I principali accorgimenti per un’infrastruttura IT GDPR compliant

GDPR

Anche l'adeguamento dell'infrastruttura IT ai nuovi canoni di sicurezza è un elemento fondamentale per essere GDPR compliant.

A qualche mese di distanza dall’entrata in vigore del GDPR, il 25 maggio scorso, ancora tante aziende faticano a capire cosa è necessario fare per adeguarsi al Regolamento.
Il cuore del discorso è che ogni imprenditore deve preoccuparsi di tutelare la privacy di tutti gli individui della propria azienda o che entrano in contatto con essa, senza poter seguire indicazioni e regole standardizzate, ma dovendo effettuare un’analisi preliminare dei dati che vengono utilizzati in azienda e delle proprie eventuali criticità.

Fra gli  elementi da considerare, le infrastrutture informatiche adottate rivestono un ruolo fondamentale nell’adeguamento al nuovo Regolamento Europeo sulla Privacy.

Ecco perciò gli aspetti più importanti di cui tener conto.

1. La sicurezza del sistema di posta elettronica utilizzato

Siamo in piena era Digital, costantemente connessa, l’intera rete intranet ed internet aziendale deve essere messa in sicurezza, a cominciare dallo strumento più fondamentale: il sistema di posta elettronica.
Occorre fare una analisi delle sue specificità: il numero di caselle di posta aziendale utilizzate quotidianamente dai dipendenti e il numero di interlocutori con cui l’azienda scambia comunicazioni quotidianamente. Normalmente si tratta di un lungo elenco di clienti, fornitori, dipendenti e consulenti.
Un sistema davvero GDPR compliant tutela primariamente la protezione delle informazioni personali trasmesse tramite email: sono molte di più di quelle che si pensa, a partire dal nome e cognome delle persone che è il più banale dato personale. Le soluzioni di posta elettronica da noi proposte si basano su sistemi di sicurezza strutturati su più livelli per bloccare le più comuni minacce veicolate quotidianamente tramite posta elettronica. La tecnologia sendbox che permette di aprire ed analizzare i contenuti delle e.mail un ambiente separato, garantisce ulteriore tutela ai dati aziendali.

2. I Server aziendali in ambiente protetto

Quando i dati vengono conservati internamente, occorre collocare i server aziendali in ambienti protetti da qualsiasi minaccia alla loro integrità. I  luoghi prescelti necessitano di una progettazione con visione a lungo termine in senso funzionale e normativo, che garantisca massima sicurezza in caso di malfunzionamenti, eventi ambientali catastrofici o infrazioni dall’esterno. Le soluzioni di co-location nei datacenter adeguatamente selezionati,  forniscono garanzie standard come il funzionamento tutti i giorni dell’anno di qualsiasi sistema informativo, l'accesso h24 con massime policy di sicurezza standardizzate e per esigenze particolari, sono possibili soluzioni di esternalizzazione tramite server virtuali o dedicati.

3. La localizzazione certa dei dati

Rintracciare con certezza la posizione dei dati è uno dei punti fondamentali del GDPR. È importante localizzare la posizione dei server del “cloud” che l’azienda utilizza. I principali provider di infrastrutture cloud attivi in Europa hanno dato vita ancora in tempi non sospetti, ad un codice di condotta per la protezione dei dati, che ha di fatto anticipato quanto ora regolamentato dal  GDPR, e che disciplina il comportamento dei cloud provider che forniscono un servizio IaaS.

4. La prevenzione di incidenti con i servizi di backup e disaster recovery

Il furto di dati personali o addirittura la loro totale perdita sono rischi gravissimi. Evitare incidenti non è sempre possibile e il backup dei dati è fondamentale per garantire la continuità dell’attività in caso di danneggiamenti, errori umani, corto circuiti ecc. Le calamità naturali poi, quali incendi, alluvioni, terremoti  o crolli possono danneggiare in modo permanente l’intera infrastruttura, e sono eventi che purtroppo coinvolgono sempre più spesso i territori molto vicini a noi. Adottare adeguati e strutturati piani di backup e disaster recovery, progettati su misura per ogni specifica realtà, che garantiscano un ripristino veloce delle funzionalità, salvano letteralmente la vita della azienda.

5. Analisi dell’infrastruttura informatica per l’adeguamento al GDPR

Effettuare un'adeguata analisi dell'attuale infrastruttura utilizzata individuando eventuali rischi e punti deboli delle risorse informatiche è fondamentale. Utilizzare firewall di ultima generazione, sistemi di controllo della navigazione, sistemi di audit e logging del traffico, sistemi di backup e disaster recovery sono elementi indispensabili per supportare l'allineamento dell'infrastruttura alla nuova normativa Europea in ambito Privacy.

 6. La formazione sulla sicurezza

L’imprenditore deve necessariamente informarsi e successivamente trasferire la formazione ai propri dipendenti. Una corretta formazione sui comportamenti da adottare per garantire la gestione dei dati con processi definiti e standardizzati, crea un percorso guidato per dipendenti e collaboraori che poco lascia alla libera iniziativa ed interpretazione. Predisporre ad esempio delle simulazioni di attacchi phising può  rendere molto efficace il programmi di sensibilizzazione dei collaboratori in ambito cyberserurity.

L'attuazione della normativa rende  indispensabile analizzare e mappare i vari ambiti di trattamento dei dati, predisporre la modulistica adeguata e dotarsi di un'infrastruttura tecnologica che possa facilitare la gestione dei processi in base a quanto previsto dalla normativa.

Vuoi saperne di più?

Un nuovo attacco informatico: il trojan URSNIF arriva via mail dai vostri contatti

Metis Solutions, oltre che supportarti nell'analisi infrastrutturale
per verificarne ottimizzazione e /o eventuali criticità,
e può fornire il Servizio di consulenza in ambito GDPR,
grazie all'esperienza maturata nell'assistenza concreta
sull'applicazione della legge sulla privacy e suoi regolamenti di attuazione.