbastanza convincenti da farsi consegnare dati sensibili.

3. Il contesto diventerà determinante in caso di autenticazione
Mentre la spinta verso un futuro senza password continua, l’accesso sarà determinato dal contesto – dove si sta effettuando il login, a che ora e da quale dispositivo. Questo cambiamento nell’autenticazione cambierà la necessità delle password. Mentre i metodi di autenticazione continueranno probabilmente a muoversi verso un approccio basato sulla biometria, il fattore di autenticazione più importante diventerà il contesto in cui gli utenti cercheranno di accedere. Presto, l’apertura di diverse applicazioni non si baserà solo sul riconoscimento facciale o sull’impronta digitale, ma anche sul luogo in cui ci si trova, sulla rete a cui si è connessi, sul paese da cui si lavora.

4. Il prezzo della privacy aumenterà
In passato, gli utenti finali hanno inconsapevolmente rinunciato alle loro informazioni private in cambio di servizi “gratuiti”, ma poiché la privacy diventa un imperativo sia legale che finanziario, gli utenti dovranno pagare per servizi che una volta erano gratuiti e accantonare fondi nel loro budget per pagare la privacy stessa. Inoltre, l’idea che le imprese possano offrire un’alternativa alla monetizzazione dei loro dati personali con un’opzione a pagamento, non è più astratta.

5. Le app dannose continueranno a sfuggirci, ma gli app store ufficiali miglioreranno le loro capacità di controllo accurato dei malware
È stato dimostrato che gli app store sono un passo indietro quando si tratta di rilevare le app dannose a causa della crescente sofisticazione delle minacce. Ci sono semplicemente troppe app, troppi sviluppatori e troppi metodi di attacco perché gli app store possano stare  al passo. Ciò non significa che gli app store siano necessariamente negligenti, in quanto intervengono quando app “cattive” vengono portate alla loro attenzione. Il problema è che, mentre la sofisticazione del malware, dell’adware e del phishing continua a progredire, gli app store faticano a tenere il passo. La buona notizia è che, guardando al 2020, è probabile che gli app store ufficiali miglioreranno le loro capacità di analisi del malware per continuare a essere un’opzione più sicura rispetto al sideloading  o a store di terze parti.

Il Verizon Mobile Security Index del 2019 ha riportato che il 33% delle organizzazioni ha ammesso di aver subito una violazione che coinvolge un dispositivo mobile. Questo numero è destinato ad aumentare dato che agli utenti è concesso l’accesso a dati sempre più sensibili dai loro dispositivi personali. Nel 2020, i professionisti della sicurezza dovranno ridefinire le priorità organizzative quando si tratta di dispositivi mobili e imparare ad evolvere per mantenere le loro informazioni sicure su tutte le piattaforme, indipendentemente dal dispositivo.

Fonte: Wandera

Semplifica la conformità GDPR, riduci la superficie di attacco

Semplifica la conformità GDPR, riduci la superficie di attacco

Il GDPR presenta una sfida complessa, creando nuove regole per le società e nuovi diritti per gli individui i cui dati sono raccolti e trattati da tali società. Più dati ha un’organizzazione, più difficile sarà affrontare questa sfida.

Il GDPR è stato promulgato in risposta alla crescita esponenziale dei dati negli ultimi due decenni e alla crescente frequenza e gravità delle violazioni dei dati, quindi sarebbe ovvio che la legge imponga un onere maggiore alle organizzazioni che gestiscono enormi quantità di informazioni. Anche se può sembrare un passo nella direzione sbagliata, la riduzione della quantità di dati raccolti e memorizzati può ridurre le probabilità di dover affrontare le sanzioni pecuniarie e la perdita di fiducia dei consumatori che ne deriverebbe a seguito di una violazione della sicurezza.

Spostare i dati fuori dalla giurisdizione dell’UE, come ha fatto Facebook, è improbabile che sia una buona soluzione a lungo termine. Il GDPR è stato menzionato frequentemente durante le udienze del Congresso di aprile su Facebook e Cambridge Analytica, segnalando che una versione americana del GDPR potrebbe presto essere in lavorazione. La mossa migliore consiste nell’affrontare direttamente la minaccia, limitando la quantità di dati che vengono controllati, esponendo il minor numero di dati possibile al furto o all’abuso e proteggendo i dati sensibili con la massima sicurezza possibile.

Mantieni i dati sensibili al loro posto

I dati strutturati rappresenteranno una sfida relativamente minore per quanto riguarda la conformità GDPR. Un tipico database aziendale viene gestito attivamente da un team di amministratori, che utilizzano strumenti progettati esattamente per il tipo di attività necessarie ai sensi del GDPR – report sui tipi e quantità di dati che un’organizzazione mantiene ed eliminazione dei dati relativi a individui specifici. Finché un database è adeguatamente protetto (inclusa la crittografia a livello di campo per i dati sensibili), è improbabile che crei spiacevoli sorprese per l’organizzazione che lo possiede.

I dati non strutturati, dati  memorizzati nei file, sono una questione diversa. Una volta che i dati vengono estratti da un database e salvati in un file, diventano molto più difficili da gestire. I dipendenti spesso salvano i file in posizioni inappropriate, li condividono con utenti non autorizzati e non riescono a proteggerli da furti o abusi. Molte delle più imbarazzanti e costose violazioni dei dati negli ultimi anni hanno riguardato file compromessi da impiegati disattenti.

Il modo migliore per gestire il rischio di dati sensibili su computer dei dipendenti, file server e account cloud è in primo luogo quello di rimuovere i dati che non dovrebbero essere presenti e crittografare i dati che rimangono. Le organizzazioni possono farlo utilizzando Smartcrypt per scansionare desktop, laptop alla ricerca di file contenenti informazioni sensibili e proteggere (o eliminare) tali file in base a politiche predefinite.

Aggiorna la tua politica di conservazione dei dati

La conservazione dei dati è uno dei temi ricorrenti mentre le organizzazioni di tutto il mondo si preparano al GDPR.

Anche se le disposizioni del GDPR in materia di conservazione dei dati non sono significativamente diverse dall’attuale direttiva UE sulla protezione dei dati, le organizzazioni dovrebbero garantire che “il periodo di conservazione dei dati personali sia limitato allo stretto necessario” e stabilire un calendario per la cancellazione dei dati. La prospettiva di pesanti sanzioni per il GDPR sta cambiando il modo in cui molte aziende pensano alla conservazione.

Quando un’organizzazione continua a conservare informazioni obsolete, non solo aumenta il carico sulle risorse di archiviazione e di trasmissione, ma si pone anche come obiettivo più ampio per hacker, spie e malintenzionati. L’unica cosa peggiore del pagamento del 4% del fatturato annuale a un’autorità di vigilanza del GDPR sarebbe il pagamento del 4% per la gestione errata dei dati che non avevi nemmeno bisogno.

Il GDPR è un’opportunità ideale per le organizzazioni per riunire i propri team di legali, di sicurezza IT e altre parti interessate per rivedere e aggiornare le politiche di conservazione dei dati. Definendo criteri che determinano il periodo di conservazione dei diversi tipi di dati, le imprese possono garantire di conservare informazioni veramente critiche, liberandosi nel contempo dei dati non necessari che possono solo potenzialmente causare problemi.

Smartcrypt di PKWARE è l’unica piattaforma per la sicurezza dei dati che integra il rilevamento, la classificazione e la protezione dei dati in un unico flusso di lavoro. Con Smartcrypt è possibile trovare, proteggere e gestire dati sensibili in tutta l’organizzazione da un unico punto di controllo.

GUARDA COME SMARTCRYPT TI PUO’ AIUTARE A SODDISFARE GLI OBIETTIVI DI CONFORMITÀ DEL GDPR

Fonte: PKWare

GDPR: la tua checklist per i prossimi 90 giorni

GDPR: la tua checklist per i prossimi 90 giorni

Dopo due anni di polemiche e confusione, l’era del GDPR sta per iniziare. A partire dal 25 maggio, l’innovativo regolamento europeo sulla protezione dei dati personali entrerà in vigore in tutti i 28 paesi membri dell’UE, cambiando radicalmente il modo in cui le aziende e le agenzie governative gestiscono i dati personali.

Da quando il regolamento è stato adottato dal Parlamento europeo all’inizio del 2016, le organizzazioni di tutto il mondo hanno lavorato per capire che cosa richiede la legge e in che modo verrà applicata. Sondaggi indicano che molte organizzazioni hanno ancora molto lavoro da fare. In un recente studio di Ernst e Young, ad esempio, il 40% delle aziende europee e l’87% delle aziende americane hanno risposto che non avevano ancora un piano di conformità GDPR.

Se la tua organizzazione si sta preparando per il GDPR, ora è il momento giusto per valutare in che modo la legge influirà sulla tua organizzazione e cosa dovrai fare per conformarti. I passaggi elencati qui possono aiutarti a stabilire la priorità delle tue attività GDPR e assicurarti che i tuoi dati siano una risorsa piuttosto che una responsabilità quando la legge diventerà effettiva.

Per ulteriori informazioni su specifiche disposizioni del GDPR e sui concetti fondamentali alla base dei regolamenti, leggi il white paper sul GDPR, Data Protection by Design.

Determina la tua posizione
Se lavori in Europa, dovrai essere conforme al GDPR. A differenza del patchwork delle leggi sulla privacy e sulla sicurezza dei dati che lo hanno preceduto, il GDPR si applicherà ugualmente a qualsiasi organizzazione che raccolga o elabori i dati personali dei cittadini dell’UE, indipendentemente dal fatto che l’organizzazione abbia sede nell’UE. Ciò include le società nel Regno Unito (che fa ancora parte dell’UE fino al completamento del processo Brexit), nonché nelle Americhe e altrove.

È anche importante sapere se la tua organizzazione è considerata un “Data Controller” (Titolare del trattamento) o un “Data Processor” (Responsabile del trattamento) ai sensi di legge. I Data Controller sono organizzazioni che prendono decisioni in merito a quali informazioni saranno raccolte dai cittadini dell’UE e in che modo verranno utilizzati i dati, mentre i Data Processor elaborano semplicemente i dati per conto dei Data Controller. Questa può essere un’analisi complicata per alcune organizzazioni, poiché una singola azienda può essere sia un data controller che data processor e può avere diverse relazioni tra controller e processor con diversi partner.

Nominare un DPO
Se la tua organizzazione è tenuta a nominare un Data Protection Officer e non l’ha ancora fatto, ora è il momento. Il DPO sarà responsabile di un’ampia gamma di attività correlate alla conformità GDPR, compresi audit interni, formazione dei dipendenti e comunicazioni con i soggetti interessati (i cittadini dell’UE i cui dati vengono raccolti o elaborati dalla propria organizzazione).

Il DPO sarà anche responsabile per il mantenimento del rapporto della vostra organizzazione con le autorità di vigilanza di GDPR che applicano la legge nei paesi in cui operate. Questo include report di routine e avvisi richiesti in caso di violazione dei dati.

Valuta le tue policy
Nel mondo post-GDPR, le organizzazioni dovranno procedere con attenzione durante la raccolta di dati su siti Web o attraverso altri canali. I Data Controller  sono tenuti ad ottenere il permesso che è “liberamente dato, specifico, informato e non ambiguo” al fine di raccogliere o utilizzare le informazioni personali di qualcuno. La legge impone requisiti di consenso ancora più stringenti per la raccolta di dati sui minori e per la raccolta di informazioni sulla salute e altre forme di dati altamente sensibili.

Le organizzazioni dovranno anche disporre di un processo per ricevere e soddisfare richieste di persone che desiderano una copia dei propri dati personali o che desiderano esercitare il proprio “diritto all’oblio”.

Valuta i tuoi dati
L’unico modo per assicurarsi che la tua organizzazione soddisfi gli obblighi di conformità alla protezione dei dati è capire esattamente quali tipi di dati hai, dove si trovano i dati e come sono protetti. La conformità GDPR richiede un approccio incentrato sui dati per la sicurezza informatica, incorporando ciascuna delle seguenti attività:

  • Discovery: le informazioni personali, come qualsiasi dato, vengono spostati oltre la posizione prevista. In molte organizzazioni, i dati sensibili vengono estratti regolarmente dai database e salvati su desktop, file server e altre posizioni in cui gli amministratori della sicurezza hanno una visibilità limitata. Strumenti intelligenti per l’individuazione dei dati possono eseguire la scansione di queste posizioni e trovare informazioni sensibili che richiedono protezione o altra gestione speciale sotto il GDPR.
  • Classificazione: i file contenenti dati personali o altre informazioni sensibili devono essere contrassegnati con metadati che indicano il tipo delle informazioni contenute in ciascun file e il modo in cui il file deve essere consultato e gestito. I tag di classificazione rendono anche la segnalazione dei dati più semplice e accurata.
  • Protezione: sebbene il GDPR non richieda specificamente la crittografia per i dati personali, lo raccomanda vivamente e fornisce anche esenzioni per le organizzazioni che lo utilizzano. Nel caso di una violazione della sicurezza, ad esempio, un’organizzazione non è tenuta a inviare notifiche di violazione se i dati rubati erano protetti da una crittografia forte. A seconda delle esigenze di conformità di un’organizzazione, alcuni dati potrebbero anche essere protetti inviandoli in quarantena, con il mascheramento o la cancellazione.

Smartcrypt di PKWARE è l’unica piattaforma di sicurezza dei dati che integra rilevamento dei dati, classificazione e protezione in un unico flusso di lavoro. Con Smartcrypt puoi trovare, proteggere e gestire i dati sensibili dell’intera organizzazione da un unico punto di controllo.
Guarda come Smartcrypt può aiutarti a raggiungere gli obiettivi di conformità GDPR.

Rimani informato
Forse l’unica cosa certa del GDPR è che nessuno sa esattamente cosa succederà dopo il 25 maggio. Quante società usciranno dal mercato europeo invece di gestire i requisiti GDPR? Quante persone vorranno esercitare il loro diritto all’oblio? Con quale frequenza le autorità di vigilanza impongono la sanzione massima per non conformità?
Mentre ci avviciniamo alla data in cui entrarà in vigore la legge, osserviamo nuove indicazioni dal gruppo di lavoro GDPR dell’UE e dalle autorità di vigilanza con cui collaborerà la vostra organizzazione. Assicurati di controllare regolarmente le best practices in materia di protezione dei dati e i suggerimenti su come aumentare la fiducia dei clienti rispettando i tuoi obblighi di conformità.

Fonte: PKWare