GDPR

La Global Data Protection Regulation e’ la normative europea a tutela della privacy dei cittadini dell’ Unione.

Oltre a dei requisiti documentali molto piu’ puntuali di quelli richiesti dalla vecchia normativa italiana, la nuova regola prevede un approccio basato sulla valutazione soggettiva sia del rischio che sulla adeguatezza delle misure che lo mitigano, lasciando quindi la responsabilita’ alla azienda stessa.

Mancano le certezze delle misure minime contenute nelle prescrizioni della vecchia normativa italiana, e aumentano le responsabilita’ dei decisori.

Nella responsabilita’ dei decisori rientra anche la decisione circa l’ adeguatezza delle tecnologie.

Le sanzioni per il mancato rispetto della normativa sono molto pesanti, e motivano una valutazione approfondita delle contromisure adeguate.

Con una esperienza ultraventennale nel mercato della sicurezza informatica siamo in grado di supportare i nostri clienti sia nella redazione della parte documentale che nella valutazione del rischio e nella identificazione delle contromisure piu’ efficaci.

Per molte di queste contromisure possiamo inoltre fornirle, implementarle e curarne la gestione, garantendo con le capacita’ delle nostre persone la massima valorizzazione dell’ investimento.

PCI-DSS

Il Payment Card Industry Data Security Standard (PCI DSS) e’ il meccanismo con cui il mondo dei pagamenti con carta di credito migliora progressivamente e costantemente la propria sicurezza a beneficio di tutti gli stakeholders: consumatori, commercianti, istituzioni finanziarie.

Come per tutti gli standard e le norme, da ISO27001 a GDPR,  occorre affrontare in modo positivo la sfida, ed accettare gli stimoli ed i suggerimenti che lo standard fornisce per migliorare la propria postura e contribuire alla tranquillita’ nell’ uso di uno strumento oggi fondamentale.

La conformita’ PCI DSS puo’ essere  resa coerente con gli obiettivi di profittabilita’, minimizzazione del rischio e corretta operativita’ che ogni azienda che vende i propri prodotti e servizi ha.

Il nostro intervento parte dallo sforzo di minimizzare il perimetro dell’ intervento, per rendere economico e piu’ facilmente sostenibile il mantenimento nel tempo della conformita’, e prosegue supportando nel tempo la adozione delle migliori soluzioni organizzative, architetturali e tecnologiche che la nostra esperienza puo’ suggerirci.

Ci facciamo carico del rispetto delle scadenze per conto del cliente, lo aiutiamo a pianificare e a portare a termine le attivita’ necessarie, mettendo al suo servizio la nostra esperienza.

La sensibilizzazione degli utenti

L’ anello debole nella catena della sicurezza informatica e’ l’ utente, non necessariamente finale.

Gli attacchi piu’ recenti sono basati sulla facilita’ con cui ci si approfitta della buona fede e dell’ ingenuita’ dell’ utente.

senza “click” che li attivino i ransomware non esisterebbero.

la tradizionale formazione sia in aula che on line e’ inadeguata, non lascia che tracce superficiali ed effimere.

ben diverso e’ coinvolgere l’ utente nel gioco dell’ individuazione del phishing , guidarlo nell’ evitare la punizione reputazionale dell’ appartenenza al gruppo dei cliccatori a oltranza (“boccaloni”, o “clickers”), educarlo a distinguere una mail malevola da una legittima.

l’ obiettivo e’ la riduzione di un ordine di grandezza del numero degli ingenui nell’ arco di 12 – 18 mesi.

antimalware

e’ ormai evidente come i sisemi difensivi adottati dalle aziende negli ultimi venti anni siano di scarsa utilita’.

L’ imperversare del ransomware e’ la dimostrazione pratica dell’ obsolescenza dell’ impostazione dei sistemi antivirus, IDS, IPS, antiphishing  eccetera eccetera.

Nel corso degli anni (ce ne siamo accorti tra i primi in italia, nel 2010) abbiamo esplorato tecnologie basate su sandboxing, whitelisting, sistemi comportamentali, sistemi di protezione che lavorano “tra” il BIOS e il sistema operativo, sistemi di intelligenza artificiale basati su machine learning.

di questi sistemi conosciamo punti di forza e di debolezza, e siamo in grado di suggerire l’ approccio migliore in funzione dell’ esigenza specifica.

protezione dati

“protezione dei dati” e’ un concetto amplissimo. Pensiamo che sia quasi impossibile, in una azienda nel 2017, pensare all’ esistenza di dati che nascano, vivano e muoiano all’ interno del perimetro aziendale.

quindi pensiamo che occorra proteggere i dati anche una volta usciti dal perimetro. La crittografia e’ la tecnologia di base, ma va accompagnata alla protezione dei sistemi che quei dati legittimamente utilizzano in chiaro, a sistemi di auditing e accountability di livello enterprise anche quando il cliente sia una media – piccola azienda.