GDPR

Arriva il GDPR, un’opportunità da cogliere oltre gli obblighi

ARRIVA IL GDPR, UN’OPPORTUNITA’ DA COGLIERE OLTRE GLI OBBLIGHI

Come noto il 25 maggio 2018 diventerà obbligatorio per le aziende pubbliche e private attenersi al Regolamento Europeo sulla protezione dei dati personali (General Data Protection Regulation – GDPR).

Il GDPR prevede pesanti sanzioni in caso di violazione (dal 2% al 4% del fatturato e fino a 20 milioni di Euro) ma in un mondo caratterizzato da minacce informatiche sempre più insidiose e variegate e dalla presenza di tecnologie di raccolta e analisi dei dati estremamente sofisticate e pervasive, la sicurezza e il governo dei dati è comunque imprescindibile in un’attività, indipendentemente dagli obblighi di legge e non solo in relazione ai dati personali. L’entrata in vigore di questa normativa rappresenta quindi un’opportunità da cogliere per affrontare il tema della sicurezza in modo organico e sistematico nell’interesse stesso dell’azienda anziché limitarsi al rispetto formale e contingente di requisiti normativi.

Il GDPR va in questa direzione poiché nella sostanza non contiene indicazioni specifiche sulle soluzioni da adottare per essere in regola ma definisce gli obiettivi e i requisiti lasciando poi al titolare del trattamento la responsabilità di individuare e applicare “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio” (Art. 32). La scelta delle misure da adottare deve inoltre tener conto dello stato dell’arte delle tecnologie e dei costi di attuazione, pertanto esse dovranno periodicamente essere aggiornate per seguire lo sviluppo tecnologico e i costi relativi dovranno essere tenuti in debita considerazione nei budget delle aziende.

Fatta eccezione per casi specifici in cui il rischio è particolarmente elevato a causa della tipologia di dati trattati e del loro contesto di utilizzo da parte dell’azienda, il percorso verso il raggiungimento di un livello di sicurezza adeguato prevede a nostro parere prevalentemente interventi basati su best practices e buon senso, tra cui ad esempio:

Mappatura delle informazioni gestite dall’azienda per individuarne tipologia, posizione, utilizzo, provenienza, protezione per determinare il proprio livello di rischio;

Formazione e sensibilizzazione degli utenti e dei gestori dei sistemi, inclusi i collaboratori esterni;

– Razionalizzazione dei permessi di accesso degli utenti e opportuna gestione password;

Dismissione o aggiornamento di sistemi basati su piattaforme obsolete e applicazione regolare di patching;

– Verifica ed eventuale integrazione delle procedure di backup e restore dei dati;

– Revisione dei sistemi di sicurezza perimetrale e di protezione dei dispositivi utente – Firewall, Antispam, URL Filtering, Antivirus;

Cifratura dei dati e delle comunicazioni con l’esterno, con particolare attenzione ai dispositivi mobili – smartphone, tablet, notebook, USB stick, etc. – e ai repository di dati su Cloud;

– Raccolta, conservazione e analisi dei log.

Per tutti questi temi Surftech conosce e applica soluzioni tecnologiche valide, scelte con approccio pratico in base alle effettive esigenze dei clienti. Ha poco senso ad esempio introdurre prodotti di pseudonimizzazione dei dati o sistemi di correlazione dei log basati su intelligenza artificiale se in azienda si usano ancora sistemi operativi fuori supporto come Windows XP o Windows 2003, non esiste una politica di patching e gli utenti usano password statiche scritte su foglietti attaccati al monitor e copiano i dati aziendali sul proprio Dropbox. Non va infatti dimenticato che spesso il punto più debole è il “device collegato alla tastiera”, cioè l’utente stesso che non applica comportamenti corretti e diventa inconsapevolmente veicolo dei malware.

Ma, oltre a prescrizioni che come detto possiamo ritenere di carattere generale, il GDPR ne include anche altre di più specifiche, volte a garantire alle persone, e in special modo ai minori, maggiori diritti sul trattamento da parte delle aziende dei propri dati personali. L’articolo 15 stabilisce ad esempio che ciascun cittadino ha il diritto di ottenere da un’azienda “la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali”, nonché di farli rettificare se inesatti (articolo 16) e di farli cancellare se il titolare non ha più l’obbligo o il diritto di conservarli (“diritto all’oblio” – articolo 17) o al contrario di impedire al titolare di cancellarli, ad esempio perché servono al cittadino per far valere un proprio diritto. In linea di principio tutte queste richieste, con relative regole, eccezioni e casi particolari, vanno assolte dalle aziende gratuitamente, cioè senza far pagare nulla al richiedente se non dei costi amministrativi ragionevoli in caso di richieste manifestamente infondate o eccessive.

Una norma che solleva molte preoccupazioni è l’obbligo per il titolare del trattamento di notificare all’autorità di controllo, che per l’Italia è il Garante per la protezione dei dati personali, una eventuale violazione di dati personali “senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza”, accompagnando la notifica con numerosi dettagli (articolo 33). Nel caso di una violazione che può comportare rischi elevati per i diritti e la libertà delle persone il titolare è inoltre tenuto a comunicarla tempestivamente agli interessati (articolo 34).

Per soddisfare le prescrizioni sopra riportate in modo organico ed efficiente le aziende dovranno raggiungere e mantenere un livello di governance dei dati gestiti molto elevato, creando un contesto in cui consapevolezza e sensibilità verso il tema della sicurezza generino comportamenti corretti e facciano sì che con il tempo ogni nuova iniziativa tenga conto fin dalla progettazione iniziale delle necessità di sicurezza dei dati (principio di “security by design”) e dei diritti delle persone sul trattamento e la tutela dei propri dati ma salvaguardando al tempo stesso le legittime necessità di utilizzo dei dati da parte delle aziende per il proprio business.

Il GDPR comunque non vuol essere un peso insostenibile per le aziende: nella normativa compaiono spesso termini come “adeguato”, “proporzionale”, “ragionevole”, “ove possibile”, etc. che dovrebbero consentire a ogni organizzazione di attuare il proprio percorso verso la compliance e il ruolo di Surftech è proprio quello di aiutare le aziende a definire questo percorso. Conviene quindi affrontare l’argomento in modo pragmatico, attuando misure sostenibili che puntino a rispettare la sostanza del provvedimento e inizino con il sanare le situazioni di maggiore rischio, cercando magari di sfruttare l’occasione per introdurre migliorie e ottenere benefici anche in altri ambiti. Al crescere della maturità aziendale sull’argomento si potranno via via applicare soluzioni e procedure più avanzate che aumentino progressivamente la sicurezza.

Surftech propone di iniziare con un incontro introduttivo durante il quale si possa:

– avere una panoramica del GDPR, comprenderne la struttura e gli obiettivi, utilizzare una versione “navigabile” del provvedimento per leggere il testo dei principali articoli ed eventualmente approfondire quelli di maggior interesse per l’azienda specifica;

– effettuare un’analisi dell’attuale situazione aziendale in relazione alla sicurezza informatica attraverso una checklist di requisiti riferiti ai vari punti della normativa; per le situazioni più grandi e articolate questo processo potrebbe richiedere il coinvolgimento in più riprese di diversi reparti e figure aziendali;

– elaborare un piano di attività per l’attuazione delle misure più opportune.

Contattaci per maggiori informazioni.

NetApp Partner Academy 2017

NetApp Academy 2017: Data Visionares Wanted

NETAPP ACADEMY 2017: DATA VISIONARES WANTED E L’IPERCONVERGENZA TARGATA NETAPP

Le Officine del Volo di Milano hanno ospitato lo scorso 10 ottobre 2017 la NetApp Partner Academy, l’evento organizzato ogni anno da NetApp per creare un punto di incontro tra Partner, team tecnici e di vendita, e per poter diffondere le novità e le tendenze del brand e del settore IT.

Ad aprire l’incontro è Andrea Fumagalli, Channel Sales Manager di NetApp, che ci spiega come tutti i trend topic attuali della Digital TransformationGDPR, intelligenza artificiale (AI), Internet of Things (IoT), Industria 4.0 – partano dai Dati e che di conseguenza questi ultimi stiano diventando la nuova valuta dell’era digitale e vero fattore competitivo delle aziende. NetApp, uno dei leader mondiali in ambito Storage, è quindi in prima linea in tutti questi progetti e affronta le sfide poste dalla complessità e varietà che li caratterizza con NetApp Data Fabric, una piattaforma che vuole “liberare i dati” sfruttando il cloud ibrido, creando datacenter evoluti e modernizzando lo storage, senza però togliere la protezione adeguata ai dati critici e puntando a velocizzare i risultati aziendali.

Segue sul palco il giornalista di Radio24 Enrico Pagliarini che porta l’attenzione sul fatto che in ogni progetto innovativo sono fondamentali anche fattori “umani”, che riguardano l’organizzazione, la cultura, le competenze e la creatività delle persone e che devono operare in sinergia con le soluzioni tecnologiche abilitanti per cogliere le grandi opportunità di questo momento storico.

Marco Pozzoni, Country Manager di NetApp Italia, rimarca il posizionamento di NetApp come leader nell’area EMEA con una crescita del 177% anno su anno nel mercato Flash e una gamma di soluzioni decisamente più ampia e articolata rispetto ai “classici” filer per cui NetApp è principalmente conosciuta.

Citiamo ad esempio i sistemi All Flash di fascia alta SolidFire, in grado di fornire prestazioni elevatissime e definire fino al livello della singola Virtual Machine il livello di servizio fornito, ma anche sistemi All Flash più abbordabili per clienti di medie dimensioni (AFF200 – AFF300), NetApp AltaVault per la Data Protection, NetApp Cloud Control per il backup e restore dei dati di Microsoft Office 365.

Molto interessate in termini di visione strategica e come parte della Data Fabric è l’offerta NetApp ONTAP Cloud che permette Cloud Provider (Amazon AWS in particolare) di erogare servizi di storage NetApp per realizzare integrazioni con ambienti NetApp on premise a fini di Disaster Recovery, migrazione, realizzazione di ambienti ibridi.

Come possiamo progettare il Next Generation Data Center (NGDC) con NetApp? La risposta arriva da Davide Marini, Enterprise Sales Manager di NetApp, che individua le 5 caratteristiche fondamentali che un NGDC deve avere secondo NetApp:

  • Scalabilità
  • Sicurezza
  • Performance garantite
  • Gestione semplificata e automatizzata
  • Efficienza globale

In perfetta sintonia con questi obiettivi si inserisce l’annuncio della nuova soluzione di iperconvergenza Netapp HCI (Hyper Converged Infrastructure).

E’ il Technical Partner Manager di NetApp Italia Matteo Pirelli a illustrarne i principali dettagli.

Contrariamente ad altre soluzioni di iperconvergenza, con NetApp HCI è possibile scalare le risorse di calcolo e di archiviazione indipendentemente pur rimanendo nell’ambito di un unico building block hardware. I “puristi” dell’iperconvergenza magari storceranno un po’ il naso ma secondo NetApp questa impostazione aggiunge flessibilità senza rinunciare alla drastica semplificazione delle operazioni che costituisce la maggior attrattiva per i clienti di questo genere di soluzioni.
NetApp HCI utilizza interamente dischi SSD e si basa sul sistema operativo storage SolidFire Element OS, lo stesso utilizzato dai sistemi All-Flash di fascia alta, quindi anche con HCI è possibile definire fino al livello della singola Virtual Machine il livello di servizio fornito. Il plug-in vCenter rende la gestione con l’ambiente VMware semplice e intuitivo e naturalmente anche HCI può entrare a far parte della già citata Data Fabric.

La configurazione minima è composta da due building block da 2 rack unit, quattro nodi storage (disponibili diverse capacità in base al taglio di dischi SSD scelto) e due nodi di calcolo.

Per i singoli nodi sono disponibili tagli “small” (16 core computazionali / 5.5TB di effective capacity), “medium” (24 core di computazionali / 11TB effective capacity) e “large” (36 cores computazionali / 22TB effective capacity). La “effective capacity” è quella utile risultante per memorizzare i dati del cliente che tiene già conto dello spazio occupato dal sistema operativo e suoi metadati, delle ridondanze di protezione del dato e delle funzionalità di efficienza come compressione, deduplica e thin provisioning. L’unico hypervisor supportato è al momento Vmware.

Si tratta come detto di un prodotto appena annunciato che parte però da un sistema operativo storage già consolidato. Per valutarlo approfonditamente sono disponibili da parte di NetApp, tramite i suoi partner, delle macchine demo utilizzabili per installazioni di test.

Contattaci per avere maggiori informazioni.

Arcserve UDP Archiving

Arcserve annuncia un nuovo prodotto: Arcserve UDP Archiving

ARCSERVE UDP ARCHIVING

Venerdì 16 Giugno siamo stati ospiti al Grand Hotel Des Bains di Riccione per l’incontro Partner Arcserve, dove sono stati elencati i prodotti di punta e annunciata una novità.

Arcserve è un brand considerato “di nicchia” ma che punta molto sulla qualità del prodotto, tra i quali Arcserve UDP.
Arcserve UDP (Unified Data Protection) integra in un’unica soluzione tecnologie collaudate di backup di ripristino basato su immagini, nastro, replica, alta affidabilità e deduplica effettiva, un’architettura integrata e scalabile che offre Assured Recovery di semplice gestione.
Tra le varie caratteristiche e i vantaggi, Arcserve UDP offre supporto di cloud pubblico con funzionalità avanzate di copia e disaster recovery, supporto cloud privato e Arcserve Cloud DRaaS per clienti con software UDP o appliance, deduplica reale globale, supporto per nastri e protezione offsite.

Per quanto riguarda il nuovo prodotto si tratta di una soluzione per l’archiviazione della posta elettronica: Arcserve UDP Archiving.
Lo scopo è quello di proteggere l’e-mail aziendale e renderla accessibile in caso di audit e ricerche giudiziarie, una soluzione multi-tenant adatta a implementazioni on premise e su cloud privato e pubblico.
Gestisce tutti gli aspetti di protezione dati e soddisfa regole e normative attuali come la nuova GDPR.
Comprende funzionalità utili alla gestione e alla ricerca, conserva le mail in base alle regole decise, esporta e ricerca record per scopi legali, crea un repository per effettuare ricerche, e una volta inviate e ricevute le e-mail vengono conservate come non modificabili.

Tutte le soluzioni Arcserve sono disponibili con opzioni d’acquisto (licenze e pricing) adatte a qualsiasi tipo di azienda, dalla Small Business all’Enterprise.