Accountability nel GDPR: sì ma come?
Il GDPR, contrariamente alla precedente normativa in materia di protezione dei dati personali, non ha prevalentemente carattere prescrittivo e non fornisce un elenco di misure o strumenti di sicurezza da applicare per la protezione dei dati, ma bensì attribuisce al Titolare del trattamento la responsabilità di decidere quali siano le misure da adottare per garantire la sicurezza dei trattamenti, di tenerne sotto controllo l’efficacia e l’adeguatezza e di fornire evidenza delle scelte e delle azioni intraprese. Parliamo del principio di accountability, che costituisce uno dei pilastri fondanti del Regolamento U.E..
Il processo da mettere in atto per rispettare tale principio è identificabile in tre fasi:
- Assessment
- Identificazione e risposta ai problemi
- Prevenzione e risposta ai data breach
Assessment:
Mediante un’analisi delle modalità del trattamento, delle categorie e della natura dei dati trattati che vengono trattati, dei soggetti (persone fisiche e giuridiche) che li trattano, il Titolare deve poter porre un diverso livello di attenzione agli ambiti di trattamento in funzione dei rischi che questi ultimi presentano per l’interessato.
Per fare questo si può operare con un approccio combinato di azioni di Vulnerability Assessment e di audit log collection.
Vulnerability assessment è un’attività tecnica di verifica mediante strumenti automatici e analisi puntuali per capire l’esposizione ad eventuali vulnerabilità informatiche, derivanti da sistemi operativi, software, configurazioni.
Audit log collection è una raccolta continuativa dei log prodotti dai sistemi (sistemi operativi, applicazioni, database, dispositivi di rete) per analizzare i trend ed eventualmente correlare gli eventi.
Oltre alle attività di vulnerability assessment e log collection, sono presenti anche funzionalità di data classification, che permettono, fra l’altro, di impostare e mettere in atto le politiche di data retention (conservazione dei dati) richieste dal GDPR.
Gli strumenti utilizzati da Polimatica Progetti per queste finalità sono standard di mercato. Per la raccolta dei log, in particolare per la tracciabilità degli accessi, viene utilizzata una soluzione di Log collection denominata Nextlog resa disponibile anche in modalità outsourcing da Polimatica Srl. Quest’ultima soluzione è anche compliant con il Provvedimento del Garante in materia di Amministratori di Sistema.
Identificazione e risposta ai problemi
Dall’analisi dei risultati e dei dati raccolti nei punti precedenti si possono identificare eventuali problemi in corso o potenziali e pianificare una risposta con il supporto e la consulenza dei nostri professionisti di Information Security.
Gli strumenti possono fornire delle allarmistiche che segnalano quando queste eventualità si verificano.
Gli strumenti utilizzati per queste finalità sono i medesimi di cui al punto precedente
Prevenzione data breach
Il data breach è l’evento citato nel GDPR di fuoriuscita dei dati dal perimetro di controllo. Ci sono diversi aspetti da tenere in conto nella prevenzione di questo evento, ma uno dei più importanti è sicuramente il controllo degli accessi privilegiati e delle autenticazioni.
Gli utenti (tipicamente amministratori di sistema) con la possibilità di vedere molti o tutti i dati aziendali sono le figure più a rischio di furto o impersonificazione da parte di chi voglia prendere il controllo dei sistemi aziendali. Il rischio viene ridotto mediante l’utilizzo di strumenti che rimandino il controllo delle utenze privilegiate ai sistemi aziendali e aggiungendo anche sistemi di autenticazione a più fattori e di controllo granulare delle sessioni di connessione.
Anche per queste finalità vengono utilizzati strumenti di mercato selezionati da Polimatica Progetti e da Polimatica.
Consulenza
Polimatica Progetti insieme ai suoi partners, primo tra i quali Polimatica Srl, forte di esperienza ultradecennale, è in grado di analizzare le esigenze ed implementare la soluzione sartoriale corretta per l’azienda e la pubblica amministrazione, in funzione della dimensione e criticità dei dati trattati con un’attenzione ai costi.