Come procedere per l’adeguamento
Conformarsi alla GDPR non è un’azione finita ma rappresenta un processo in divenire teso a modificare la cultura stessa relativa alla privacy, muovendo dagli assunti della privacy by design.
Data l’ampiezza del perimetro di impatto del GDPR a livello aziendale, è necessario un approccio strutturato e comprensivo di tutte le leve su cui è possibile agire in relazione all’obiettivo di adeguamento.
Per orientarsi nel percorso verso la conformità sarà utile concentrarsi su 4 passaggi fondamentali:
Rilevamento (delle minacce; dell’uso accidentale/intenzionale improprio dei dati raccolti)
Protezione a più livelli dei dati
Gestione dei dati scambiati/raccolti/trattenuti
Segnalazione

Percorso e strategie per la conformità
Come procedere per la conformità alla GDPR
Conformarsi alla GDPR non è un’azione finita ma rappresenta un processo in divenire teso a modificare la cultura stessa relativa alla privacy, il quale muove dagli assunti della privacy by design. È possibile semplificare il percorso e le strategie per la conformità alla normativa?
Data l’ampiezza del perimetro di impatto del GDPR a livello aziendale, è necessario un approccio strutturato e comprensivo di tutte le leve su cui è possibile agire in relazione all’obiettivo di adeguamento. Quali sono i passaggi fondamentali per adeguarsi al GDPR?
Per orientarsi nel percorso verso la conformità e attuare le giuste strategie, sarà utile concentrarsi su 4 passaggi fondamentali:
1. Rilevamento (dei dati posseduti e scambiati ma anche delle minacce; dell’uso accidentale/intenzionale improprio dei dati raccolti)
2. Protezione (a più livelli dei dati, delle identità, degli utenti…)
3. Gestione (dei dati scambiati/raccolti/trattenuti)
4. Segnalazione  (della violazione dei dati, capacità di risposta alla richieste del Garante)
APS MASSIMA SICUREZZA è in grado di proporvi le migliori soluzioni tecnologiche che presentano le caratteristiche necessarie all’adeguamento alla normativa GDPR.
Affianchiamo le aziende nella definizione, ottimizzazione e gestione di tutte le attività necessarie all’implementazione delle soluzioni adeguate, pienamente rispondenti alle esigenze della normativa.
Contattaci per una consulenza senza impegno
1 Rilevamento
Se l’organizzazione è in possesso dei seguenti dati: database di clienti, moduli di feedback compilati dai clienti, email, fotografie, riprese di telecamere a circuito chiuso, registrazioni di dati di programmi fedeltà, database delle risorse umane o altre posizioni oppure se desidera raccogliere dati di questo tipo e i dati appartengono ai residenti dell’Unione Europea, è necessario adeguarsi al GDPR..
Bisogna capire quali dati sono personali, identificare i sistemi usati per la raccolta e l’archiviazione dei dati e capire il motivo della raccolta, individuare le modalità di trattamento e di condivisione adottate e il relativo tempo di conservazione dei dati.
Alcune tecnologie da adottare utili al Rilevamento sono: Azure, Office 365, SharePoint; SQL Server e database SQL di Azure e Windows e Windows Server (lato server); Enterprise Mobility + Security (EMS) Suite per i dispositivi mobili.
La fase di rilevamento è delicata e impegnativa. APS MASSIMA SICUREZZA è in grado di supportare le aziende in questa prima fase di adeguamento e di accompagnarle per tutto il percorso di conformità alla nuova normativa.
Contattaci per una consulenza senza impegno
2 Protezione = sicurezza
Il regolamento stabilisce che si effettuino controlli di sicurezza per prevenire, rilevare e risolvere vulnerabilità e violazioni dei dati. In particolare, bisognerà adottare misure e tecniche organizzative appropriate per proteggere i dati personali da perdita, divulgazione o accesso non autorizzato. Il primo aspetto da tenere sotto controllo sarà quindi il livello di sicurezza informatica dell’intera organizzazione. A questo punto, le aziende potranno risparmiare tempo e costi di adeguamento e nel contempo aggiornare ed adottare strumenti innovativi, optando per soluzioni complete e integrate, già conformi, come le soluzioni cloud.
La scelta in questo caso però, dovrà necessariamente ricadere su soluzioni capaci di condividere la responsabilità stessa della conformità di legge. I cloud Microsoft, ad esempio, aiutano gli utenti a comprendere i rischi e difendersi da essi offrendo una sicurezza maggiore rispetto agli ambienti informatici on-premise. Questo perché i data center utilizzati sono certificati in base a standard di sicurezza riconosciuti a livello internazionale. Microsoft vanta un’ampia esperienza nella protezione dei dati, difesa della privacy e conformità a normative complesse. Naturalmente, la sicurezza dell’infrastruttura cloud è solo un tassello della sicurezza globale aziendale.
Di seguito alcuni prodotti in grado di offrire funzionalità di sicurezza per la protezione dei dati. Questi spaziano da ambiti di applicazione fra loro differenti come lo storage, l’email aziendale, i dispositivi antivirus utilizzati, i filtri specifici per cassette postali, tutti gli strumenti usati per lo scambio di informazione interna ed esterna, l’infrastruttura di rete e i sistemi firewall utilizzati.
Tecnologie utili alla sicurezza e protezione aziendale sono: Azure, Office e Office 365; SQL Server e database SQL di Azure e Windows e Windows Server (lato server); Enterprise Mobility + Security (EMS) (per dispositivi mobili); WatchGuard per il firewall.
Per un’analisi del livello di sicurezza complessivo del sistema informatico aziendale e per individuare le soluzioni più adatte alla propria Organizzazione è necessario affidarsi a professionisti. APS MASSIMA SICUREZZA è in grado di disegnare e personalizzare i sistemi di sicurezza IT aziendali, con soluzioni modulari e flessibili.
Contattaci per una consulenza senza impegno

3 Gestione
La normativa garantisce agli interessati, cioè ai proprietari dei dati personali, l’applicazione del principio di trasparenza. Questi possono infatti richiedere che l’organizzazione condivida con loro i dati che li riguardano, trasferisca i dati ad altri servizi, corregga eventuali errori nei dati o impedisca l’ulteriore trattamento di determinati dati in casi specifici, in ultimo hanno infatti “diritto all’oblio” dei propri dati. Queste richieste devono essere soddisfatte entro un intervallo di tempo definito.
Strutturare un piano di governance dei dati può aiutare a definire criteri, ruoli e responsabilità per l’accesso ai dati personali e per il loro trattamento, oltre che garantire che le modalità di trattamento dei dati siano conformi al GDPR. Il piano di governance dei dati può ad esempio offrire ad un’organizzazione la sicurezza che le richieste di cancellazione o trasferimento dei dati da parte degli interessati vengano soddisfatte in modo efficace.
Per strutturare un valido piano di gestione dei dati è necessario utilizzare strumenti innovativi e flessibili che consentono di automatizzare i processi.
Alcune tecnologie da adottare utili alla gestione dei dati personali sono: Servizi cloud Microsoft, Azure, Office 365; Windows e Windows Server (lato server).
L’operazione di gestione dei dati può presentarsi complessa. APS MASSIMA SICUREZZA è in grado di supportare le aziende in questo processo, fornendo direttamente le tecnologie idonee e adeguandone la struttura a seconda delle esigenze aziendali e di business.
Contattaci per una consulenza senza impegno
4 Segnalazione
La GDPR definisce nuovi standard di trasparenza, responsabilità e conservazione della documentazione.
Le organizzazioni che trattano i dati personali devono conservare la documentazione relativa agli scopi del trattamento, alle categorie di dati personali oggetto del trattamento, all’identità delle terze parti con cui vengono condivisi i dati; come anche agli eventuali paesi terzi che ricevono i dati personali, ai fondamenti giuridici in base a cui avvengono tali trasferimenti, alle misure di sicurezza tecniche e dell’organizzazione e ai tempi di conservazione dei dati applicabili ai diversi set di dati.
Quali strategie applicare in questa fase del percorso?
Un modo per soddisfare questi requisiti consiste nell’usare strumenti di controllo che aiutano a garantire che le attività di trattamento dei dati, siano esse di raccolta, uso, condivisione o altro, vengano monitorate e registrate. I servizi Cloud Microsoft soddisfano queste esigenze.
Tecnologie utili alla segnalazione e all’adeguata conservazione dei dati e della documentazione richiesta: Azure, Office 365; Enterprise Mobility + Security (EMS) (per i dispositivi mobili); Windows e Windows Server.
Contattaci per una consulenza personalizzata senza impegno. Troveremo la soluzione giusta per la tua azienda!
Entriamo adesso nel dettaglio dei servizi e delle tecnologie sinora suggeriti, fondamentali per sostenere il percorso e alle strategie per la conformità di legge..
Strumenti e tecnologie da adottare
Servizi cloud Microsoft
Percorso e strategie per la conformità con gli strumenti Microsoft
Tutti i servizi cloud Microsoft sono sviluppati usando la metodologia Privacy by Design e Privacy by Default e strutturati per sviluppare strategia di governance dei dati a prova di conformità di legge.
In primo luogo, affidando i propri dati ad Azure, Office 365 o Dynamics 365, si rimane gli unici proprietari: si mantengono i diritti, la titolarità e gli interessi nei dati archiviati nei servizi.
La suite Microsoft adotta rigorose misure di sicurezza per proteggere i dati dei clienti dall’accesso non appropriato o da parte di persone non autorizzate e sono conformi a diversi standard globali di privacy dei dati, tra cui HIPAA e HITECH, CSA Star Registry e diversi standard ISO.

MICROSOFT AZURE
Microsoft Azure per rilevare i dati
Azure è una piattaforma cloud aperta e flessibile che include un servizio per individuare e identificare in modo semplice le fonti dei dati. Essa integra Microsoft Azure Data Catalog, un servizio cloud completamente gestito che funge da sistema di registrazione e individuazione delle fonti dei dati dell’organizzazione. Una volta che la fonte dati è stata registrata con Azure Data Catalog, i relativi metadati vengono indicizzati dal servizio per eseguire successive ricerche in modo semplice e ottimale.
Azure per la sicurezza aziendale
Di seguito gli strumenti e i servizi Azure utili alla sicurezza aziendale, in grado di proteggere i dati personali nell’ambiente cloud:
·
o
§ Il Centro sicurezza di Azure; esso offre visibilità e controllo sulla sicurezza delle risorse di Azure. Esegue il monitoraggio continuo delle risorse e fornisce utili consigli in materia di sicurezza. È possibile definire criteri per i gruppi di risorse e le sottoscrizioni di Azure in base ai requisiti di sicurezza dell’azienda, ai tipi di applicazioni in uso e al livello di riservatezza dei dati. Il Centro sicurezza aiuta inoltre a distribuire rapidamente strumenti e servizi di sicurezza Microsoft e dei partner per rafforzare la protezione dell’ambiente cloud.
§ La crittografia dei dati in Azure per proteggere i dati inattivi e in transito. Essa consente ad esempio, di crittografare automaticamente i dati quando vengono scritti in Archiviazione di Azure usando la soluzione di crittografia del servizio di archiviazione. La funzione Azure Disk Encryption integrata è pensata per crittografare sistemi operativi e dati usati dalle macchine virtuali sia Windows che Linux. I dati vengono così protetti mentre sono in transito tra un’applicazione e Azure, in modo che siano sempre estremamente sicuri.
§ Azure Key Vault consente di proteggere chiavi crittografiche, password e certificati per la protezione dei dati. Key Vault usa moduli di protezione hardware ed è un servizio progettato per consentire di mantenere il controllo sulle chiavi, e di conseguenza sui dati, garantendo nel contempo che Microsoft non possa vedere o estrarre le chiavi degli utenti.
§ Microsoft Antimalware per Servizi cloud e Macchine virtuali di Azure è una funzionalità di protezione in tempo reale che aiuta a identificare e rimuovere virus, spyware e altro software dannoso che mira al furto dei dati, con avvisi configurabili che segnalano i tentativi di installazione o esecuzione di software indesiderato o dannoso noto nei sistemi di Azure.

· Azure per la gestione e la governance dei dati: Azure Active Directory è una soluzione di gestione delle identità e degli accessi nel cloud. Questa piattaforma gestisce le identità e controlla gli accessi, i dati e molti altri applicativi sia in locale che nel cloud. Con Azure Active Directory Privileged Identity Management, è possibile assegnare diritti amministrativi JIT (Just-In-Time) temporanei agli utenti idonei per la gestione delle risorse di Azure.
Con le funzionalità integrate Azure supporta le aziende nel percorso e strategie per la conformità di legge.
OFFICE 365
È l’innovativa suite di servizi Microsoft utile alla digitalizzazione d’impresa e alla produttività personale dei singoli utenti. Attuando il percorso e strategie per la conformità si avrà modo di vedere che adottando la soluzione Cloud Office 365 non bisognerà quasi fare null’altro per conformarsi. La suite Microsoft Office 365 integra diversi servizi in grado di spaziare dagli strumenti per l’elaborazione testuale (Pacchetto Office) e la condivisione degli stessi, alla posta aziendale, agli archivi, alle Documet Library, alla reportistica.. Scopri sul nostro sito tutti i prodotti
Office 365 per rilevare i dati
Ci sono diverse soluzioni specifiche di Office 365 che possono aiutare a identificare o gestire l’accesso ai dati personali:
· La funzionalità di prevenzione della perdita dei dati (DLP, Data Loss Prevention) in Office e Office 365 consente di identificare più di 80 tipi comuni di dati sensibili tra cui dati finanziari e medici e informazioni personali.
· Ricerca contenuto nel Centro sicurezza e conformità di Office 365 consente di eseguire ricerche in cassette postali, cartelle pubbliche, Gruppi di Office 365, Microsoft Teams, siti di SharePoint Online, posizioni di OneDrive for Business e conversazioni di Skype for Business.
· La ricerca eDiscovery di Office 365 consente di trovare testo e metadati nel contenuto degli asset di Office 365, come SharePoint Online, OneDrive for Business, Skype for Business Online ed Exchange Online. Office 365 Advanced eDiscovery, una funzionalità basata su tecnologie di apprendimento automatico, può aiutare a identificare i documenti correlati a un ambito specifico, ad esempio un’indagine sulla conformità, in modo rapido e con una maggiore precisione rispetto alle ricerche per parole chiave tradizionali o alle revisioni manuali di grandi quantità di documenti.
· Advanced Data Governance usa informazioni di intelligence ed elaborazione assistita per aiutare gli utenti a trovare e classificare i dati più importanti per l’organizzazione, impostare criteri su di essi e gestirne il ciclo di vita.
Office 365 supporta perciò le aziende nel percorso e strategie per la conformità, rispondendo alle esigenze di rilevamento dei dati.
Contattaci per una consulenza personalizzata senza impegno . Ti aiutiamo a scegliere il piano Office 365 più adatto alle tue esigenze aziendali supportandoti nell’attivazione completa degli stessi.
SHARE POINT
SharePoint Online è un servizio acquistabile singolarmente o distribuito tramite Office 365. Anche SharePoint Online supporta percorso e strategie per la conformità. Ad esempio, è possibile usare il servizio di ricerca di SharePoint e la funzionalità di ricerca interna all’applicazione per tenere traccia dei dati personali. Per l’identificazione e la ricerca dei contenuti sensibili, SharePoint Server 2016 offre le stesse funzionalità di prevenzione della perdita dei dati di Office 365.
Office e Office 365 per la sicurezza aziendale
La piattaforma Office 365 integra la sicurezza a ogni livello, dallo sviluppo di applicazioni ai data center fisici, fino all’accesso degli utenti finali. Le applicazioni di Office 365 includono funzionalità di sicurezza integrate che semplificano il processo di protezione dei dati e offrono flessibilità di configurazione, gestione e integrazione della sicurezza in base alle esigenze aziendali specifiche.
Molti controlli di sicurezza sono disponibili di default. SharePoint e OneDrive for Business usano ad esempio la crittografia per i dati in transito e quando sono salvati.
Secure Score fornisce informazioni approfondite sul livello di sicurezza e sulle funzionalità disponibili per ridurre i rischi bilanciando produttività e sicurezza.

· Advanced Threat Protection (ATP) per Exchange Online aiuta a proteggere in tempo reale la posta elettronica da attacchi malware nuovi e sofisticati. Consente inoltre di creare criteri che aiutano a impedire l’accesso degli utenti ad allegati o siti Web dannosi inseriti nei messaggi di posta elettronica.
· Information Rights Management (IRM) aiuta organizzazioni e utenti a impedire la stampa, l’inoltro, il salvataggio, la modifica o la copia delle informazioni sensibili da parte di persone non autorizzate. L’intelligence per le minacce (Threat Intelligence) aiuta a individuare in modo proattivo le minacce avanzate in Office 365 e adottare le misure di protezione necessarie. Le informazioni approfondite sulle minacce, disponibili in parte grazie alla presenza globale di Microsoft, allo strumento Intelligent Security Graph e all’input di cacciatori di minacce informatiche, aiutano ad abilitare in modo rapido ed efficace avvisi, criteri dinamici e soluzioni di sicurezza. Gestione dispositivi mobili per Office 365 consente di configurare criteri e regole per proteggere e gestire i dispositivi mobili Android, iPhone, iPad e Windows Phone registrati degli utenti. È ad esempio possibile cancellare in remoto i dati da un dispositivo e visualizzare report dettagliati sul dispositivo. Office 365 usa inoltre l’autenticazione a più fattori per offrire un ulteriore livello di sicurezza. Office 365 soddisfa pienamente l’esigenza di sicurezza aziendale supportandone percorso e strategie per la conformità alla legge.
Office 365 offre diverse funzionalità che aiutano a identificare e risolvere le violazioni dei dati:
· Gestione sicurezza avanzata consente di identificare modalità d’uso anomale e a rischio elevato, avvisando in caso di violazioni potenziali. Consente inoltre di configurare criteri per le attività, per monitorare le azioni a rischio elevato e le attività sospette e intervenire in caso di necessità.Advanced Threat Protection per Exchange
· Online aiuta a proteggere in tempo reale la posta elettronica da attacchi malware nuovi e sofisticati. Consente inoltre di creare criteri che aiutano a impedire l’accesso degli utenti ad allegati o siti Web dannosi inseriti nei messaggi di posta elettronica.
Office 365 per la gestione dei dati
Le soluzioni Office 365 offrono diverse funzionalità, accessibili dal proprio pannello di amministrazione, che possono aiutare a gestire i dati personali:
o Le funzionalità di governance dei dati nel Centro sicurezza e conformità di Office 365 aiutano ad archiviare e conservare i contenuti in Exchange Online, SharePoint Online e in OneDrive for Business e a importare i dati nell’organizzazione Office 365.
o La funzionalità di conservazione di Office 365 aiuta a gestire il ciclo di vita dei messaggi di posta elettronica e dei documenti, conservando i contenuti necessari e rimuovendoli quando non sono più necessari.
o Il componente Advanced Data Governance usa informazioni di intelligence ed elaborazione assistita per aiutare gli utenti a trovare e classificare i dati più importanti per l’organizzazione, impostare criteri su di essi e gestirne il ciclo di vita.
o I criteri di gestione delle informazioni in SharePoint Online consentono di controllare il tempo di conservazione dei contenuti e le operazioni svolte su di essi, oltre che di aggiungere codici a barre o etichette ai documenti.
o L’opzione di inserimento nel journal di Exchange Online può aiutare ad adeguarsi ai requisiti di conformità legali e dell’organizzazione grazie alla registrazione delle comunicazioni di posta elettronica in entrata e in uscita.
Le funzionalità integrate in Office 365 supportano pienamente il percorso e strategie per la conformità al GDPR.
· Quali servizi per la segnalazione?
· La classificazione dei dati è un’operazione espressamente richiesta dalla normativa GDPR:
o La funzionalità di prevenzione della perdita dei dati (DLP, Data Loss Prevention) in Office e Office 365 consente di identificare più di 80 tipi comuni di dati sensibili tra cui dati finanziari e medici e informazioni personali.
o Il componente Advanced Data Governance usa informazioni di intelligence ed elaborazione assistita per aiutare gli utenti a trovare e classificare i dati più importanti per l’organizzazione, impostare criteri su di essi e gestirne il ciclo di vita.

WATCHGUARD
I sistemi watchguard aiutano le aziende ad assicurare la conformità alla GDPR grazie a tecnologie e a pratiche di sicurezza dei dati estremamente efficaci. Per rispondere alle richieste del nuovo regolamento sulla privacy Watchguard offre un pacchetto integrato la Total Security Suite. L’appliance di sicurezza WatchGuard Firebox con Total Security Suite incorpora 16 dei 20 controlli critici per la sicurezza. (secondo il SANS Institute (v6)). Watchagurad è quindi anch’esso un prodotto completo per assicurare la conformità GDPR. In particolare la suite offre anche soluzioni per il Data Loss Prevention.
· Non aspettare, lavorare in sicurezza è un priorità!