Certificazione GDPR: come orientarsi nel “far west” della privacy

La sicurezza dei dati è fondamentale per ogni organizzazione e per la tutela delle persone, tema sempre più attuale anche in documentari come “The Social Dilemma”. Entra così in gioco il GDPR in tutte le sue sfaccettature.

Quando oggi si parla di privacy e dati personali, il grande pubblico digitale ha una consapevolezza più o meno marcata del fatto che si tratta del cosiddetto “oro del terzo millennio”.

In che modo è possibile arrivare a una tale affermazione? Ce lo spiega l’ottimo documentario “The Social Dilemma” di Jeff Orlowski. In estrema sintesi, i dati personali che noi spontaneamente immettiamo per poter accedere a un servizio possono essere utilizzati per una accurata (e tracciata) profilazione commerciale generando un enorme giro d’affari in termini di pubblicità. Un’ottima sintesi narrativa è contenuta nel libro “The Game” di Alessandro Baricco che, in uno dei suoi passaggi più noti recita: “Quando è gratis, quello che stanno vendendo sei tu”.

È in questo contesto che interviene il GDPR entrato in vigore nel 2018.

Legislazione sui dati personali: arriva il GDPR

Questo regolamento cerca di mettere ordine nel “far west” della privacy secondo alcuni semplici principi:

  • Trattamento lecito
  • Minimizzazione del trattamento (raccogliere il minor numero di dati possibile)
  • Minimizzazione del tempo di conservazione (I dati vanno trattenuti per il minor tempo possibile. In caso si dovessero trattenere per più tempo, vanno anonimizzati)
  • Trasparenza tramite informativa privacy
  • Sicurezza della conservazione dei dati

È proprio su quest’ultimo punto che oggi ci soffermeremo per esaminare una soluzione semplice ed efficace contro il data breach: Lucy Security.

Data Breach: cause e conseguenze

Per Data Breach intendiamo una situazione definita “patologica” dal GDPR che consiste nella perdita verso l’esterno di dati personali.

Un paio di esempi. Un data breach può essere provocato dall’attività criminale di un hacker che “buca” un database ma anche da un medico distratto che invia un certificato di malattia a un indirizzo errato. Certamente esistono diverse entità del fenomeno.

Quello che però sembra essere certo è che la sicurezza dipende in gran parte dal comportamento e dalle scelte degli esseri umani.

È facile per un malintenzionato effettuare una campagna massiva di mail phishing per rubare dati personali e codici bancari ma è altrettanto difficile per l’utente medio rendersi conto del pericolo.

La gravità di tutto ciò può essere senza dubbio amplificata dal contesto in cui l’errore umano viene commesso. Ciò ci riporta alla mente casi eclatanti di cronaca che ci hanno raccontato di data breach mastodontici come quelli che hanno coinvolto Regione Lazio, Easy Jet e altri. In particolare il primo caso citato ci riguarda molto visto il contesto in cui si sono svolti i fatti. Nella fattispecie, a causa di un malware che ha colpito il computer di un dipendente in smart working è stata temporaneamente bloccata la piattaforma organizzativa della campagna vaccinale anticovid e sono andati persi anni di documenti regionali indispensabili per garantire l’operatività dell’ente. E pensare che tutto potrebbe (non è stata comunicata la dinamica specifica) essere partito da un distratto click su una mail di phishing.

L’intervento del GDPR

Viene da sé che oggi il titolare del trattamento (figura indicata dal gdpr come colui che, fra le altre cose, deve garantire la sicurezza della conservazione dei dati) debba preoccuparsi “a monte” di privacy e sicurezza.

Il GDPR impone esplicitamente l’efficacia delle soluzioni adottate dal titolare dei dati. L’efficacia va dimostrata ovviamente in sede di controllo.

Come gestire tali pericoli agendo sul comportamento degli utenti?

La risposta di Lucy security è semplice: formazione. Ma non parliamo di una semplice formazione in cui il dipendente può sfogliare svogliatamente e passivamente delle slides. Lucy security è una vera e propria “prova sul campo” delle abilità effettive.

Attraverso un servizio di licensing molto simile a quello che abitualmente vediamo per l’endpoint protection, Lucy permette al titolare del trattamento (o a chi per lui) di ideare delle campagne di penetration molto credibili tramite dei semplici template che imposteranno con facilità, ad esempio, una mail di phishing fittizia, simulando perfino l’invio da fonti accreditate (amazon, yahoo, ecc.)

Il dipendente sarà così messo di fronte ad una situazione critica alla quale dovrà in qualche modo rispondere.

Lucy security è in grado di raccogliere tutti i risultati finali della campagna e di raggrupparli anche per reparto mettendo quindi in evidenza eventuali criticità settorializzate.

Dopo aver messo al corrente della situazione il titolare del trattamento, Lucy suggerisce una serie di contenuti per provvedere alla formazione on line del personale in modo da prevenire comportamenti errati in caso di attacco reale.

Successivamente si potrà procedere a nuove campagne di attacco simulato variando i criteri e la forma per poi procedere con lo stesso iter di accesso alla formazione.

La risposta di Lucy Security

Lucy Security di per sé risponde alle più stringenti normative sulla privacy e risulta un servizio dall’installazione estremamente facile. In pochi minuti può essere avviato localmente su intranet, su cloud SaaS tramite le piattaforme più comuni (Unix, Windows) o su server Lucy dedicato. Il team di lavoro è composto da ex hacker etici che aggiornano continuamente contenuti formativi e metodi di attacco andando oltre il semplice phishing.

Fra le tante simulazioni di attacco sono comprese:

  • Smishing (phishing tramite sms)
  • Attacco con ingresso dati
  • Attacco con link
  • Reindirizzamento url
  • Attacchi basati su file
  • Attacchi con simulazione ransomware
  • Clonazione Sito
  • Attacchi da dispositivi portatili
  • Attacchi Double Barrel
  • Simulazione spear phishing
  • Attacchi basati su Java

Il licensing è ben strutturato: si parte dalla versione standard al costo attuale inferiore a 1 euro per postazione per arrivare alla versione ultra con numero illimitato di accessi e nessun limite sulle funzionalità disponibili. Lucy batte la concorrenza per completezza di soluzione e flessibilità di utilizzo.

Insomma, Lucy security è una soluzione completa per attenuare considerevolmente il data breach causato da errore umano. Fornisce strumenti di controllo accurati e assimila in sé il principio enunciato dal GDPR della privacy “by design” ovvero “a monte” delle possibili contingenze.

Allnet-Italia è oggi distributore ufficiale della tecnologia Lucy Security. Vi invitiamo a consultare il nostro sito e a contattarci per scoprire tutti i vantaggi riscontrabili nell’adottare una soluzione di sicurezza di tale livello.

Potrebbe interessarti…

  1. […] Curiosità! GDPR e ISO 27001 GDPR e ISO 27001 sono due standard di conformità importanti che hanno molti elementi in comune. Entrambi mirano ad irrobustire la sicurezza dei dati ed a diminuire il rischio di violazione degli stessi, ed entrambi necessitano e dettano le linee guida per la creazione di un sistema organizzato al fine di assicurare la riservatezza, l’integrità e la disponibilità dei dati sensibili. La conformità alla ISO 27001 non garantisce però la conformità al GDPR, ma ne costituisce una parte importante. Questo perché il GDPR ha uno scopo molto più ampio e una comprensione più fondamentale riguardo alla sicurezza ed alla privacy dei dati personali in maniera organica e completa rispetto alla ISO 27001 […]

    Rispondi

Rispondi

%d blogger hanno fatto clic su Mi Piace per questo: