Il 28 gennaio, come ogni anno, si è festeggiato il Data Privacy Day (noto in Europa come Data Protection Day), festa internazionale nata per sensibilizzare e promuovere le migliori pratiche in materia di privacy e protezione dei dati. Attualmente (nel 2018) è osservata negli Stati Uniti , in Canada , in India e in 47 paesi europei. La giornata è stata avviata dal Consiglio d’Europa per la prima volta nel 2007 come Giornata europea della protezione dei dati. Due anni dopo, il 26 gennaio 2009, la Camera dei Rappresentanti degli Stati Uniti ha eletto la Giornata nazionale sulla privacy dei dati del 28 gennaio Giornata nazionale sulla privacy dei dati.
In risposta ai crescenti livelli di violazione dei dati e all’importanza globale della privacy e della sicurezza dei dati, dozzine di organizzazioni globali sottolineano la necessità di guardare l’impatto a lungo termine sui consumatori delle pratiche di raccolta, utilizzo e protezione dei dati.
In onore del Data Privacy Day, l‘Associazione internazionale dei professionisti della privacy americana (IAPP) ha pubblicato un articolo con i suggerimenti necessari su come proteggere i dati della vostra azienda. Come dimostrato dalle recenti violazioni che hanno colpito grandi aziende come Equifax o Uber, la domanda da farsi non è più quella se la tua azienda avrà mai una violazione dei dati, ma quando accadrà.
Ecco i 13 consigli
- Conosci i tuoi dati.
Determina quali dati raccogli e condividi. Classificali in base al loro livello di criticità e sensibilità. Definisci se i dati sono “in uso”, “in movimento” o “a riposo”. Inoltre è fondamentale sapere dove sono archiviati fisicamente i dati.
- Assicurati che le terze parti rispettino le tue politiche
Assicurati che la tua politica sulla privacy rispecchi le norme e le pratiche correnti. Ciò include l’aiuto che fai delle terze parti come inserzionisti e fornitori di servizi. Controlla periodicamente e assicurati che queste terze parti rispettino le tue politiche.
- Audit annuale per stabilire quale dati ancora conservare
Effettua audit annuali per verificare se i dati devono essere ancora conservati, aggregati o scartati, ed eventualmente rimuovere in modo sicuro i dati non più utilizzati. Crea una politica efficace di conservazione dei dati che stabilisca per quanto tempo si debbano conservare le informazioni una volta che hanno adempiuto il loro scopo originale. E, naturalmente, chiediti se questo scopo sia ancora valido e pertinente.
- Implementa le best practice di sicurezza
Crescono e-mail contraffatte, malvertising, ransomware, phishing e snooping di dati tramite trasmissioni non crittografate. Dai semplici comandi alle azioni sofisticathe, assicurati di aver implementato le migliori “best practice” di sicurezza.
- Utilizza strumenti di Data Loss Prevention
Le tecnologie di Data Loss Prevention (DLP) identificano le potenziali vulnerabilità del tuo sistema. Funzionano insieme ad altri strumenti di sicurezza e antivirus esistenti. Dai primi avvisi di flussi di dati irregolari all’accesso non autorizzato dei dipendenti, le soluzioni DLP aiutano a ridurre al minimo e correggere le minacce esistenti.
- La legge del BYOD
La mancanza di un programma BYOD (bring-your-own-device) coerente può mettere a rischio un’organizzazione. I dispositivi personali che utilizzano i dipendenti possono facilmente far entrare malware e virus sulle piattaforme aziendali. Il consiglio è di sviluppare un programma interno di gestione dei dispositivi mobili che includa un inventario di tutti i dispositivi personali utilizzati sul posto di lavoro.
- L’importanza delle liste sicure
Per mitigare le minacce sull’organizzazione, i sistemi di inventario, le credenziali di accesso e i contatti, i conti bancari, registri, fornitori di servizi cloud, provider di hosting di server e fornitori di paghe, devono essere conservati in una lista posizionata in un luogo sicuro ma accessibile.
- Lascia agli esperti l’analisi forense.
L’analisi forense è essenziale per determinare la fonte e l’entità di una violazione. E’ meglio lasciare agli esperti questo tipo di operazione in quanto è facile modificare o interrompere accidentalmente le informazioni e i dati contenuti all’interno dei dispositivi.
- I registri
I registri sono componenti fondamentali nell’analisi forense in quanto aiutano gli investigatori a capire quali dati sono stati compromessi. Ci sono diversi tipi di registri che includono le transazioni effettuate, gli accessi ai server, e i firewall, consigliamo di conservare le copie ed assicurarsi che siano protette.
- Avere un Team di soccorso h24
Le violazioni sono eventi interdisciplinari che richiedono strategie e risposte coordinate e sopratutto sono eventi che potrebbero succedere in qualsiasi momento. Per questo bisogna avere un team che dovrebbe rappresentare ogni gruppo funzionale all’interno dell’organizzazione. Stabilire i “primi soccorritori” disponibili 24 ore su 24, 7 giorni su 7 (gli hacker non lavorano con un orario dalle 9:00 alle 17:00).
- Rispetta le regole
Acquisisci familiarità con le normative internazionali, nazionali e locali che riguardano specificamente la tua organizzazione. La mancata notifica all’ ente governativo competente può comportare ulteriori richieste di informazioni e ammende.
- La comunicazione è importante
Avere un piano di comunicazione ben eseguito non solo riduce al minimo i danni e le potenziali conseguenze legali, ma attenua anche i danni alla reputazione di un’azienda. Affrontare il pubblico e rivedere le leggi applicabili prima di notificarlo diventa fondamentale. Personalizza il tuo messaggio in base alla regione geografica e ai dati demografici.
- Assumersi la responsabilità
I clienti vogliono che le organizzazioni si assumano la responsabilità e le proteggano dalle potenziali conseguenze di una violazione. Il DIP dovrebbe includere rimedi di facile accesso che compensino il danno alle parti interessate.
