LA PRIVACY PARTE DAL TUO COMPUTER

 

 

 

Il mese di dicembre, da sempre, è il mese dei bilanci, delle considerazioni e dei buoni propositi.

Questo 2018 è stato un anno denso e carico di novità spaziando dall’antiriciclaggio, passando per la privacy GDPR, finendo con la fattura elettronica.

Le direttive europee e le norme collegate non indicano mai caratteristiche specifiche sulla sicurezza da adottare per aziende, studi o enti tutt’altro, non indicano mai percorsi o procedure certificate da svolgere. Sono sempre troppo generalizzanti.

In tema di privacy, per esempio, non esistono indicazioni di un ente certificato per i software o per i back up e quindi, con tutta onestà, chi propone consulenze informatiche o giuridiche con sistemi di certificazioni T.U.V , Bureau Veritas o ISO…,si fregia di svariati altri enti che di fatto non hanno nessuna inerenza con la privacy (quella vera).

Cosa fa (o cosa dovrebbe fare) esattamente il consulente informatico certificatore del livello di compliace alla GDPR?

Standard presenti

Il consulente informatico verifica con quale strumento viene trattato il dato, verificherà il tipo di pc, i software di sicurezza (antivirus, anti spam, anti malware),i sistemi di login, il sistema operativo, il tipo di rete, il tipo di firewall, i collegamenti e le condivisione dei pc, liceità dei software e del sistema operativo e standard di messaggistica mail e infine il sito e le sue dotazioni cookies e struttura privacy.

Deve essere fatta una verifica della rete sia cablata che wi-fi, della presenza di sistemi di alimentazione alternativa come i gruppi di continuità, dell’organizzazione della postazione di lavoro per poi fare una relazione di tutti questi aspetti alla luce di eventuali soluzioni proposte e migliorie da intraprendere.

Standard pregressi

Individua una cronologia degli eventi dannosi subiti, verifica gli aspetti di sicurezza adottati nel passato, ad esempio il ciclo programmato di cambio password, e non di meno delle procedure di accesso al dato e di back up e archiviazione dello stesso.

Standard programmati

Questo aspetto viene svolto attraverso un’attenta intervista col cliente che dovrà indicare come intende pianificare aspetti della sicurezza del dato, qualora quelli verificati abbiano una  vulnerabilità eccessiva.

Pianifica il cambio ciclico delle password e crea gli standard di salvataggio dei dati e di back up almeno locale o decentralizzato.

Forse stai pensando ad un’esagerata meticolosità o un’eccessiva preoccupazione.

In realtà, l’attività del tecnico informatico è importante perché prodromica e indispensabile per la redazione del Registro dei Trattamenti, che deve essere compilato dal Titolare del trattamento o da chi ha svolto le attività di censimento tramite un software capace di registrare e contenere informazioni strutturate e concatenate sui pc.

L’unico ente in Italia che certifica i software privacy oggi è Acredia (ente certificatore dell’Agid).

Non sarà necessaria l’installazione sul pc del software che gestisce la privacy, sarà necessaria piuttosto la consultazione dello stesso in caso di ispezione.

E l’antivirus? Bisogna controllare anche quello?

Non ci sono certificazioni precise indicate dalla norma ma una best practice è l’uso di antivirus con caratteristiche di sicurezza proporzionali alla delicatezza del dato trattato. Maggiore è l’importanza del dato, maggiore è la rischiosità, maggiore dovrà essere la misura di sicurezza adottata.

I prodotti gratuiti in circolazione non forniscono le caratteristiche di sicurezza per un’azienda, un ente o uno studio, meglio, quindi, affidarsi a prodotti a pagamento come:

  • NOD32
  • KASPERSKY ENDPOINT
  • QUICK HEAL
  • SEQUIRITE ENDPOINT

Non dimenticare, infine, il back up del dati!

Anche qui meglio affidarsi fin da subito a prodotti a pagamento che grantiscono una responsabilità da parte del fornitore il quale in base allo spazio allocato per lo spazio web di back up ci farà pagare abbonamenti che vanno da circa 100€ all’anno.

I seguenti prodotti sono dotati di una buona affidabilità:

  • drop box business;
  • g suite;
  • xopero;
  • crash plan;
  • p cloud;

Quando si ha a che fare con l’informatica meglio prevenire i rischi che sfidare mai la fortuna.

Emmanuel Bessah

Consulente Informatico

Ciao! Scrivi qui. Ti risponderemo appena possibile.

VIRGILIUM