La sicurezza del rispetto delle normative GDPR con il NOLEGGIO STAMPANTI REFILL
Anche con il Noleggio Stampanti , Refill è stata sin da subito sensibile e molto attenta al rispetto delle nuove normative GDPR
Il reparto IT di Refill ha di fatti effettuato sin da subito una selezione dei dispositivi da collocare in locazione operativa presso i propri clienti, contribuendo a proteggere i dati e a rispettare la conformità alle nuove normative migliorando la sicurezza di PC e stampanti.
Le conseguenze di una violazione di dati aziendali o di clienti possono essere catastrofiche per le aziende di tutte le dimensioni. I derivanti danni alla reputazione, ai clienti e ai profitti sono sono la punta dell’iceberg. Le aziende potrebbero pagare il prezzo delle pesanti sanzioni imposte dalle nuove e severe normative. Poiché i firewall non sono più sufficienti per proteggere i dati, le aziende devono implementare più livelli di protezione su ogni endpoint di rete, dai PC alle stampanti, per costruire le proprie difese e focalizzarsi sui requisiti di conformità.. Nell’attuale mondo che si apre sempre di più alla tecnologia, con le aziende che tendono costantemente alla mobilità e a soddisfare le richieste della propria forza lavoro, la proliferazione di dispositivi genera complesse infrastrutture multi-dispositivo e multi-piattaforma. Ciascuno di questi dispositivi rappresenta un punto di accesso e di uscita per i dati aziendali e può generare un costo per la sicurezza. Una delle principali sfide che le aziende si trovano attualmente a dover fronteggiare è come controllare e proteggere i dati senza interferire con l’operatività aziendale. I dati vengono conservati ed elaborati oltre i confini del firewall, rendendo la loro sicurezza più difficile da ottenere per gli addetti alla protezione della rete.
L’aumento degli attacchi informatici ha causato il nascere di nuove e severe normative sulla sicurezza dei dati, di grande rilevanza per le aziende di tutto il mondo. Le nuove direttive quali il Regolamento generale sulla protezione dei dati (GDPR) dell’Unione Europea non sono importanti solo per le aziende con sede in UE, ma si applicano a tutte le aziende che raccolgono dati dai cittadini residenti in Europa.
La normativa GDPR informa le aziende della presenza di importanti sanzioni in caso di mancata conformità in seguito a un attacco. Queste sanzioni si aggiungono alla perdita economica causata dalla stessa violazione di dati. Altre normative come la direttiva NIS (Security of Network and Information Systems), impongono nuovi requisiti di sicurezza per le reti e i sistemi informatici a carico degli operatori dei servizi essenziali e dei fornitori di servizi digitali (Digital Service Provider, DSP). Alle aziende verrà richiesto di denunciare determinati incidenti di sicurezza alle autorità competenti o ai gruppi di gestione degli incidenti di sicurezza informatica (Computer Security Incident Response Teams, CSIRT).
Alcuni paesi stanno inoltre implementando queste normative per stabilire le basi di un potenziamento. Ad esempio, i Paesi Bassi hanno introdotto nel 2016 la Breach Notification Law, legge sulla notifica delle violazioni che obbliga la denuncia delle violazioni a un’autorità indipendente per la protezione dei dati. La mancata conformità può dare origine a sanzioni fino a € 810.000 o fino al 10% del fatturato annuo netto. La pressione è elevata.
Requisiti principali del Regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation) dell’Unione Europea
Raccogliendo i dati a livello europeo, le aziende devono rispettare la conformità
Le aziende che raccolgono e utilizzano i dati personali in Unione europea devono rispettare le norme sulla conformità. Sono inclusi anche i soggetti che acquistano beni e servizi e il monitoraggio delle abitudini dei clienti al fine dell’utilizzo di tali dati. Ad esempio, l’eventuale monitoraggio online delle attività volto al miglioramento dell’individuazione del cliente ideale. Anche se la vostra attività si svolge oltre i confini UE, tutti i dispositivi che accedono ai dati dei clienti devono essere sicuri.
Le aziende sono tenute a conservare la documentazione in modo del tutto accurato
Rispondere ai requisiti sulla conservazione della documentazione, sulla conduzione di valutazioni dell’impatto e sull’elaborazione di rapporti relativi alle violazioni comporta un importante dispendio di tempo. L’aggiunta di un nuovo dispositivo a una rete aziendale determina il rispetto dei criteri aziendali e il monitoraggio da parte di uno strumento SIEM (Systems Information and Event Manager) che tenga traccia delle criticità, attivi le procedure di ripristino e supporti l’elaborazione dei rapporti sulla conformità.
Le aziende sono tenute a denunciare una violazione entro 72 ore
Le aziende devono fornire notifica all’associazione per la protezione dei dati senza ritardi ingiustificati, se possibile entro 72 ore. Qualora questo termine non fosse rispettato dovrà essere fornito un giustificato motivo. Questo nuovo requisito è stato introdotto al fine di proteggere i diritti degli individui a essere informati su come vengono impiegati i loro dati personali e a comprendere se le aziende che conservano tali dati dispongano di procedure, strumenti e prodotti idonei a monitorare e identificare i rischi, nonché bloccare eventuali attacchi allo scopo di proteggere i dati dei clienti.
Il mancato rispetto della conformità comporterà alle aziende il pagamento di ingenti sanzioni
La nuova normativa introduce un approccio a più livelli al sistema sanzionatorio che sarà regolato dalla gravità dell’infrazione. La sanzione massima da pagare potrebbe ammontare intorno al 4% del fatturato annuo dell’azienda, fino all’importo di 20 milioni di euro1. Come menzionato per alcuni paesi, ad es. Paesi Bassi, sono state introdotte sanzioni ancora più pesanti, fino all’11% del fatturato annuo2.
In quale modo i team IT possono garantire la conformità di PC e rispetto delle normative GDPR?
Quando si tratta di protezione di PC e stampanti esistono azioni progressive da intraprendere per garantire la conformità degli endpoint, in preparazione all’introduzione di queste nuove normative.
1. Preparazione alle ispezioni sulla conformità
Per prepararsi a una verifica sulla conformità, i team IT devono garantire il reale monitoraggio di tutta l’infrastruttura IT comprendente i dispositivi endpoint quali PC e stampanti. Devono inoltre programmare valutazioni periodiche volte al mantenimento della conformità ai criteri in ogni dispositivo endpoint, incluso tutto il parco stampanti.
2. Esecuzione di un’ispezione completa
I team IT devono identificare tutti i dispositivi che possono accedere ai dati aziendali e dei clienti, oltre a valutare il livello di sicurezza integrata. Si raccomanda inoltre di utilizzare uno strumento di gestione della sicurezza che identifichi subito i nuovi dispositivi e applichi automaticamente le impostazioni dei criteri di sicurezza aziendali.
3. Predisposizione alla sicurezza
I team IT devono mettere in atto i giusti criteri in modo che i requisiti di conformità non costituiscano una preoccupazione secondaria ma rappresentino i presupposti per l’introduzione di dispositivi e servizi nella rete. Accertatevi di essere in grado di monitorare tutti i dispositivi, incluse le stampanti, oltre a essere in grado di monitorare problemi di alimentazione e informazioni sugli incidenti con strumenti di monitoraggio e valutazione delle vulnerabilità (ad es. strumento SIEM) di tutta la rete
Info sull'autore