GDPR

Arriva il GDPR, un’opportunità da cogliere oltre gli obblighi

ARRIVA IL GDPR, UN’OPPORTUNITA’ DA COGLIERE OLTRE GLI OBBLIGHI

Come noto il 25 maggio 2018 diventerà obbligatorio per le aziende pubbliche e private attenersi al Regolamento Europeo sulla protezione dei dati personali (General Data Protection Regulation – GDPR).

Il GDPR prevede pesanti sanzioni in caso di violazione (dal 2% al 4% del fatturato e fino a 20 milioni di Euro) ma in un mondo caratterizzato da minacce informatiche sempre più insidiose e variegate e dalla presenza di tecnologie di raccolta e analisi dei dati estremamente sofisticate e pervasive, la sicurezza e il governo dei dati è comunque imprescindibile in un’attività, indipendentemente dagli obblighi di legge e non solo in relazione ai dati personali. L’entrata in vigore di questa normativa rappresenta quindi un’opportunità da cogliere per affrontare il tema della sicurezza in modo organico e sistematico nell’interesse stesso dell’azienda anziché limitarsi al rispetto formale e contingente di requisiti normativi.

Il GDPR va in questa direzione poiché nella sostanza non contiene indicazioni specifiche sulle soluzioni da adottare per essere in regola ma definisce gli obiettivi e i requisiti lasciando poi al titolare del trattamento la responsabilità di individuare e applicare “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio” (Art. 32). La scelta delle misure da adottare deve inoltre tener conto dello stato dell’arte delle tecnologie e dei costi di attuazione, pertanto esse dovranno periodicamente essere aggiornate per seguire lo sviluppo tecnologico e i costi relativi dovranno essere tenuti in debita considerazione nei budget delle aziende.

Fatta eccezione per casi specifici in cui il rischio è particolarmente elevato a causa della tipologia di dati trattati e del loro contesto di utilizzo da parte dell’azienda, il percorso verso il raggiungimento di un livello di sicurezza adeguato prevede a nostro parere prevalentemente interventi basati su best practices e buon senso, tra cui ad esempio:

Mappatura delle informazioni gestite dall’azienda per individuarne tipologia, posizione, utilizzo, provenienza, protezione per determinare il proprio livello di rischio;

Formazione e sensibilizzazione degli utenti e dei gestori dei sistemi, inclusi i collaboratori esterni;

– Razionalizzazione dei permessi di accesso degli utenti e opportuna gestione password;

Dismissione o aggiornamento di sistemi basati su piattaforme obsolete e applicazione regolare di patching;

– Verifica ed eventuale integrazione delle procedure di backup e restore dei dati;

– Revisione dei sistemi di sicurezza perimetrale e di protezione dei dispositivi utente – Firewall, Antispam, URL Filtering, Antivirus;

Cifratura dei dati e delle comunicazioni con l’esterno, con particolare attenzione ai dispositivi mobili – smartphone, tablet, notebook, USB stick, etc. – e ai repository di dati su Cloud;

– Raccolta, conservazione e analisi dei log.

Per tutti questi temi Surftech conosce e applica soluzioni tecnologiche valide, scelte con approccio pratico in base alle effettive esigenze dei clienti. Ha poco senso ad esempio introdurre prodotti di pseudonimizzazione dei dati o sistemi di correlazione dei log basati su intelligenza artificiale se in azienda si usano ancora sistemi operativi fuori supporto come Windows XP o Windows 2003, non esiste una politica di patching e gli utenti usano password statiche scritte su foglietti attaccati al monitor e copiano i dati aziendali sul proprio Dropbox. Non va infatti dimenticato che spesso il punto più debole è il “device collegato alla tastiera”, cioè l’utente stesso che non applica comportamenti corretti e diventa inconsapevolmente veicolo dei malware.

Ma, oltre a prescrizioni che come detto possiamo ritenere di carattere generale, il GDPR ne include anche altre di più specifiche, volte a garantire alle persone, e in special modo ai minori, maggiori diritti sul trattamento da parte delle aziende dei propri dati personali. L’articolo 15 stabilisce ad esempio che ciascun cittadino ha il diritto di ottenere da un’azienda “la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali”, nonché di farli rettificare se inesatti (articolo 16) e di farli cancellare se il titolare non ha più l’obbligo o il diritto di conservarli (“diritto all’oblio” – articolo 17) o al contrario di impedire al titolare di cancellarli, ad esempio perché servono al cittadino per far valere un proprio diritto. In linea di principio tutte queste richieste, con relative regole, eccezioni e casi particolari, vanno assolte dalle aziende gratuitamente, cioè senza far pagare nulla al richiedente se non dei costi amministrativi ragionevoli in caso di richieste manifestamente infondate o eccessive.

Una norma che solleva molte preoccupazioni è l’obbligo per il titolare del trattamento di notificare all’autorità di controllo, che per l’Italia è il Garante per la protezione dei dati personali, una eventuale violazione di dati personali “senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza”, accompagnando la notifica con numerosi dettagli (articolo 33). Nel caso di una violazione che può comportare rischi elevati per i diritti e la libertà delle persone il titolare è inoltre tenuto a comunicarla tempestivamente agli interessati (articolo 34).

Per soddisfare le prescrizioni sopra riportate in modo organico ed efficiente le aziende dovranno raggiungere e mantenere un livello di governance dei dati gestiti molto elevato, creando un contesto in cui consapevolezza e sensibilità verso il tema della sicurezza generino comportamenti corretti e facciano sì che con il tempo ogni nuova iniziativa tenga conto fin dalla progettazione iniziale delle necessità di sicurezza dei dati (principio di “security by design”) e dei diritti delle persone sul trattamento e la tutela dei propri dati ma salvaguardando al tempo stesso le legittime necessità di utilizzo dei dati da parte delle aziende per il proprio business.

Il GDPR comunque non vuol essere un peso insostenibile per le aziende: nella normativa compaiono spesso termini come “adeguato”, “proporzionale”, “ragionevole”, “ove possibile”, etc. che dovrebbero consentire a ogni organizzazione di attuare il proprio percorso verso la compliance e il ruolo di Surftech è proprio quello di aiutare le aziende a definire questo percorso. Conviene quindi affrontare l’argomento in modo pragmatico, attuando misure sostenibili che puntino a rispettare la sostanza del provvedimento e inizino con il sanare le situazioni di maggiore rischio, cercando magari di sfruttare l’occasione per introdurre migliorie e ottenere benefici anche in altri ambiti. Al crescere della maturità aziendale sull’argomento si potranno via via applicare soluzioni e procedure più avanzate che aumentino progressivamente la sicurezza.

Surftech propone di iniziare con un incontro introduttivo durante il quale si possa:

– avere una panoramica del GDPR, comprenderne la struttura e gli obiettivi, utilizzare una versione “navigabile” del provvedimento per leggere il testo dei principali articoli ed eventualmente approfondire quelli di maggior interesse per l’azienda specifica;

– effettuare un’analisi dell’attuale situazione aziendale in relazione alla sicurezza informatica attraverso una checklist di requisiti riferiti ai vari punti della normativa; per le situazioni più grandi e articolate questo processo potrebbe richiedere il coinvolgimento in più riprese di diversi reparti e figure aziendali;

– elaborare un piano di attività per l’attuazione delle misure più opportune.

Contattaci per maggiori informazioni.

Il Sole 24 Ore

Il Sole 24 Ore parla di noi

IL SOLE 24 ORE PARLA DI NOI

Siamo lieti di annunciare che oggi, giovedì 5 aprile 2018, è uscito l’articolo che parla delle nostre attività sul prestigioso quotidiano “Il Sole 24 Ore“.
Un traguardo importante che ci rende orgogliosi dei risultati raggiunti anche, e soprattutto, grazie alle importanti partnership e ai clienti che da tanti anni collaborano con noi.

Tutto questo accade nell’anniversario dei 10 anni dalla nascita di Surftech e non ci fermiamo: vogliamo evolvere e continuare a migliorare come le tecnologie che sostengono il nostro lavoro.

Grazie da tutto il team Surftech a chi ci ha accompagnato lungo questo percorso e a chi ci darà fiducia in futuro!

Leggi il testo completo dell’intervista:

 

LA MISSION DI SURFTECH: INFRASTRUTTURE INFORMATICHE PER ELEVARE LA PRODUTTIVITÀ

In ogni azienda che basa la propria attività su processi gestiti dalle moderne tecnologie, esiste qualcosa che non appare sugli schermi del PC ma che è fondamentale per organizzare e portare avanti qualunque fase del lavoro: l’infrastruttura informatica.

È un aspetto dell’Information Technology riservato agli specialisti ma di cui fruisce ogni lavoratore, ogni quadro, ogni fornitore e chiunque abbia a che fare con una determinata azienda. Quindi è un elemento importante che richiede cura e competenza, e poche aziende possono vantare una capacità d’intervento a questi livelli.

Una delle più qualificate è Surftech, società di consulenza informatica con sedi nelle provincie di Verona e Bolzano, che quest’anno festeggia i 10 anni di attività e che si è specializzata nell’impostazione di infrastrutture informatiche. I tre soci fondatori, Francesco e Alberto Ziviani, e Alberto Businaro, hanno portato avanti con successo la mission di realizzare per i propri clienti soluzioni di qualità, facile applicazione e soprattutto funzionali alla crescita aziendale di chi le adotta.

Il migliore esempio in questo senso viene dai settori di Mobility e Smart Working, in cui la collaborazione con Surftech ha permesso alle aziende clienti di fornire ai propri dipendenti gli strumenti per lavorare da qualunque postazione, anche remota, e in qualunque momento, senza vincoli di orario e in massima sicurezza. Con questo tipo di organizzazione è stato dimostrato che la produttività migliora del 20 per cento e aumenta la qualità del lavoro.

Grazie agli ottimi risultati di questi progetti Surftech ha incrementato notevolmente il suo volume d’attività ed è ora alla ricerca di personale tecnico qualificato da poter inserire stabilmente nei propri organici. Info: http://surftech.it/

 

Citrix Synergy Unplugged

Evento Citrix Synergy Unplugged

CITRIX SYNERGY UNPLUGGED

Si è svolto il 19 settembre a Villa Rezzato il Citrix Synergy Unplugged, l’evento dedicato a Partner e Clienti dove sono state mostrate le novità dello scorso Citrix Synergy 2017 di Orlando, raccontate direttamente dai tecnici Citrix Italia.
Si parte da alcuni presupposti fondamentali: il mondo si sta muovendo verso il Cloud; il mondo è Mobile e Interconnesso; il mondo è Intelligente; il mondo è sotto attacco.

Ci stiamo spostando sempre più verso il Cloud perché ci dà la possibilità di realizzare progetti innovativi ma abbiamo bisogno di architetture ibride che realizzino una coesistenza efficace con il mondo legacy; vengono sempre più concepite e adottate modalità di lavoro in mobilità che coniugano le esigenze aziendali di produttività e sicurezza con quelle delle persone; si diffondono soluzioni IoT che trasmettono grandi quantità di dati tramite oggetti che utilizziamo tutti i giorni alimentando algoritmi intelligenti di Machine Learning e Data Science; e più oggetti connessi ci sono e più aumenta la complessità e siamo esposti a potenziali attacchi malware.

Come possiamo avere quindi applicazioni, contenuti, networking e security sempre disponibili e sotto controllo, e come fare coesistere sistemi tradizionali e sistemi nuovi?

A questa domanda Citrix risponde proponendo un insieme integrato di soluzioni e una strategia che porta a realizzare il “Secure Digital Workplace” del futuro.
I prodotti XenAppXenDesktopXenMobileNetscaler e Sharefile sono in continua evoluzione per seguire questa strategia. Ecco alcune delle ultime novità presentate all’evento Synergy Unplugged:

  • Mostrato in anteprima, il nuovo Citrix Workspace permetterà di riunire in un’unica pagina web l’accesso ad applicazioni tradizionali, applicazioni web, file utente, procedure aziendali, etc., il tutto con una esperienza utente ottimizzata da ogni dispositivo (supporta ad esempio anche Samsung DEX, Windows Continuum, Google Chromebook) e con single sign-on.
  • Sharefile si integra anche con la suite Office365 e con server Exchange e fornire quindi un unico punto di accesso per repository su file server aziendali e server di posta interni e su diversi repository Cloud; inoltre grazie al plugin Drive Mapper è l’unica soluzione di file sync & share certificata per l’uso in ambienti VDI;
  • In XenDestop e XenApp la tecnologia di App Layering, introdotta grazie all’acquisizione di Unidesk, permette di distribuire dinamicamente le applicazioni al momento del logon utente, semplificando drasticamente la manutenzione dell’ambiente, svincolando il sistema dal tipo di hypervisor e abilitando l’utilizzo dinamico di workload nel Cloud.
  • La soluzione Citrix per il Secure Browser viene ulteriormente arricchita dall’integrazione tra le tecnologie XenServerBitfender HVI che analizza direttamente il contenuto della RAM a basso livello senza richiedere installazione di agent e con accuratezza, prestazioni e semplicità di gestione decisamente superiori.
  • Netscaler Enterprise mette ora a disposizione una soluzione di autenticazione rafforzata di tipo OTP – one-time password semplice ed economica che prevede l’utilizzo di un’app per smartphone e di QRcode per la generazione della OTP.
  • Prosegue la stretta partnership con Microsoft, che si concretizza ad esempio con il pieno supporto di Skype For Business in ambienti VDI, nella integrazione con Office365 e Intune e nella disponibilità di un numero sempre maggiore di servizi Citrix su piattaforma Azure.
  • Il nuovo servizio Citrix Cloud Analytics monitora costantemente l’attività degli utenti e se vengono rilevate anomalie di comportamento rispetto allo storico delle misurazioni può intraprendere azioni automatiche come blocco di applicazioni sospette o messa in quarantena dell’utente.

E’ stata una giornata molto densa di contenuti e queste sono solo alcune delle novità presentate all’evento, il nostro team è sempre a disposizione per ogni ulteriore approfondimento.

Non perdere l’occasione di utilizzare anche tu il workplace del futuro: contattaci subito per avere informazioni sui prodotti Citrix!