Perizie informatiche forensi, indagini e investigazioni informatiche forensi, cyber security, compliance aziendale e GDPR
Blog
Forensics Readiness per combattere data breach e cyber spionaggio
- Dettagli
- Scritto da Alessandro Fiorenzi
Per ridurre i costi diretti e le problematiche giuslavoristiche, nel corso degli ultimi dieci anno le aziende hanno incrementato l'esternalizzazione di molti servizi, passando dal concetto di produzione/erogazione del servizio a quello di gestione dell'outsourcer/della fabbrica esterna. Di fatto le aziende hanno esternalizzato anche buona parte delle fasi industriali del ciclo produttivo in particolare nella gestione e sviluppo di sistemi e soluzioni IT.
Esternalizzare significa estendere il perimetro aziendale, inizialmente ben definito e circoscritto, a quello degli outsourcer con la conseguente perdita di controllo dovuta alla mancanza di presidi tecnologici e organizzativi di segregazione e tracciatura.
L'azienda praticamente rischia la perdita di controllo sul fornitore ma sopratutto sulla disponibilità integrità e disponibilità dei propri dati.
Il cyber spionaggio legato all'uso di outsourcer di conto-terzisti dell'Information technology è confermato da tutti dai più accreditati report sulla sicurezza informatica, espone le aziende a rischi quali la sottrazione di dati, di specifiche di progetti, di informazioni finanziarie e commerciali, con effetti significativi sulla redditività dell'azienda. Per ridurre il rischio ad un livello accettabile, dal momento che non è possibile azzerarlo, è necessario attivare una serie di presidi organizzativi ma anche tecnologici di monitoraggio e tracciatura, in una parola "Forensics Readiness", che permettano di governare e tracciare un accesso abusivo, un trattamento illecito, un furto di dati, in generale un data breach da parte di un insider piuttosto che di un fornitore o outsourcer. Ove le aziende riescano ad attivare un piano di Audit periodico e analitico unitamente ad una revisione di processi e strumenti tecnologici in ottica di "Forensics readiness" l'azienda riesce a mitigare notevolmente il rischio legato all'outsourcing. Il rischio residuale può essere coperto avvalendosi di strumenti di tutela della proprietà intellettuale: marchi, brevetti e copyright, nonché ricorrendo ad soluzioni assicurative.
Base dati reputazionale: il garante preferisce vietare piuttosto che regolamentare
- Dettagli
- Scritto da Alessandro Fiorenzi
il 28 dicembre uscica un articolo su come il Garante avesse deciso di bloccare lo sviluppo di una base dati reputazionale, la notizia era riportata su "http://www.corrierecomunicazioni.it/digital/45134_no-alla-banca-data-online-della-reputazione-viola-la-dignita.htm".
riprendendo direttamente dall'articolo:il Garante ha ritenuto che “il sistema comporti rilevanti problematiche per la privacy a causa della delicatezza delle informazioni che si vorrebbero utilizzare, del pervasivo impatto sugli interessati e delle modalità di trattamento che la società intende mettere in atto”. Pur essendo infatti legittima, ricorda il Garante, l’erogazione di servizi che possano contribuire a rendere maggiormente efficienti, trasparenti e sicuri i rapporti socioeconomici, il sistema in esame “realizzato peraltro in assenza di una idonea base normativa, presuppone una raccolta massiva, anche on line, di informazioni suscettibili di incidere significativamente sulla rappresentazione economica e sociale di un’ampia platea di individui (clienti, candidati, imprenditori, liberi professionisti, cittadini)”. Il rating di reputazione che la piattaforma andrebbe a produrre, secondo l’authority, potrebbe ripercuotersi sulla vita delle persone censite, influenzando le scelte altrui e condizionando l’ammissione degli interessati a prestazioni, servizi o benefici.
Personalmente son rimasto molto perplesso dalla posizione del Garante, infatti quando parla di "una raccolta massiva, anche on line" forse non ha presente o ignora che ogni motore di ricerca fa questo, che i Social network fanno questo, che OSINT con le fonti aperte è in grado di fare questo, che migliaia di azienda a partire dai big Google, Facebook, Microsoft etc., fanno questo con il datamining dei dati che mettiamo nei loro servizi "gratuiti". Ora mi lascia perplesso che il Garante abbia dimenticato tutto questo, ma sopratutto la cosa che mi inquieta è che vieta ad una piccola realtà quello che non è in grado di vietare ai grandi big, un Garante che fa la voce forte con i piccoli ma non con i grandi. Purtroppo continuiamo ad avere in tutta europa regolatori, dal legislatore alle varie authority, che ragionano con un vecchio modello: vietare piuttosto che regolamentare. Questi soggetti e questo modo di ragionare hanno fatto il loro tempo, un po' come i dinosauri, basta guardarsi intorno, usare Internet, i social network, e i nostri cari smartphone per capire che la nostra compliance, le nostre regole nascono vecchie e ancor peggio uccidono il business.
Corte di Giustizia UE: gli indirizzi IP dinamici sono dati personali
- Dettagli
- Scritto da Administrator
Con sentenza del 19 ottobre 2016, la Corte di Giustizia UE ha precisato che l’articolo 2 della Direttiva 95/46/CE (relativo alla definizione di dato personale) deve essere interpretato nel senso che un indirizzo IP dinamico registrato da un sito rappresenta, nei confronti del gestore del sito, un dato personale qualora egli disponga di mezzi giuridici che gli consentano di far identificare il visitatore grazie alle informazioni aggiuntive fornite dall’Internet service provider dell’utente. Quindi attenzione all'informativa Privacy al momento della registrazione, deve contenere anche il trattamento dell'indirizzo IP. Questo significa però che il log degli accessi non più soggetto alla conservazione massi di tot mesi, a seconda degli stati, ma essendo un dato personale lo il gestore lo conserva fino a quando non viene revocato il consenso al trattamento. Sembra scontato ma tutto questo vale anche per le intranet aziendali. Maggiori strumenti per le indagini informatiche ma maggiori oneri dal punto di vista privacy.