Regolamento GDPR: Nuova legge UE sulla privacy

GDPR: cosa di intende per Regolamento GDPR?

Nascita e definizione della legge

In pochi sanno che il GDPR General Data Protection – Regolamento GDPR UE 2016/679, la nuova legge in materia di protezione dei dati personali, è già attiva. Il regolamento, infatti, è stato già adottato il 27 Aprile 2016. Verrà applicato a partire dal 25 Maggio 2018. È questo un cambiamento importante, che interesserà profondamente aziende di ogni tipo e di ogni dimensione. Ogni organizzazione, all’interno del proprio ambito di riferimento, si trova a ricevere, scambiare, gestire e trattenere dati personali.

Cambiamenti generali e obiettivi del Regolamento GDPR

La nuova GDPR si impone alle aziende e sostituisce ormai la vecchia direttiva sulla protezione dei dati (Direttiva 995/46/EC) del 1995. Essa consta di 90 articoli. Essi specificano le nuove richieste per la gestione dei dati personali di cittadini UE e il rafforzo della relativa struttura organizzativa. Uno degli obiettivi della Commissione Europea è quello di semplificare ed unificare il contesto formativo in materia di trattamento dei dati personali, unificando i regolamenti entro l’UE e dall’UE.

Il GDPR affronta anche il tema dell’esportazione dei dati personali al fuori dell’UE. Inoltre, con il Regolamento GDPR l’Europa intende restituire ai cittadini il controllo dei propri dati personali. Dunque, in generale esso fornisce una nuova e ampia definizione dei dati personali. Imponendo processi specifici, tipi di comunicazione e caratteristiche tecnologiche che le aziende dovranno attuare per conformarsi.

Il GDPR include numerosi requisiti relativi a raccolta, archiviazione e uso delle informazioni personali, tra cui le modalità per:

  • Identificare e proteggere i dati personali nei sistemi
  • Soddisfare nuovi requisiti di trasparenza
  • Rilevare e segnalare violazioni dei dati personali
  • Formare personale e dipendenti che si occupano di privacy

Regolamento GDPR e aziende: come bisognerà regolarsi?

Le aziende che elaborano dati personali provenienti da oltre 5000 cittadini UE avranno una serie più ampia di requisiti da rispettare. Ad esempio la nomina obbligatoria di un responsabile della protezione dei dati (DPO).

In particolare, la sicurezza dei dati raccolti deve essere garantita dal titolare del trattamento e dal responsabile del trattamento. Entrambi sono chiamati a mettere in atto misure tecniche e organizzative idonee per garantire un livello di sicurezza adeguato al rischio. L’ambito d’intervento principale sarà quindi proprio quello informatico. I processi informatici utilizzati dovranno garantire un livello di protezione molto alto e dovranno essi stessi essere conformi alla legge.

Dopo la piena adozione ogni azienda dovrà quindi sollecitarsi ad adottare le misure più adeguate al raggiungimento degli obiettivi di conformità. A meno che non vorrà incorrere in pesanti sanzioni e procedimenti penali, anche questi rivisti dal nuovo regolamento, con conseguenti perdite in termini economici e di reputazione.

L’ammodernamento della legislazione in tema di privacy e quindi l’adempimento del GDPR non sarà di facile adozione ma sarà necessario.

Considerando i molti aspetti coinvolti dalla nuova legge europea, sarà utile iniziare a preparare il proprio ambiente e rivedere le procedure di gestione dei dati e della privacy. Senza rischiare di trovarsi impreparati alla sua entrata in vigore. Evitando inutili, affannose ed onerose corse contro il tempo.

Verso la conformità: passaggi fondamentali

Le aziende potranno iniziare ad utilizzare (o ad utilizzare meglio) i giusti strumenti e servizi informatici, ottimizzandone processi ed implementazioni. Per orientarsi nel percorso verso la conformità sarà utile concentrarsi su 4 passaggi fondamentali:

  1. Rilevamento (delle minacce; dell’uso accidentale/intenzionale improprio dei dati raccolti)
  2. Protezione a più livelli dei dati
  3. Gestione dei dati scambiati/raccolti/trattenuti
  4. Segnalazione 

Vi forniremo via via indicazioni utili in grado di accompagnarvi in questo processo di apprendimento. Infine, vogliamo segnalarvi, già da ora, che i prodotti e i servizi Cloud Microsoft (come Office 365 e relativi), così come WatchGuard dispongono già di pacchetti capaci di assicurare la conformità al GDPR. Questi sono concepiti proprio nell’ottica della responsabilità condivisa, in materia di protezione dei dati personali, con i partner e con i clienti.

Allerta Wanna Cry: conoscerlo per difendersi

Allerta Wanna Cry: conoscerlo per difendersi
Sempre tenendo in considerazione le informazioni utili e le raccomandazioni fatte nel precedente articolo e cioè quali pratiche applicare per rispondere preventivamente ad agli attacchi di Wanna Cry, conosciamolo da vicino.

Conoscere “i nemici” ci consente non solo di sapere quali interventi adottare ma anche quali azioni applicare quotidianamente. In azienda, per fare ciò è necessario conoscere bene la propria infrastruttura IT. Troppo spesso, nell’utilizzo degli strumenti informatici, ci esponiamo inconsapevolmente a rischi, proprio perché non riusciamo ad averne avvertenza.

Prima di parlare dettagliatamente di questo virus, vogliamo quindi ricordare quali sono le azioni da non fare per evitare di esporsi a rischi di questo genere.

La parola d’ordine, anche in questo caso sarà: AGGIORNARE!

Lo ripetiamo: è necessario adottare il prima possibile la versione aggiornata dei software in uso a partire dal sistema operativo (Windows 10!) senza tralasciare di aggiornare qualsiasi software in grado di maneggiare contenuti esterni (sì, vi tocca aggiornare tutto!).

A livello aziendale, tale processo si esplicherà nel rendere efficiente e snello il processo di aggiornamento stesso. In questo caso snellezza ed efficienza si traducono in servizi Cloud, di per sé sempre aggiornati all’ultima versione. Ciò consente di installare il prima possibile e in modo completo le patch di sicurezza.

La cosa da non fare è quindi quella di smanettare aggirando o disabilitando le impostazioni di aggiornamento automatico, che permettono al sistema di essere sempre protetto con le ultime patch di sicurezza non appena rilasciate.

 In particolare le aziende, inoltre, non devono utilizzare il protocollo SMBv1 (Microsoft ha sconsigliato l’utilizzo di SMBv1, laddove possibile). Sui sistemi su cui non sia possibile intervenire con aggiornamenti, provvedere quindi a disabilitare il protocollo SMBv1.

Inoltre, in ambito aziendale è bene che tali comportamenti atti a preservare la sicurezza dell’intera organizzazione si diffondano ad ogni settore ed ogni livello. A tal proposito, ci vengono certamente in aiuto i servizi di Office 365, che mostrano un pannello di amministrazione capace di offrire il comando e la visualizzazione delle azioni fatte tramite l’intera piattaforma Office 365. Inoltre, con Office 365 piano E5 (o acquistandolo separatamente) è possibile avere un servizio a supporto della sicurezza aziendale. Si chiama Threat Intelligence ed è molto utile per l’analisi ed il monitoraggio degli attacchi, consentendo di strutturare una strategia di difesa persistente.
Wanna Cry ransomware: cos’è e cosa fa
La recente campagna ransomware ha avuto un impatto globale. Questa assume, però, caratteri differenti dalle precedenti per due ragioni. La sua pericolosità risiede, infatti, nell’aver combinato in un solo attacco due tipologie di malware:

  1. Un codice di tipo ransomware encryption che agisce in modo classico nel cifrare i file del PC della vittima chiedendo poi il relativo riscatto;
  2. Un codice di tipo worm che ha la capacità di propagarsi automaticamente all’interno di una rete tipicamente aziendale.

Ciò permette al primo codice di essere copiato e quindi di infettare tutti i PC che riesce a contattare se vulnerabili, anche rispetto alla vulnerabilità di rete utilizzata (ad esempio l’EternalBlue).

È questo un modo molto ingegnoso, che consente la propagazione dell’infezione da ransomware, che finora dipendeva solamente dall’adescamento degli utenti tramite email di phising con allegati o link pericolosi (vettori primari dell’infezione).

È quindi sufficiente che un solo collaboratore sia rimasto vittima dell’apertura di un allegato infetto, per scatenare l’”epidemia” nella propria azienda, con un impatto tanto più elevato quanto più sistemi sono accesi e vulnerabili, dunque non aggiornati rispetto alla patch MS17-010. Inoltre, tale infezione è naturalmente propagabile anche tramite strumenti utilizzati da collaboratori esterni: ecco perché è necessario dotarsi di sistema di sicurezza efficienti come quelli consigliati nel precedente articolo.

Quanto detto fa pensare ad attacco di tipo globale e non mirato alle sole singole aziende già colpite. Naturalmente, saranno le indagini che si sono attivate a tale scopo a chiarire ciò. Al momento però, tale campagna sembrerebbe soltanto orientata ad aumentare la propagazione dell’infezione da ransomware. Esso purtroppo ha potuto avere un impatto significativo nelle realtà aziendali dotate di sistemi obsoleti e/o con processi non efficienti (o addirittura assenti) di aggiornamento dei sistemi.

Come dichiarato da Feliciano Intini sul blog Microsoft NonSoloSecurity, attualmente, la nota positiva di questa vicenda è che la prima variante di WannaCry/WannaCrypt non è stata attrezzata con funzionalità in grado di carpire credenziali o loro derivati (hash) una volta infettato il sistema vittima. Ciò può essere segno della non volontà di approfittare dell’infezione ransomware per predisporre un attacco persistente. Questo discorso è valido, però, per la prima variante del virus e non esclude che ciò possa accadere da qui in avanti. Anzi, a questo punto purtroppo tale rischio è plausibilmente molto alto. L’efficace approccio phishing>ransomware+worm utilizzato da Wanna Cry può essere verosimilmente usato per realizzare la base per attacchi persistenti, molto più pericolosi da rilevare.

Contratto il ransomware, esso fa scattare i propri lucchetti e da quel momento in poi si è in fase di emergenza, impossibilitati ad utilizzare il pc e privi dei propri file, in certi casi anche importanti. A quel punto diventa inutile pensare ai mancati aggiornamenti, alla mancata attenzione e ai mancati backup.

Dopo aver predisposto gli interventi urgenti contro questa prima ondata di virus è perciò necessario approcciare alla sicurezza aziendale in maniera consapevole e sistematica. La consapevolezza di quel che si fa online, unitamente all’utilità di software antivirus e ad una necessaria informazione quotidiana, consentono di evitare la maggior parte dei rischi.

5 punti per proteggersi da WannaCry

5 punti per proteggere i sistemi aziendali da WannaCry prevenendo i suoi attacchi

Anche se al momento l’attacco di WannaCry è stato bloccato, è facile aspettarsi una seconda versione capace di aggirare il tipo di blocco operato. In generale, dunque, è necessario mettersi al sicuro da questo virus in maniera preventiva.

Azioni  da effettuare per i clienti Windows:

  1. Aggiornare con urgenza i sistemi operativi, adottando appena possibile le versioni più recenti del software in uso. Per quanto riguarda i sistemi operativi Microsoft vi consigliamo di adottare al più presto Windows 10 per i client e Windows Server 2016 per i server.
  2. Proteggere le proprie cassette postali adottando filtri capaci di rilevare attacchi 0-Day e spam cryptolocker con Office 365 Advanced Threat Protection. ATP è l’unico filtro capace di bloccare a monte comunicazione “infetta”, tramite un sofisticato sistema che funziona come una camera di “detonazione”. Ciò è necessario perché le email di phiscing con allegati infetti e link pericolosi, sono il vettore di attacco primario dei virus.
  3. Aggiornare i sistemi anti malware che funzionano “a valle”in grado di rilevare la minaccia una volta nota. Dunque, aggiornare Windows Defender, aggiornamento già disposto da venerdì 12 maggio.
  4. Adottare sistemi e soluzioni di Windows Defender Advanced Threat Protection. Essi consentono tipicamente di rilevare e fermare “a monte” l’attività anomala del codice worm, che tenta l’automatica propagazione tramite la rete. Questa attività malevola è rilevabile solo da moderne soluzioni di endpoint protection di tipo anti- APT, come Advanced Threat Protection, detto filtro ATP, appunto.
  5. Implementare sistemi e servizi che consentono il versioning: utilizzando sistemi di archiviazione documentale basate sul cloud compunting come OneDrive for Business. Ciò vi consentirà di recuperare la versione originale dei file, prima che essi vengano cifrati dal ransomware. Questo perché i servizi Office 365 e OneDrive for Business, offrono la possibilità di mantenere (e condividere) lo storico delle versioni (versioning), facendo sì che ogni modifica apportata al documento non annulli la versione precedente. Inoltre, l’adozione di Virtual Machine ospitate dalla piattaforma Azure nella modalità IaaS garantisce che le stesse siano fornite perfettamente aggiornate con le necessarie patch di sicurezza.

Perché scegliere Windows 10

In ultimo, mentre le versioni precedenti di Windows sono più esposte a WannaCry, Windows 10 al momento è stato considerato quasi immune. Il virus sfrutta esploit già collaudati ed efficaci sulle versioni più datate di Windows, magari non adeguatamente aggiornate. Windows 10, invece, è strutturalmente più robusto e ha trasformato la modalità di aggiornamento verso gli utenti finali, rendendo obbligatoria l’istallazione della patch di sicurezza quando rilasciate, il secondo martedì del mese.

WannaCry: sicurezza aziendale a rischio

WannaCry: sicurezza aziendale a rischio? Proteggere la vostra Organizzazione da attacchi hacker

Il tema della sicurezza sta interessando gli argomenti di questo blog sin dai suoi primi articoli. Questo perché a dare il via a questo spazio è stata proprio la necessità di raccontare meglio i prodotti e servizi Microsoft. Conseguentemente, comprendere il loro livello di sicurezza e compliance diventa fondamentale.

Oggi, torniamo a parlare di sicurezza, concentrandoci sempre sulle aziende, maggiormente esposte agli attacchi rispetto agli utenti. Nel farlo, ricordiamo proprio delle recenti campagne malware di livello mondiale. Denominato #WannaCry, anche detto #WannaCrypt , #WannaCryptor, #Wcry, è questo il tipo di virus che sta preoccupando attualmente ogni organizzazione.

Riportando le indicazioni ufficiali di Microsoft, vogliamo fornirvi informazioni utili circa il da farsi per prevenire e contrastare tali attacchi.

WannaCry: sicurezza aziendale a rischio. Metodi e strategie per non essere attaccati

In questa situazione di preoccupante vulnerabilità, emergono le potenzialità dei prodotti e servizi Microsoft, per i quali l’attenzione alla sicurezza è costante. Queste vicende, consentono, inoltre, di capire meglio i vantaggi del modello di Windows as a Service.

Tale approccio risulta contribuire a migliorare il livello generale di sicurezza dell’ecosistema globale. Le patch di sicurezza vanno installate non appena disponibili. Solo l’innovazione costante può garantire un efficace contrasto all’altrettanto rapida evoluzione delle minacce.

Microsoft ha già rilasciato una patch di aggiornamento utile a contrastare questi virus, gratuita anche per sistemi operativi ormai fuori supporto (download MS17-010 Security).

Si invita chi non l’avesse ancora fatto, ad aggiornare. Vi riporteremo informazioni utili, indicazioni e “buone pratiche” atte a prevenire e proteggere i vostri sistemi da WannaCry e simili.

Legge sullo Smart Working in Italia

Finalmente la legge sullo Smart Working in Italia

Legge sullo Smart Working in Italia

Le esigenze personali e professionali negli ultimi anni sono profondamente cambiate. La legge sullo Smart Working in Italia introduce tale norma così.” Occorre quindi non già fissare questi cambiamenti immaginando di codificarli in nuove norme, destinate ad essere sempre incapaci di comprendere una realtà dalle molte sfaccettature e in rapido divenire. Inoltre individuare strumenti duttili, utili ad accompagnare l’impiego delle tecnologie, in modo che esprimano tutti i vantaggi potenziali per i lavoratori e per le imprese. Si avvera, in questo modo, il superamento della rigida distinzione.”

La legge “promuove il lavoro agile quale modalità di esecuzione del rapporto di lavoro subordinato stabilita mediante accordo tra le parti”. Lo stipendio e il trattamento normativo del lavoratore agile fanno riferimento al contratto collettivo. Saranno gestite inoltre in maniera del tutto simile agli altri contratti.

Finalmente il lavoro autonomo e il lavoro agile godono di norme che lo promuovono e lo sostengono con la Legge sullo Smart Working in Italia!

Maggiori informazioni su Decreto Legge

Gestire al meglio lo Smart Working per aumentare la produttività nella tua organizzazione

Lo smart Working, il lavoro 4.0, oggi è una realtà che pratichiamo in maniera del tutto naturale. Anche noi di Infoservice ci affacciamo a questo nuovo modo di lavorare e collaborare. Sulla scia delle grandi aziende come Ferrovie dello Stato, Microsoft, Fastweb Già adesso sono più di 250mila, nel solo lavoro subordinato, i lavoratori che godono di discrezionalità nella definizione delle modalità di lavoro in termini di luogo, orario e strumenti utilizzati, e rappresentano circa il 7% del totale di impiegati, quadri e dirigenti.

La situazione è ormai chiara: “Dati alla mano, lo Smart Working aumenta la produttività dei dipendenti dal 15 al 20%, riduce drasticamente l’assenteismo e migliora il clima aziendale” (Gregorio Fogliani, presidente di Qui! Group).

Evidente che non possiamo pensare di tirarci indietro e come aziende dobbiamo apprendere le tecnologie a sostegno di questa realtà in rapido divenire, accompagnare l’impiego delle risorse. Lo smart working è un nuovo modo per organizzare il lavoro ed ogni organizzazione può studiare delle diverse modalità di attuazione. Flessibilità orari, libertà di lavorare da casa o da altri luoghi e soprattutto uso intelligente della tecnologia…

Nel farlo noi, lo proponiamo alle altre aziende nell’ottica di fare rete fra imprese fornendo sempre il meglio ai nostri partner e clienti! Per aumentare la produttività e la flessibilità della tua organizzazione, oggi ti offriamo uno strumento altrettanto flessibile nella sua acquisizione: Office365!

Non vediamo l’ora di condividere con voi una delle più importanti e attuali opportunità per aumentare e sostenere la produttività aziendale. Non aspettare ancora, contattaci subito!