Autore/i: Ing. Donato Pace Tag: Salerno, Normative

GDPR2 ARTICOLO

Protezione Dati nello scenario del GDPR (seconda parte)
Cari “consumatori tecnologici”, riprendiamo l’articolo della scorsa settimana che ovviamente non potrà
ancora essere esaurito completamente, ma veniamo al nocciolo del problema.
Il 25 maggio è entrata in vigore una legge del 2016 : “GDPR” (Global Data Protection Regulation) figlia di un lungo
percorso iniziato il lontano 1995, ma perché i cittadini si stanno spaventando?
Perché le informazioni che sono arrivate anziché essere diluite nel tempo, consentendo una più facile assimilazione,
sono state trasformate in una purga ingoiata in un solo colpo!
Nel sito del Garante italiano troverete ampia documentazione in merito al GDPR, mentre sono diventati riferimenti
europei il Garante Francese ed il Garante Inglese, rispettivamente il CNIL e l’ICO.
Online è presente il “PIA” (Privacy Impact Assessment) che è un software open source, anche in lingua italiana, che
aiuta a valutare il rischio all’interno del proprio ambito organizzativo.
Sì parla tanto di lavoro quanto di dati sensibili perché lavoro e privato sono diventati un cocktail impossibile da
separare!
Il GDPR ha ben definito la giurisprudenza in merito a “privacy e protezione dati”, lasciando la libertà sulle tecnologie
da impiegare con conseguenti responsabilità sulle scelte errate!
Lo Sportello Tecnologico CODACONS ha provato ad immaginare come organizzare un sistema tecnologico,
considerando un punto di partenza ma non di arrivo per “proteggere i dati”.
Le linee guida che stiamo per darvi non sono un obbligo, ma piuttosto consideratele come un riferimento per riflettere!
L’elenco seguente non dovrà spaventarvi perché seguiranno altri articoli chiarificatori, oltre a seminari destinati a far
comprendere il funzionamento della tecnologia che ci circonda ed il suo corretto utilizzo.
Fatevi sempre una domanda e cercate di fare “l’avvocato del diavolo” su ogni soluzione che avete trovato.
In particolare se immaginate che accadesse qualcosa, ipotizzate in che modo avreste contenuto il disastro, piuttosto
di correre ai ripari dall’amico esperto di turno, tenendo presente che la legge impone di avvisare il Garante in presenza
di un incidente informatico (data breach) in tempi molto stretti(72 ore), per non parlare del diretto interessato che
potrebbe chiedervi un risarcimento danni oltre alla denuncia penale e 20 milioni di euro di multa!
Cominciamo!
Qualunque dispositivo elettronico richiede energia elettrica, quindi verifichiamo l’impianto di messa a terra,
il differenziale e possibilmente aggiungiamo lo scaricatore di sovratensione; un piccolo misuratore di energia sarebbe
utile per controllare “armoniche” e “cos-fi” in ambienti con molte apparecchiature elettroniche.
Un gruppo stabilizzatore e di continuità elettrica UPS, possibilmente ad onda sinusoidale pura, dovrà essere inserito
per proteggere le apparecchiature da sovra-elongazioni ed interruzioni elettriche. Un sistema basato sui classici PC
deve avere al suo interno un alimentatore con certificazione, per esempio prendete spunto dalle serie 80 PLUS.
Le memorie RAM devono essere certificate e possibilmente con CHIP di Parità.
Gli hard disk in cui saranno conservati i dati dovrebbero avere almeno 5 anni di garanzia e con un MTBF elevato; inoltre
non usate mai
un singolo hard disk o ancor peggio una Penna USB per contenere sistema operativo e dati, ma
piuttosto separateli creando almeno un “RAID1” a doppio hard disk per i vostri dati!
Questa soluzione vi proteggerà solo dalla rottura di un singolo hd ma non dagli errori di scrittura per i quali bisognerà
affidarsi a tutta una serie di fattori di cui Il file system con i suoi metadati arriva alla fine.
Una copia aggiuntiva dei dati (backup) va conservata in un luogo differente e bisogna automatizzarla mediante una
procedura che certifica l’avvenuta copia con firma così da poterne verificare la coerenza nel tempo.
In base al tipo di dati salvati ed alla frequenza giornaliera con cui saranno cambiati, sarebbe auspicabile anche l’ipotesi
di effettuare “Snapshot” durante la giornata.
La rete se necessario dovrebbe essere segmentata in VLAN ed i dati trasferiti WAN dovranno attraversare uno Switch-
Firewall con il controllo degli accessi e verifica del tipo di traffico passante. Il router WiFi deve avere una classe IP
diversa e non offire l’accesso ai dati della rete interna, oltre alla possibilità di revocare gli accessi al singolo utente
(esempio WPA2 Enterprise).
Il traffico verso il mondo esterno sia esso fatto di semplici dati o conversazioni telefoniche VOIP dovrebbe passare
attraverso un tunnel criptato(VPN) stando a tenti a chi siano i destinatari.
I documenti inviati e ricevuti dovrebbero essere resi accessibili solo ai diretti interessati ed in taluni casi anche per un
tempo limitato. L’utilizzo di fotocopiatrici deve avere un controllo accessi e le informazioni acquisite andrebbero
protette con password e criptate oltre a non essere disponibili a terzi attraverso una conservazione locale!
L’argomento deve temporaneamente fermarsi qui.
Siamo disponibili ad un confronto con tutti attraverso vari canali.
Donato Pace responsabile “Sportello Tecnologico Codacons”
Contattateci allo 089 252433
Oppure su: codacons.campania@gmail.com