Le linee di indirizzo sul DPO nella pubblica amministrazione

Il Garante per la Privacy ha pubblicato un documento di indirizzo su designazione, posizione e compiti del Responsabile protezione dei dati in ambito pubblico.

Dopo tre anni dalla piena applicazione del Regolamento UE, il Garante ha rilevato l’esigenza di fornire chiarimenti perché risultano ancora diverse incertezze che impediscono la definitiva affermazione di questa importante figura. Sembra che il ruolo del DPO nelle pubbliche amministrazioni non sia affidato correttamente o di fatto.

Nel documento si chiarisce quindi diverse domande ancora aperte. Qual è il ruolo effettivo del Responsabile per la protezione dei dati nella PA? Quali titoli e che tipo di esperienza professionale deve possedere? Quando è incompatibile con gli altri incarichi o può incorre in situazioni di conflitto di interessi? Come deve supportare e coinvolgere, e per quali compiti?

La nomina del DPO è obbligatoria nell’ambito pubblico 

Tale figura, che tutte le PA sono obbligate a nominare (art. 37 Gdpr), costituisce un riferimento fondamentale per garantire un corretto approccio al trattamento dei dati personali. Innanzitutto, se si tiene presente la crescente necessita di trasformare anche le pubbliche amministrazioni verso i processi informatici e digitali.  

Un DPO esperto e competente, in grado di svolgere i propri compiti con autonomia di giudizio e indipendenza, rappresenta infatti, una risorsa essenziale per le PA e un valido punto di contatto per l’autorità di controllo.

Stop alla incetta di nomine di DPO 

Il Garante mette quindi un freno alla nomina di Responsabile per la protezione dei dati a fornitori esterni di Servizi technology e di avvocati che difendono l’ente.

Risulta illegittimo riservare le gare per scegliere tale figura a chi ha un particolare titolo (laurea, certificazione, iscrizione a un albo). La designazione del DPO per le pubbliche amministrazioni è un compito complesso e di grande responsabilità. 

Di seguito le indicazioni più rilevanti fornite dal Garante della privacy con il «Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati in ambito pubblico» che si trova in allegato al provvedimento del Garante n. 186 del 29/4/2021. È doveroso sottolineare che è comunque l’ente a sceglie il referente DPO a sua discrezione e responsabilità.

Chi può essere designato come DPO

  • Cumuli di incarichi – Sono da evitare i troppi incarichi allo stesso Responsabile per la protezione dei dati esterno. L’ente dovrà verificare il numero di incarichi già ricoperti dalla società o dal professionista prescelto oltre alla specializzazione. In caso l‘ente scelga una società, dovrà valutare la presenza di adeguate risorse a supporto del DPO nominato.
  • Il difensore legale – Il Garante invita le Pubbliche amministrazioni di non nominare un DPO che, contemporaneamente, svolge per le medesime il ruolo di difensore in giudizio.
  • Il fornitore IT – Particolare attenzione viene posta al settore IT, poiché la regola prevede di non designare come DPO un soggetto esterno che già fornisce servizi all’ente. Nel caso non si possa fare diversamente, l’ente deve dichiarare per iscritto la motivazione di tale scelta e che non svolgono i compiti connessi alla fornitura (rigida separazione tra attività di DPO e gli altri servizi). 

La posizione del DPO

  • I conflitti di interesse – Un punto fondamentale nella protezione dei dati, derivante dal GDPR (art.38, comma 3), che richiede una attenta valutazione caso per caso. Si distingue quindi gli enti di carattere nazionale e/o territoriali di grandi dimensioni, nei quali sono incompatibili il direttore risorse umane, contabilità o il responsabile IT al ruolo di DPO interno. Negli enti più piccoli, si deve fare un’attenta riflessione caso per caso, esplicitando le ragioni della nomina di dipendenti. Se si tratta invece di componenti di organi collegiali, ci sono maggiori spazi, sempreché sia prevista l’astensione in caso di conflitto di interesse o cautele simili.
  • La gerarchia – L‘autonomia di giudizio e indipendenza deve essere garantita e quindi va preferito, per la nomina del DPO interno, un dirigente o a un funzionario di alta professionalità. Nel caso l’ente scelgaun funzionario, occorre l’adozione di idonee garanzie di indipendenza, considerato che il DPO potrebbe valutare la condotta di un dirigente.
  • I titoli – Non è consentito scegliere il DPO in base a determinati titoli, quali laurea, iscrizione ad un albo professionale, certificazione o altro. Persino la certificazione volontaria (UNI 11697) è soltanto un elemento utile, ma non un’autorizzazione a priori.
  • Il referente – Se l’ente affida il servizio di DPO a una società, va indicata una persona specifica come referente. Il referente indicato da DPO, persona giuridica, non deve necessariamente essere undipendente della società incaricata. È opportuna una clausola contrattuale che obblighi la persona giuridica affidataria a comunicare all’ente qualsiasi variazione della persona fisica.

Ricompenso e durate dell’incarico

  • La durata dell’incarico – Si ritiene come congruo periodo di incarico da DPO, la durata contrattuale intorno ai tre anni. Trattandosi di una linea guida, sta all’ente pubblico determinare la durata. In ogni caso deve essere rispettato il principio di rotazione, nell’affidamento dei contratti pubblici di importo inferiore alle soglie comunitarie.
  • Il compenso – Nessuna indicazione da parte del Garante sui compensi, ma l’invito a non aggiudicare il bando in base al criterio del prezzo più basso.
  • La pubblicazione – I dati di contatto del DPO devono essere pubblicati sul sito web delle pubbliche amministrazioni. Tali dati devono essere facilmente riconoscibile, in una sezione dedicata, nella sezione dell’organigramma e ai relativi contatti. Non c’è alcun obbligo di pubblicare il nome del DPO. Consigliamo di attivare una casella postale dedicata al DPO.
  • La comunicazione al Garante – I dati di contatto del DPO nominato devono essere comunicati al Garante tramite l’apposita sezione sul sito web. Nella stessa sezione vanno comunicati anche le eventuali successive variazioni come per esempio nel caso di cambio nomina. È prevista una sanzione amministrativa per il mancato aggiornamento dei dati di contatto del DPO, sia sul sito web dell’ente sia nella relativa comunicazione al Garante.

Conclusione

In base alle linee guida del Garante, sarà quindi necessario per tante amministrazioni pubbliche di effettuare una revisione degli incarichi affidati. E, per chi non ha ancora conferito l’incarico, di attivarsi al più presto. Poiché il DPO assolve funzioni di supporto, di controllo, consultive e formative e che deve essere coinvolto tempestivamente e adeguatamente in tutte le attività che riguardano la protezione dei dati personali.

Oltre a dedicarsi alle evidenti necessita di fornire chiarezza per ambito pubblico, il Garante è intervenuto anche sulle FAQ riguardanti il settore privato. Poiché la figura del DPO svolge un ruolo fondamentale, pur con sensibili differenze rispetto alle PA.

Per approfondimenti specifici o semplice richieste d’informazioni in generale prenoti il suo appuntamento personale con un nostro consulente.

La prima consulenza è sempre gratuita.

Fonte: Federprivacy.it

DPIA: cos’è la valutazione d’impatto e il calcolo dei rischi

LA VALUTAZIONE DI IMPATTO ossia l’individuazione e gestione del RISCHIO

Prima di approfondire di che cosa si tratta se parliamo di una DPIA è obbligatorio chiarire inanzitutto cosa si intende per rischio. Con “rischio” , in riferimento ai “diritti e le libertà” degli interessati, va inteso come relativo al diritto della privacy, ma può essere riferito anche ai diritti fondamentali di libertà d’espressione e di pensiero, la libertà di movimento, il dievieto di discriminazione, il diritto alla libertà di coscienza e di religione. Tale diritti saranno, in base al trattamento messo in atto, più o meno esposti al rischio. Si tratta quindi di uno scenario descrittivo di un evento e delle relative conseguenze, che sono stimate in termini di gravità e probabilità per i diritti e le libertà delle persone fisiche.

Come possiamo quindi individuare e successivamente gestire i potenziali rischi nella gestione dei dati personali?

L’art. 35 del GDPR prevede la valutazione sulla protezione dei dati personali (DPIA) con riguardo a un trattamento che può presentare un elevato rischio per i diritti e le libertà delle persone fisiche. Tale imposizione legale implica quindi di poter individuare quali ambiti sono ritenuti più a rischio di altri, poiché un trattamento di dati personali non è di per se classificabile a priori ad elevato rischio.

L’indicazioni fornite del GDPR per individuare le categorie di trattamento con elevato rischio:

  • su larga scala
  • di profilazione
  • di sorveglianza di zone accessibili al pubblico su larga scala
  • che prevedono l’utilizzo di categorie particolari di dati
  • con l’utilizzo di un grado di conoscenza tecnologica elevato
  • che prevedono l’utilizzo di dati biometrici o dati relativi a condanne penali e reati o a connesse misure di sicurezza

Oppure, descrivendo l’ambito ancora più generalizzato, si tratta di trattamenti che rendono difficoltoso l’esercizio di protezione e di garantire i diritti degli interessati.

Chi deve eseguire la DPIA?

Il Regolamento descrive chiaramente che il soggetto cui spetta il compito di gestire il rischio che incombe sui dati personali e valutarne il livello è il titolare del trattamento. Chiaramente, la dove è stato incaricato DPO, il titolare dei dati si avvale del supporto specialistico da parte del DPO. Inoltre, come anche suggerito dal Garante della privacy, la conduzione materiale della valutazione di impatto può essere affidata ad un soggetto interno o esterno all’organizzazione.

Le singole fasi del processo di gestione del rischio privacy:

  • La mappatura dei trattamenti effettuati, coincide con il registro dei trattamenti redatto. Un documento che riporta una descrizione delle tipologie di dati, degli interessati, le finalità del trattamento, dei trasferimenti e delle valutazioni del caso. Il citato registro sarà inoltre utile per effettuare la valutazione dei rischi in quanto fornisce già le informazioni utili alla valutazione.
  • La valutazione del rischio privacy sui trattamenti mappati nella fase 1, tiene in considerazione i seguenti elementi: origine – natura – gravità- probabilità- impatto sui diritti e le libertà degli interessati. La “gestione del rischio” è definibile come l’insieme coordinato delle attività finalizzate a guidare e monitorare un titolare dei trattamenti nel riguardo di tale rischio.
  • La conduzione della DPIA, è prevista dal Regolamento europeo e deve essere effettuata a monte del trattamento, cioè in fase di progettazione. Come vale anche per ogni altra azione di adeguamento, anche la DPIA deve essere verificata e aggiornata con regolarità. In questo modo si evince subito se determinate scelte di misure tecniche o organizzative siano ancora valide ed efficace o se dovranno essere adeguate alla situazione variata. Sarà inoltre importante definire e documentare eventuali ulteriori ruoli e responsabilità in rapporto alle politiche, ai processi e alle disposizioni interne scelte.
Una DPIA deve contenere:
  1. una descrizione sistematica e funzionale del trattamento
  2. gli strumenti coinvolti nel trattamento dei dati personali
  3. i codici di condotta a cui l’organizzazione ha deciso di aderire
  4. una valutazione di necessità e proporzionalità del trattamento, incluso le misure adottate
  5. una valutazione delle minacce che potrebbero comportare accessi illegittimi, modifiche indesiderate e indisponibilità dei dati, incluse relative probabilità e gravità
  6. una stima degli impatti potenziali sui diritti e le libertà degli interessati in caso di eventi fra cui illegittimo, modifiche indesiderate e indispensabilità dei dati
  7. le misure per la gestione dei rischi e mitigazione degli impatti
  8. il coinvolgimento dei soggetti interessati o opinione del DPO
  • La notifica al Garante sarà necessaria, nel caso risultino trattamenti con un livello ancora “non accettabile” dopo la fase 2 del percorso di valutazione. Il titolare dovrà quindi consultare l’autorità di controllo, avviando un iter di valutazione da parte dell’autorità competente. Nel caso in cui , alla conclusione della DPIA risultano rischi, attenuati tramite misure di sicurezza più idonei, e quindi a livello “accettabili” non occorre interpellare l’autorità Garante.

Un esempio riportato dal WP29 riguardo il cosiddetto “rischio residuale elevato” non accettabile, descrive la situazione generica derivante dall’impossibilità di ridurre il numero di soggetti in grado di accedere ai dati in base alle modalità di condivisione, utilizzo o distribuzione dei dati – i servizi in cloud, soprattutto su base gratuita. Le conseguenze derivanti per l’interessato (significative, irreversibili e non eliminabili) come la minaccia per la vita dello stesso, la perdita o sospensione del rapporto lavorativo, nonché danni di natura finanziaria, sono un rischio elevato.

Il registro delle DPIA

Come abbiamo già detto, il titolare del trattamento deve decidere quali sono le misure più idonee per attenuare i rischi emersi alla conclusione della DPIA. Lo scopo è riportarli ad un livello “accettabile”. A prescindere del resultato “accettabile” o “non accettabile” e la conseguente richiesta di valutazione al Garante, nel secondo caso, il titolare ha l’obbligo di motivare e documentare le scelte effettuate.

In pratica significa che il titolare sarà obbligato a dimostrare l’eventuale mancata conduzione della DPIA, annotando o allegando l’opinione del DPO. Risulta quindi anche qui di fondamentale importanza la valutazione del rischio (fase 2).

È richiesto inoltre un registro delle DPIA (ogni trattamento con elevato rischio ha la propria DPIA!). Tale documento si traduce nella redazione e nel mantenimento di un apposito registro o nella integrazione del registro dei trattamenti. Si nota ancora una volta, quanto siano importanti gli strumenti introdotti dal GDPR quale: registro dei trattamenti, DPO e DIPA. Nel registro emergono di conseguenza sia la mappatura delle attività di trattamento effettuate si la valutazione del rischio annesso e l’eventuale pianificazione delle misure di sicurezza necessarie per mitigare i rischi e impatti sulla privacy.

Le misure per la gestione del rischio – accountability

La mitigazione del rischio e l’accountability sono tasselli chiave nel processo di una DPIA. Dobbiamo tenere presente di adoperare le misure corrette e commisurate al fine di mitigare o limitare il rischio. Inoltre siamo obbligati di tenere traccia non solo della valutazione stessa, delle misure messe in atto ma anche della decisione di non fare nulla. Vediamo le misure di sicurezza da poter operare:

  • qualità dei dati
  • cifratura
  • conservazione adeguata
  • Anonimizzazione dei dati
  • minimizzazione
  • Misure tecnologiche: policy di sicurezza logiche e fisiche, aggiornamenti servizi e software, test, controllo accessi e tracciamento operazioni
  • Misure organizzative: ruoli, governance, istruzioni, formazione, procedure, audit, strumenti di controllo per gli interessati, contatti

Conclusione

Una valutazione dei rischi privacy si articola in vari fasi di attività che riguardano aspetti privacy e sicurezza. Tutti i singoli processi sono da analizzare contestualmente. I componenti che compongono il processo di valutazione del rischio, se sono ben identificati e analizzati, costituiranno la traccia per realizzare una valutazione pertinente ed efficiente. Una valutazione adattabile ad ogni contesto ed in grado di indicare al titolare del trattamento se sia necessario procedere con la notifica al Garante o assumersi la responsabilità di procedere al trattamento.

Noi ti aiutiamo con competenza ed esperienza a individuare e mitigare i rischi privacy nella tua attività.

seminario online gratuito

Formare i dipendenti sul GDPR: come farlo e perché è importante per le aziende

La formazione sulla protezione dei dati è uno strumento importante per lavorare in conformità con il GDPR. Sensibilizzare i propri dipendenti significa mettere le basi per impiantare la protezione dei dati in azienda. I vostri dipendenti non dovrebbero essere espressamente formati per diventare specialisti nella protezione dei dati. Non vi è alcun obbligo esplicito di formare i dipendenti dalla legge.

Entriamo quindi subito nel dettaglio, approfondendo le aree più importanti.

La base giuridica per la formazione obbligatoria secondo GDPR

Prima di tutto, va detto che non vi è alcun obbligo di fornire formazione sulla protezione dei dati. Tuttavia, risulta dalle singole attività che possono essere svolte dai dipendenti, che devono essere qualificati per tali incarichi.

Quindi dovrebbero essere in grado di affrontare obblighi come per esempio:

  • Obbligo di segnalare le violazioni dei dati (di solito sono i dipendenti a scoprirle per primi)
  • Obbligo di fornire informazioni alle persone interessate (i clienti contatteranno direttamente i propri dipendenti con richieste)
  • Obblighi di cancellazione (i dati non possono essere conservati a tempo indeterminato)
  • Rapporti con le autorità di vigilanza
  • Attenta gestione dei dati personali (questa è responsabilità del responsabile del trattamento, ma i dipendenti di esso lo eseguono)

Inoltre, il responsabile della protezione dei dati, nella misura in cui è stato nominato, è responsabile dell’informazione e della consulenza dei dipendenti dell’azienda sulla protezione dei dati. Questo spesso si traduce nel DPO che assume la direzione della formazione.

Inoltre, l’imprenditore (o il responsabile) ha una responsabilità per il rispetto del GDPR e questo include anche misure organizzative per conformarsi alle normative.

Oltre a questi obblighi derivati, ci sono anche altri motivi che parlano a favore della consapevolezza, ossia la formazione, del GDPR. La sicurezza del tuo IT è rafforzata se tutti i dipendenti sanno come gestire i dati. Inoltre, un comportamento responsabile da parte dei dipendenti può avere un effetto positivo sulla fiducia dei tuoi clienti.

Come istruirsi in base al GDPR (in loco, online, e-mail o altro)

Non ci sono inoltre specifiche per il tipo di formazione dei dipendenti dal GDPR. Tuttavia, è consigliato eseguire questa operazione in modo verificabile. Questo può essere fatto, ad esempio, con un protocollo di allenamento. Sono disponibili online anche soluzioni di e-learning.

Un’altra opzione è inviare i materiali di formazione tramite e-mail e richiedere la conferma tramite essa. Ogni persona responsabile deve decidere autonomamente se questa è una misura efficace per la formazione.

L’opzione migliore è prenotare seminari dal vivo. Questi possono avvenire internamente o puoi inviare i tuoi dipendenti al luogo di formazione. In ogni caso va valutato anche la proporzionalità del costo. E spesso conviene optare per la formazione online.

Si consiglia cautela durante il controllo dell’apprendimento. Ciò può portare al rifiuto, soprattutto da parte dei comitati aziendali, in quanto rappresentano il monitoraggio dei dipendenti.

Da non dimenticare è l’impegno per la protezione dei dati e la riservatezza, che dovresti far firmare a ogni dipendente.

In un corso di formazione GDPR dovrebbe essere compreso il seguente contenuto:

In generale, il seguente contenuto dovrebbe essere integrato:

  • Creare consapevolezza sui problemi di protezione dei dati
  • Capacità di comportarsi nel rispetto delle normative sulla protezione dei dati
  • Promozione di comportamenti conformi alla protezione dei dati.

In particolare, possono essere affrontate le seguenti domande:

  • Cos’è il regolamento generale sulla protezione dei dati dell’UE?
  • Cos’è la protezione dei dati?
  • Cosa sono i dati personali?
  • Categorie speciali di dati personali
  • Chi sono gli attori della protezione dei dati?
  • Quali sono i principi del trattamento dei dati personali?
  • legalità del trattamento
  • trasparenza
  • Minimizzazione dei dati
  • termini di archiviazione
  • Integrità, riservatezza e sicurezza
  • Qual è la differenza tra la protezione dei dati by Design & by Default
  • Protezione dei dati fin dalla progettazione
  • Protezione dei dati tramite impostazioni predefinite ottimizzate per la protezione dei dati (Protezione dei dati per impostazione predefinita)
  • I diritti dell’interessato e gli obblighi del responsabile
  • Trasferimento dei dati in paesi extra UE
  • Argomenti speciali
  • Il responsabile della protezione dei dati (DPO)
  • Documentazione e GDPR
  • Quando qualcosa va storto (violazioni dei dati)
  • Uso conforme alla protezione dei dati dei dispositivi mobili
  • Multe e sanzioni
  • Sicurezza informatica
  • Protezione tramite password
  • Sicurezza dei sistemi

Se progetti questo contenuto in modo accattivante e, ad esempio, lo presenti come parte di una presentazione PowerPoint (ppt) e poi prepari un protocollo di formazione, hai fornito una buona sessione di formazione sul GDPR.

Non sono da dimenticare anche eventuali corsi di formazione speciali, ad esempio per comitati aziendali o dipendenti che trattano dati dei clienti particolarmente sensibili.

Gruppo di dipendenti e frequenza dei corsi di formazione in materia di GDPR

In linea di principio, tutti i dipendenti che entrano in contatto con i dati personali hanno diritto alla formazione. Quindi soprattutto i dipendenti che elaborano i dati di clienti, pazienti o altri dipendenti. In realtà è consigliabile insegnare a tutti i dipendenti le basi della protezione dei dati al fine di garantire un pari livello in tutta l’azienda.

Un corso di formazione annuale viene offerto come un ciclo, in modo che il tema della protezione dei dati rimanga attuale e nella mente dei dipendenti. Sarebbe anche consigliato una formazione nel momento in cui sorgono nuovi problemi di protezione dei dati, ad esempio l’introduzione di un nuovo strumento o sentenze speciali di tribunali in materia.

Le 4 più frequente domande sulla formazione dei dipendenti GDPR

Quando devo seguire un corso di formazione sulla protezione dei dati?

In linea di principio, la formazione dovrebbe essere svolta prima che i rispettivi dipendenti inizino a trattare i dati personali. Questo può essere fatto, ad esempio, come parte di un onboarding.

Altrimenti, ovviamente, la formazione dovrebbe avvenire il prima possibile.

Con quale frequenza devo formare i miei dipendenti in materia di protezione dei dati?

Si consiglia un ciclo annuale. Tuttavia, non ci sono requisiti legali o linee guida per questo.

Inoltre, la formazione dovrebbe essere effettuata se ci sono modifiche legislative o nel caso dell’introduzione di nuovo software.

Sono persino obbligato a formare i miei dipendenti in materia di GDPR?

No, in linea di principio non esiste un obbligo legale specifico. Tuttavia, le autorità controllano nei loro questionari se la formazione è in corso.

Nel complesso, tuttavia, il dovere alla formazione può essere ritenuto derivante dalla responsabilità in capo al titolare del trattamento. Come puoi dimostrare di prendere sul serio la protezione dei dati in azienda se non garantisci una adeguata formazione al personale?

Esiste un formato prescritto per come dovrebbe svolgersi la formazione GDPR?

No, anche per il contenuto del corso non esistono linee guida. Fondamentale rimane sempre che si possa documentare l’implementazione, ad esempio tramite un protocollo di formazione o un software.

In conclusione: la formazione sul GDPR è uno strumento importante

Fa aderire i propri dipendenti ai corsi di formazione al GDPR, e quindi come gestire i dati personali non deve degenerare in giorni di formazione interminabili; ci sono alternative alla formazione faccia a faccia che possono anche essere efficaci. Nel complesso, la formazione annuale sulla protezione dei dati è appropriata, quindi l’argomento rimane nella mente delle persone.

Noi ti aiutiamo con competenza ed esperienza a formare ed aggiornare il tuo personale.

5 consigli per la sicurezza informatica della tua azienda

In questo articolo diamo innumerevoli consigli per salvaguardare la sicurezza informatica della propria azienda. Progettando o verificando una rete aziendale si è sempre orientato alla sicurezza, efficienza e ridondanza. Alcuni elementi nel progetto di una rete rimangono per molto tempo invariati, altri elementi invece necessitano di una costante manutenzione e aggiornamento per garantire i massimi livelli di sicurezza.

Da qui si evince quindi che un tassello fondamentale nella sicurezza IT è la manutenzione preventiva. 

Quali sono i principali pericoli e come predisporre un adeguato livello di protezione dei dati?

Come implementare un piano di adeguamento alle leggi di Data Protection e quali misure adottare per la sicurezza di reti fisse e mobili?

1) Quali sono i comportamenti suggeriti da adottare per salvaguardare la sicurezza della rete? 

  • La scelta di un buon antivirus e anti-malware. A prescindere dalla quantità di computer che utilizza un’azienda in connessione ad Internet, essa ha bisogno di una protezione contro virus e malware installato su ogni apparecchio. Già un semplice programma antivirus, spesso anche gratuito, è in grado di bloccare la maggior parte delle minacce. Tuttavia, bisogna tenere presente di effettuare un monitoraggio costante per rendere il software efficace.
  • I costanti aggiornamenti: Gli aggiornamenti del sistema operativo e del firmware sono importante sia per la ottimizzazione delle prestazioni sia per “chiudere” eventuali buchi per potrebbero permettere un’intrusione nel PC. Si consiglia di far effettuare gli aggiornamenti da persone dedicate alla manutenzione della rete per garantire che il lavoro venga fatto in modo conforme e senza eventuali conseguenze negative..
  • Scansione e filtri per E-mail e Web: L’importanza d’utilizzo di software per la ricerca di malware sui PC è ormai noto. Ma esistono sistemi che possono bloccare software maligni già prima che si insidino nel computer. Fondamentale quindi per garantire la sicurezza della rete è la scansione delle E-mail e i filtri dei siti web. In questo modo di monitora in tempo reale gli allegati delle mail, i messaggi e i siti che potrebbero contenere virus. Gli amministratori possono, nello stesso tempo, mettere dei filtri web che bloccano solo determinati siti.

2) Controlli eseguiti dall’interno e/o dall’esterno

  • La stesura di procedure e policy: La scrittura di linee guida o procedure che regolamentano l’utilizzo della rete dovrebbe entrare nelle best practice di sicurezza IT di ogni azienda. La policy fornisce tra l’altro le informazioni sulle azioni permesse, compresi i siti utilizzabili e non. Le procedure invece disegnano i compiti e comportamenti nel caso di incidente (intrusione, virus, Data Breach etc.) e regola l’accesso alla rete da parte di utilizzatori esterni. Questi documenti servono a indurre ogni dipendente ad un comportamento corretto e per evitare gesti rischiosi per la rete aziendale. Aumentano notevolmente la sicurezza informatica della rete aziendale.
  • Eseguire l’audit: per garantire il massimo livello di sicurezza e fondamentale la progettazione di un ambito sicuro sin dal principio. Tuttavia, non tutte le condizioni iniziali rimangono per sempre invariati. Quindi occorre implementare almeno un audit annuale che garantisce il controllo dello stato attuale, mette in evidenza eventuale problematiche e indica miglioramenti. Tale processo aumenta la consapevolezza di tutto il personale coinvolto oltre a garantire a tutto l’ambiente una maggiore sicurezza.
  • I Backup regolari e frequenti: Altrettanto importante sono i Back up regolari che comprendono tutte le informazioni inclusi le configurazioni dei device e le versioni del firmware. In questo modo garantiamo il recupero dei dati in caso di perdita. Ma va ricordato che il Backup deve essere sempre protetto e criptato su un sistema sicuro e con accesso limitato, al fine di garantire che i dati sensibili non siamo a disposizione di tutti.  

3) Controlli tra sistemi e documenti

  • L’utilizzo di Firewall: Una parte importante nella progettazione di una rete aziendale sono i Firewall. Ed ecco un tassello della rete cha ha bisogno di una regolare manutenzione per garantire un funzionamento ottimale. Durante il processo di manutenzione si ha l’occasione inoltre di rimuovere vecchie regole, vecchi utenti e configurazioni. 
  • La scansione della sicurezza di rete: La scansione della rete è esattamente ciò che fa un Hacker prima di attaccarla. E cosa fa la scansione? Invia una richiesta ai server attraverso ogni possibile percorso e quando un server risponde, è possibile sapere quale servizio, in quanto tempo ha risposto. Si ottiene inoltre, analizzando un po’ più in profondità le informazioni se si tratta di un server web e di che tipo e versione di server si tratta. Quindi sarà poi possibile valutare le vulnerabilità e porre rimedi a possibili attacchi, garantendo la sicurezza informatica della rete aziendale.
  • Il controllo delle procedure: La revisione periodica delle linee guida assicura la coerenza e l’allineamento tra la documentazione e la realtà. Poiché le tecnologie in un’azienda possono essere in continuo cambiamento, anche le policy sono soggette a cambiamenti frequenti.  
  • I sistemi di crittografia: la tutela della privacy dei dati sensibili o riservati si basa generalmente sui sistemi di crittografia end-to-end. Tali sistemi sono progettati per mantenere le informazioni inaccessibili all’esterno della rete aziendale. 

4) Verifiche e analisi costanti

  • Il controllo dei sistemi: In genere si focalizza i lavori di controllo sui server e le loro configurazioni. Includendo ogni domain service come Active Directory e gli account di ex dipendenti che non devono più avere accesso alle risorse aziendali. Da non dimenticare la sostituzione di hardware vecchia e l’aggiornamento di vecchi sistemi operativi.
  • VPN: Si tratta di una tecnologia che permette l’utilizzo di protocolli cifrati per il traffico in entrata e in uscita permettendo lo scambio sicuro di dati e informazioni. Nello stesso tempo rende le attività in rete invisibili, impedendo ai non autorizzati l’accesso o monitoraggio.
  • Il controllo della rete: con questo procedimento si pone l’attenzione su ogni singolo dispositivo che è collegato alla rete e alle sue impostazioni. Il controllo degli aggiornamenti di firmware e dei programmi operativi come Windows è fondamentale. Va raccomandato inoltre il controllo delle regole del firewall, almeno una volta all’anno. Per tenere al meglio sotto controllo le singole verifiche si consiglia di tenere un registro.
  • Il Penetration Test: una sofisticata procedura che permette di verificare se la rete informatica è affidabile. Attraverso una serie di test approfonditi viene stabilito se ci sono falle, bug, carenze di sicurezza e individuate le vulnerabilità stabilendo come aumentare il livello di protezione.
  • Rilevamento e prevenzione: L’implementazione di sistemi per prevenire e rilevare intrusioni nella rete servono a controllare in tempo reale il traffico ad ogni livello di comunicazione. 
  • Analisi dei log: Per controllare lo stato di un server servono i file log. Tali log contengono messaggi relativi al sistema, compreso il kernel, i servizi e le applicazioni in funzione. Una delle principali necessità per le aziende è sempre stata l’aggregazione dei file log che provengono da diversi server. Tale aggregazione permette la consultazione da un’unica postazione oltre a rispondere e ricostruire gli incidenti di sicurezza. 

5) Un progetto completo tra sistemi e risorse

  • La creazione di documentazione: la documentazione a sé non costituisce una misura di sicurezza, tuttavia rende molto più facile e tempestivo l’accesso alle informazioni importanti. Una buona documentazione include:
    • lo schema della rete
    • le regole che impattano sulla rete
    • i dati di contatto dei fornitori di Hardware
  • La formazione: Tassello importante per garantire la sicurezza della rete aziendale è la formazione periodica del personale. Poiché i dispositivi vengono utilizzati dai dipendenti che, non istruiti, posso assumere dei comportamenti sbagliati o dannosi. 

Gli elementi chiave

Infine vanno ricordati alcuni elementi chiave per ottenere o mantenere una rete informatica aziendale sicura: la regolare manutenzione della rete e degli apparecchi permettono una performance a massimo livello. Se viene trascurata la manutenzione, la vulnerabilità della rete aumenta inevitabilmente, ciò causerà problemi di sicurezza con indisponibilità o perdite di dati e risorse. Il controllo degli accessi e il monitoraggio della rete aziendale permettono di avere una panoramica completa di tutti i dispositivi e dei dati in rete. 

La formazione del personale oltre le policy di accesso è il fattore più sensibile in un sistema di sicurezza della rete aziendale. 

Implementare una rete aziendale sicura o verificare la sua efficacia è un compito complesso.

Noi ti aiutiamo con competenza ed esperienza.