Avatar di Gaetano Di Blasio

a cura di Gaetano Di Blasio

Il GDPR, se lo si analizza a livello macro, si articola in due blocchi principali: quello documentale e procedurale e quello tecnico-pratico. L'accento chiave espresso nell'articolo 32 è che il principio di "accountability" o, di "responsabilità", governa la scelta delle misure tecniche da intraprendere che sarà fatta dal titolare del trattamento dati e dal responsabile del trattamento dati, eventualmente coadiuvati dal Responsabile Protezione Dati (RPD) se presente.

B2B Labs Cybersecurity e ONG: la sfida tra digitale e sicurezza fisica – Intervista a Carola Frediani”
youtube play
Guarda su youtube logo

Il GDPR non indica però degli strumenti specifici per proteggere i dati, si limita a suggerire delle pratiche da seguire. È quindi il titolare del trattamento che decide quali misure dispiegare e sempre lui sceglie gli strumenti tecnici più adeguati per raggiungere lo scopo.

Il ruolo della cifratura dei dati

Un aiuto sul che fare viene dal fatto che il regolamento, osservano gli esperti di CoreTech, parla esplicitamente di cifratura dei dati; questa può essere applicata sia ai dati a riposo, cioè conservati su sistema storage, sia ai dati in transito, cioè quelli che si muovono su reti pubbliche e private. La cifratura protegge i dati e per garantirla è opportuno che le chiavi siano conservate al sicuro utilizzando un sistema di gestione chiavi affidabile.

In proposito, Microsoft propone per esempio due tecnologie dedicate: BitLocker (a livello di file) e il file system Encryption File System (EFS), a livello di volume.

EgoSecure è altresì una soluzione di sicurezza e gestione IT modulare che prevede soluzioni di cifratura su più livelli, come per esempio di USB, di dischi con autenticazione a 2 fattori (con eToken o smart card), di cartelle, di rete/Cloud, o di dispositivi mobile iOS e Android tramite app.

Passando al mondo del virtuale, VMware ha messo a disposizione la Virtual Machine Ecryption a livello di Hypervisor nella versione 6.5. Allo stesso tempo sono disponibili nella versione 6.5 anche il vMotion Encrypted, il supporto al Secure boot per ESXi e VM con UEFI BIOS.

Più delineato è come garantire la protezione dei dati in transito, dove le scelte sono limitate e il protocollo a cui affidarsi è il Transport Layer Security (TLS) che, lavorando su reti TCP/IP, consente di utilizzare protocolli sicuri nelle comunicazioni Web (HTTPS), email (SMTPS), VoIP e file server(.

Un aiuto viene poi offerto anche dai tunnel VPN. In genere i prodotti che richiedono una comunicazione via rete forniscono la possibilità di utilizzare certificati SSL commerciali come quelli di SpaceSSL, che garantiscono la cifratura della rete. Va poi considerato che mettere in sicurezza una comunicazione con un certificato dedicato ha un costo e una difficoltà di realizzazione bassa. In alcune situazioni temporanee e interne alla rete è possibile anche ricorrere a certificati "self-signed".

Per esempio, evidenzia CoreTech, i prodotti Kerio, la suite GFI, le soluzioni di backup 1Backup e Acronis sono tutte soluzioni che supportano adeguatamente HTTPS.GDPR 06

Backup e archiviazione email

Un punto fondamentale del GDPR riguarda la disponibilità dei dati, che devono essere fruibili anche a seguito di eventi imprevisti come furto, manomissione, errore tecnico e cancellazione. A tal fine il backup è uno dei primi strumenti di protezione in quanto consente di conservare in sicurezza i dati.

Le attività sui backup o il ripristino vanno però documentate, in accordo con le disposizioni in merito alle violazioni (data breach) che comprendono anche l'accesso non autorizzato ai dati, anche dall'interno.

Se il backup è critico le soluzioni tecniche però ci sono. Per esempio, 1Backup è un prodotto che mette a disposizione un sistema di backup in Cloud con agent da installare sulle macchine da proteggere e che dispone di agent e moduli ad hoc per Linux, Microsoft e apple, hypervisor VMware ed Hyper-v, Office 365 e database MySQL e MS SQL.

Ai fini normativi ogni attività di backup, ripristino o cancellazione viene registrata su log presenti e sono conservati in maniera sicura congiuntamente agli accessi dall'interno di dipendenti e alle attività non autorizzate.

Un'altra soluzione è proposta da Acronis, che ha sviluppato un backup con moduli specifici, comunicazione sicura e sistema di cifratura. Inoltre il salvataggio può essere locale o su Cloud.

Non dissimile è quanto si può fare per le mail. L'archiviazione email consiste nel salvataggio di una copia di ciascuna email in entrata e in uscita in un archivio centralizzato. Concettualmente si può pensare in prima istanza che l'archiviazione sia un backup specifico per email pur se tuttavia differenze esistono.

MailStore è per esempio una soluzione che consente di archiviare su server tutte le email intercettandole prima che lascino (o appena entrate) la rete interfacciandosi in maniera flessibile con server POP3 e IMAP, file PST, Office 365, Exchange, Outlook, SmarterMail e Kerio Connect; MailArchive è invece una versione di MailStore disponibile via Cloud tramite servizio 1Backup.

Disaster Recovery e Business Continuity

Naturalmente il disastro può sempre accadere e anche in questa evenienza il GDPR prevede che si debba dare una risposta e il mercato propone varie soluzioni. La già citata Acronis Backup, spiegano i tecnici di CoreTech, abilita un disaster recovery basato sul ripristino in locale di server sotto forma di macchine virtuali.

Sempre a proposito di virtual machine e hypervisor, ci sono poi diverse soluzioni che consentono di proteggere le singole VM scegliendo tra backup completi o incrementali. VMExplorer è una di queste, e consente anche un ripristino granulare degli elementi senza dover ripristinare tutta la VM. 1Backup ha moduli di backup per hypervisor che consentono di salvaguardare le macchine virtuali su Cloud, oltre ad agent che permettono di gestire i backup all'interno della macchina virtuale, mentre Acronis Backup estende il backup a un livello superiore, includendo i file che costituiscono la VM, e consentendo una replica della VM in Cloud.

Gestione identità e monitoring

Uno dei punti chiave emersi al fine di garantire la sicurezza è la gestione delle identità. Una soluzione di IAM (Identity and Access Management) è in pratica imprescindibile.

Ai fini del GDPR, una soluzione di questo tipo consente di limitare l'accesso ai dati aderendo al principio dei minimi permessi, ossia assegnare ai dipendenti solo i permessi strettamente necessari alle loro operazioni.

Per ottemperare al GDPR Microsoft propone Windows Server Active Directory e Microsoft Identity Manager, mentre i player Cloud offrono servizi dedicati di Identity-as-a-Service (IDaaS): Azure Active Directory (AAD), AWS IAM Google Cloud IAM sono i servizi del Cloud di Azure, AWS e Google rispettivamente.

Anche gli accessi vanno monitorati e controllati per identificare quelli non autorizzati. È una cosa che permettono di fare Sygma (tramite agente SEM) e GFI EventsManager, che possono monitorare gli accessi e inviare degli alert in caso di logon falliti o non autorizzati.

Gestire le identità è però una condizione necessaria ma non sufficiente. Il GDPR specifica anche che le violazioni di dati devono essere riportate all'Autorità di Controllo e agli interessati. Se ne deduce che è necessario un sistema di monitoring della sicurezza.

In aiuto a questo, Windows Server, e in genere i sistemi operativi, scrivono costantemente dei log che tengono traccia degli eventi, e la cui analisi è una componente essenziale nell'analisi post-evento.

Varie anche in questo caso le soluzioni possibili. Con Sygma è possibile per esempio tener traccia dei log dei sistemi tramite una procedura di archiviazione locale automatica a cui far seguire l'inserimento della cartella di archiviazione a un job 1Backup. Da parte sua, l'agent SEM (Sygma Endpoint Management) può essere installato sui sistemi Windows e Linux e controllare gli eventi, con trigger specifici che fanno scattare l'invio di alert.

Tra le altre soluzioni disponibili troviamo anche GFI EventsManager, che consente di avere una visibilità delle policy di sistema, attività, eventi e applicazioni, mentre Kerio Control è una soluzione UTM per la sicurezza della rete che ha una funzione di alert via email la quale sfrutta il parsing dei log.GDPR 13

La sicurezza parte dai computer e si estende alla rete

Comunque la si giri, l'allineamento al GDPR passa necessariamente per la sicurezza dei computer e dei dispositivi utilizzati dagli utenti all'interno della rete aziendale e di certo le aziende in proposito hanno già provveduto. Ma non è detto che basti. Una soluzione potrebbe però essere il ricorso a prodotti come Dr.Web, che comprende antivirus e anti-malware, firewall, anti-spam, monitor http e funzione anti-furto.

Un computer non è però una cosa stabile, e per la sua protezione si deve necessariamente estendere il campo d'azione alle patch, visto e considerato la stupefacente frequenza con cui sono segnalati buchi nei sistemi operativi.

Quello che fa GFI LanGuard, per mitigare il problema, è per esempio di analizzare gli OS presenti in rete e raccogliere informazioni sullo stato di sicurezza e aggiornamento del sistema stesso e dei programmi installati. Inoltre, permette di installare da remoto le patch sui sistemi in modo da tenerli aggiornati.

Non dissimile dai server, vista la loro potenza, si presenta la situazione per endpoint fissi o mobili connessi in rete interna, rete che però a sua volta deve essere protetta sia da attacchi provenienti dall'esterno che dall'interno.

Dato di fatto è che gli attacchi sono così sofisticati che un comune firewall non è sufficiente e quello che serve è una soluzione unificata (UTM, Unified Threat Management).

Kerio Control è un UTM, spiegano in CoreTech, che funziona per esempio da firewall, router, IPS (Intrusion Prevention System), antivirus di rete, anti-malware, gateway per VPN e filtro applicazioni e Web.

In essenza, tramite interfaccia Web centralizzata, abilita il monitoring e la gestione sia di istanze Kerio Control che dei servizi che operano tra loro nella rete.GDPR 16

Identificazione e catalogazione dati

Un ulteriore aspetto da considerare è che Il GDPR richiede di identificare tutti i dati e tutti i processi di trattamento dati eseguiti, catalogarli e procedere alla loro documentazione con un "registro dei trattamenti".

Per fare ciò è necessario anzitutto individuare i processi di trattamento dati e organizzarli schematicamente in una mappa concettuale da usare come supporto; quindi procedere all'individuazione dei dati personali oggetto di ciascun singolo trattamento.

È forse uno dei compiti più onerosi ma che per fortuna trova aiuto in una serie di prodotti di livello.

Tra questi, solo per citarne alcuni, vi è Compliance Manager, uno strumento di Microsoft che consente di ricercare dati personali nei servizi del Cloud Microsoft: Office 365.

GFI OneGuard consente invece di tracciare gli asset dell'azienda e di sapere in ogni momento dove sono, chi li sta utilizzando e di individuare nuovi dispositivi collegati in rete.

MailStore e MailArchive sono invece dei tool utilizzabile per realizzare una eDiscovery approfondita che consenta di recuperare i dati personali nelle email archiviate, mentre Sygma consente, da parte sua, di tener traccia degli asset, dei documenti e delle informazioni relative ai clienti tramite funzioni dedicate.

Gli esperti di CoreTech concludono sintetizzando che la sicurezza dei dati viene garantita lavorando a più livelli e a diverse profondità, sfruttando molteplici strumenti tecnici.

L'adeguamento al GDPR si evidenzia come un processo che deve essere pianificato e seguito nel tempo e deve entrare nel DNA di ogni azienda e suo dipendente. La complessità è però tale che il ruolo del System Integrator diventa essenziale per quanto riguarda la parte tecnica e l'implementazione degli elementi e delle procedure atte a rendere compliant l'organizzazione.

Allo stesso tempo potrebbe però essere di ausilio appoggiarsi a un consulente per la parte più "burocratica" definendo a priori che queste due figure lavorino e collaborino come un affiatato Team.

Leggi altri articoli