Una panoramica sul mondo della Sicurezza Informatica, del Networking, della Virtualizzazione e non solo. Blog particolarmente indicato per i reparti IT che comunque alterna articoli scritti per specialisti con articoli formulati con linguaggio semplice e comprensibile a tutti.

Ogni articolo di questo blog è stato integralmente scritto dall'autore. Il contenuto è completamente originale e la riproduzione, anche parziale, è vietata salvo autorizzazione.

venerdì 20 aprile 2018

GDPR... quanta confusione!

Sul GDPR se ne sentono ultimamente di cotte e di crude, ognuno tira l'acqua al suo mulino, ma la verità dove sta? Come al solito, "in medio stat virtus" dicevano gli antichi filosofi, nonostante non fossero particolarmente attenti alla privacy.

In questo articolo non parleremo di cosa fare per adeguarsi o delle ottemperanze procedurali, per quello internet è pieno di guide. Focalizzeremo l'attenzione sul troppo e sul troppo poco.


La parolina magica: adeguatezza

 

Il GDPR prevede un audit tecnico ed uno normativo/procedurale. Soprattutto sulla parte tecnica, la normativa apre ad una certa interpretazione lasciando sufficiente libertà di scelta nell'identificazione di quelle che sono le "adeguate misure di sicurezza". Il ruolo di un professionista che tecnicamente effettua queste valutazioni, ovvero di una figura in realtà più abituata a confrontarsi con gli attacchi informatici di quanto non sia abituato a leggere norme, è fondamentale. Ma "adeguate misure" aprono purtroppo un mondo di interpretazioni:
  • "Adeguato" significa che la Signora Maria della salumeria sotto casa deve dotarsi del sistema di sicurezza del Pentagono perchè gestisce le anagrafiche dei fornitori? 
  • "Adeguato" significa che uno studio medico che tratta dati sanitari, essendo piccolino, può permettersi di non avere alcuna cura delle informazioni sensibili?
  • "Adeguato" significa che un commercialista che ha il gestionale in cloud può disinteressarsi dell'ottemperanza tecnica?
Andiamo con ordine. 



Il troppo

 

Sto assistendo continuamente a "mosche sparate con un cannone". Sfatiamo qualche mito:
  • Non è sempre obbligatorio avere il DPO esterno, anzi, i casi sono ben definiti e salvo specifiche classificazioni, il DPO può anche non essere necessario. Tuttavia, anche qui, è pieno di professionisti che propongono il DPO anche alla Signora Maria che gestisce la nota salumeria del precedente esempio.
  • Non è obbligatorio un Penetration Test, un Vulnerability Assessment o un'ispezione così approfondita sulle vulnerabilità dell'infrastruttura informatica. Sto assistendo ad aziende che stanno spingendo in maniera forsennata i PenTest. NO. Un PenTest fatto davvero bene (e non intendo "avanti > avanti > fine" con Nessus, e anche qui si apre un mondo) è costoso. E più è fatto bene e più è costoso. E' una decisione che deve essere basata sul buonsenso. SI se espongo dati sensibili, se l'architettura di rete necessita di un approfondimento così importante. Ma se ho il mio webserver in DMZ (o magari persino su un hoster esterno) e questo ospita un banale sito vetrina senza alcun meccanismo di autenticazione o raccolta dati... NO. Per carità, NO, è un'operazione estremamente costosa. Fatelo, se volete, ma non per un fantomatico obbligo normativo. E soprattutto, i PenTest vanno fatti da chi fa questo di mestiere... Per operare a cuore aperto serve il cardiochirurgo, non l'infermiere che ha seguito un video su youtube!



Il troppo poco

 

Viceversa, avendo approfondito l'argomento in maniera dettagliata, mi fa sorridere il software che con 200 euro fa tutto. Non esiste, e se esiste e lo fadavvero, vi prego di avvertirmi. Sarebbe interessante capire come può un semplice software fare un audit tecnico, procedurale e normativo all'interno di un'azienda. Come può un software sostituirsi ad un DPIA (quando necessario) o analizzare l'infrastruttura informatica, i piani di backup e disaster recovery, effettuare dei vulnerability assessment laddove risulti opportuno e vi siano server esposti con dati sensibili. Come può un software "faccio tutto io" a fare formazione specifica sulle esigenze e sui processi dell'azienda? Avete mai visto un software da 200 euro per ottenere l'ISO9000? No? Forse c'è un motivo.

Sarà ancora più interessante vedere, in seguito ad una denuncia su un incidente di sicurezza, l'ottemperamento alle "adeguate misure di sicurezza" di cui parlano gli articoli dal 32 al 35. Tanto poi, alla fine, le responsabilità non sono certo di chi vende il software magico.

Il GDPR non è il nuovo DPSS su cui bastava fare copia-incolla cambiando l'anno.



Fidarsi è bene, non fidarsi è meglio

 

Ogni caso è particolare, ma è evidente che la normativa abbia generato una corsa al business dove ognuno ha una sua soluzione magica. Il consiglio è di non fidarsi nè di chi propone l'adeguamento a pochi euro, nè di chi vuole fare un audit da 20.000 euro in un'azienda da 3 dipendenti, nè di me che per onestà intellettuale verso il lettore di questo articolo non faccio segreto di lavorare nel settore. Il consiglio è banale: leggetevi la normativa http://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32016R0679&from=IT . Potreste scoprire che nel vostro caso serva maggiore o minore accuratezza di quanto vi sia stato proposto.


Discaimer: Ogni articolo di questo blog è stato integralmente scritto dall'autore. Il contenuto è completamente originale e la riproduzione è vietata salvo autorizzazione.
Pubblicato da
Etichette:
Iscriviti a: Post (Atom)