Di crescente rilievo è il tema della sicurezza informatica che riguarda sia i privati cittadini, sia le imprese: esso coinvolge tutti gli aspetti che riguardano la protezione dei dati sensibili archiviati digitalmente ma in particolare è noto al grande pubblico con riferimento all'utilizzo di Internet.

In effetti, la rete è in grado di offrire una vasta gamma di informazioni e servizi ma contemporaneamente può costituire un luogo pericoloso per la nostra privacy anche perché il mezzo stesso non è stato concepito per scambiare o gestire dati sensibili.

In un contesto simile, mantenere l’anonimato risulta spesso arduo e con il proliferare dei conti on-line e lo spostamento delle aziende su Internet, risulta più semplice per i malintenzionati accedere alle nostre informazioni riservate. A tal proposito, una delle piaghe più dannose della rete è lo spyware che, installandosi spesso in maniera fraudolenta nel personal computer delle vittime, provvede ad inviare dati personali (pagine visitate, account di posta, gusti ecc) ad aziende che successivamente li rielaboreranno e rivenderanno.

Esiste perfino un metodo, chiamato social engineering, tramite cui i truffatori riescono a ottenere informazioni personali sulle vittime attraverso le più disparate tecniche psicologiche: si tratta di una sorta di manipolazione che porta gli utenti a rilasciare spontaneamente i propri dati confidenziali.

La miglior difesa per la nostra privacy, in questa situazione di precarietà, consiste nell’utilizzare il buon senso e nell’adottare semplici accorgimenti tra cui:

Utilizzare password non banali e con codici alfanumerici.
Evitare il più possibile di comunicare la propria password.
Installare e configurare bene firewall e antivirus tenendoli in seguito costantemente aggiornati.
Procurarsi un antispyware in grado di ripulire efficacemente il sistema.
Tenere sotto controllo i cookies.
Non aprire allegati di e-mail provenienti da utenti sconosciuti o sospetti.
Configurare il livello della privacy del nostro browser almeno a livello medio.
Leggere attentamente le licenze e le disposizioni riguardo alla privacy prima di installare un qualsiasi software.
Esistono inoltre soluzioni meno immediate ma più efficaci come l’utilizzo della crittografia, che ci permette di criptare un messaggio privato attraverso particolari software facendo sì che solo l’utente destinatario possa leggerlo in chiaro, unito all’implementazione della firma digitale.

Con il diffondersi del Voice over IP e della chat (anche se paiono più difficili da intercettare), si spera non si creino altri settori di potenziale violazione della privacy.

Criteri tecnici ed organizzativi per la protezione delle aree e dei locali e procedure di controllo per l’accesso.

Potranno essere evidenziate una o più delle seguenti misure per la protezione fisica:

• Localizzazione e limitazioni all’accesso del data center (localizzazione del server)
• Dispositivi antintrusione (specifici per il data center o generali per tutto l’edificio/stabilimento)
• Dispositivi antincendio (estintori, manichette, impianti di rilevazione e/o spegnimento automatico)
• Sistemi di registrazione degli ingressi e di  chiusura dei locali
• Presenza di un custode e/o di un servizio di vigilanza esterna
• Custodia in armadi o classificatori ad accesso autorizzato
• Modalità di custodia delle chiavi
• ..........................................................

Le Aziende che vedono sempre maggiore l’integrazione nelle loro abitudini dei servizi on-line e off-line per i propri clienti, partner, collaboratori e fornitori, che per loro natura sono stati tradizionalmente di difficile gestione, trovano nelle nuove tecnologie l’ambiente ideale per crescere in potenza e semplicità di fruizione. Inoltre, il passaggio dei dati ad un formato digitale, più o meno omogeneo, permette facilmente l’integrazione con altri servizi presenti e futuri, permettendo di sfruttare le infrastrutture esistenti e di estenderne la potenza in modi fino a ieri impossibili da realizzare.
La capacità di creare e gestire servizi al pubblico è intimamente legata al proprio sistema informativo, ai Suoi dati e alle Sue informazioni, per questo bisogna puntare alla Sicurezza Informatica. Sicurezza intesa come Alta Disponibilità o Continuità Operativa (Hiaviability), Disaster Recovery, Ethical Hacking e stesura della documentazione richiesta dal “Testo Unico sulla Privacy”.

Per ottenere questo faremo :
1) Analisi approfondita del sistema informativo aziendale che prevede:
a) analisi di tutte le risorse hw e sw installate
b) analisi delle politiche di accesso logico e fisico dei dati
c) verifica dei sistemi di protezione dati
2) Analisi rischi e consulenza
d) ottimizzazione della sicurezza informatica sfruttando al massimo le risorse esistenti.
e) corso di formazione al responsabile ced
3) Rilascio della licenza d’uso annuale del software GeckoDPS per la creazione e modifica nel tempo del dps.
4) Creazione del Documento Programmatico sulla Sicurezza dei Dati.

Questo permetterà di:
1) Adempiere alle normative di legge (Crimine Informatico e Doc. Programmatico sulla Sicurezza)
2) Fare un checkup al sistema informatico
3) Avere uno strumento di controllo e verifica del sistema nel tempo
4) Potenziare l’immagine verso il mercato e propria clientela
5) Evitare risarcimenti danni potendo dimostrare con un documento legale (con data certa tramite firma digitale) di aver attuato tutte le misure preventive di sicurezza allo stato dell’arte, nel caso l’azienda fosse citata in giudizio per risarcimento danni per violazione della privacy, o per danni arrecati inconsapevolmente ad altre aziende tramite il proprio sistema informativo.

Stesura del DPSS (Testo unico Privacy)
Primo step

INTERVISTA
Prima intervista al Responsabile ced con la quale si rilevano i dati aziendali iniziali:
• generici per la denominazione e ubicazione dell’azienda
• specifici per la struttura dell’azienda, si vuole conoscere tramite una descrizione schematica, i luoghi fisici nei quali risiedono i computers e/o le risorse dati.
LOCALI
Di ogni locale verranno rilevate:
• le vie di accesso, la protezione anti allagamento - incendio - intrusione
• il personale che ha accesso ai vari locali.
In sostanza in questo primo colloquio si identificano i locali della/e sede/i aziendali, posizionando il personale e risorse.
MACCHINE
Rilevazione delle macchine client e server: sistema operativo, licenza, tipologia, modello produttore, fornitore, data acquisto, tipologia di connessione , rete.
BASI DATI
Analisi delle fonti e della tipologia dei dati elettroniche utilizzate. Valutazione della sensibilità dei dati con il supporto del responsabile ced.
PROTEZIONI
Rilevazione metodologia e frequenza di backup, la verifica dei supporti relativi e della loro custodia.
SOFTWARE
Rilevazione dei software utilizzati e le interconnessioni con le basi di dati, si chiederà chi utilizza quel software, chi quei documenti, con che tipo di accesso o autorizzazione.

RISULTATI PRIMA RICOGNIZIONE
A questo punto il personale della nostra azienda ha in mano il quadro completo della situazione ed è in grado di segnalare le modifiche eventuali da apportare al sistema.
Si realizzerà il primo DPS rilevando i rischi e le misure da adottare, il responsabile ne prenderà visione.
A questo punto se ci saranno delle modifiche necessarie, ma non di nostra competenza, relazioneremo al Responsabile CED la procedura da adottare (es. il software gestionale utilizzato dall’azienda non gestisce l’autenticazione e la autorizzazione per l’accesso ai dati, tale modifica va effettuata dalla softwarehouse del programma in questione).

Secondo step

Si accede in azienda per apportare le modifiche necessarie.
Si consegna la documentazione che indica le operazioni periodiche che l’azienda deve adottare per mantenere le misure minime adottate funzionali per il sistema di sicurezza appena adottato.
Si consegna del materiale informativo generico dettato dalla legge:
o Disciplinare tecnico in materia di misure minime di sicurezza (Disciplinare tecnico allegato B in ottemperanza degli Art. da 33 a 36 del codice)
o Elenco delle autorizzazioni generali consentite dal Garante per il trattamento dei dati sensibili
o Testo unico privacy
Si presenta il documento (DPS) al responsabile CED per l’approvazione

Si firma digitalmente con data certa.

testo in costruzione...........

PRIVACY -TOOLS GECKOS

Geckos mette a disposizione un software oramai colladuto da anni (dal 2003) tramite il quale è possibile inserire i dati richiesti dalla normativa, fare un'attenta analisi dei rischi  e gestire l'adozione delle misure minime di sicurezza previste dal D.lgs 196/03; inoltre la rilevazione di tutti i dati tecnici  è completa accurata, visto che viene effettuata un'analisi delle risorse direttamente dal software che cattura le informazione dei pc dell'intera rete aziendale, comprese le periferiche e i software installati.

Dettagli software

Rileva Software  

PRIVACY - LOG SYSTEM

Il 15  dicembre 2009 sono entrate in vigore le nuove disposizioni del Garante sulla gestione dei log, abbiamo implementato un efficace e semplice programma che vi permettera di adeguarvi alla normativa.

Dettagli software    Ordina   Demo   Dowload

PRIVACY - TRASH SYSTEM

In materia di spazzatura elettronica devono essere descritte le operazioni che vengono svolte quando si dismette o si ricicla o si cede definitivamente qualsiasi strumento elettronico: pc, cd, dvd, cellulari,..

Il TRASH SYSTEM ti permette di cancellare con certezza e senza possibilità di recupero tutti i dati contenuti in ogni supporto elettronico, così puoi cederlo ad altri  o dismetterlo in totale sicurezza.

Dettagli software    Ordina   Demo   Dowload

PRIVACY PER COMUNI

in collaborazione con aziende che producono software gestionali per i comuni, geckos ha sviluppo il tools Privacy acnhe per le realtà come l'amministrazione comunale

Dettagli software    Ordina   Demo   Dowload

DIVENTA RIVENDITORE SW PRIVACY GECKOS

Il Documento programmatico sulla sicurezza è un documento che deve essere redatto entro la fine di marzo di ogni anno e deve essere indicato nella relazione di bilancio.

Questo documento nonè altro che una fotografia dello stato di sicurezza della azienda , uno stato cha analizza la messa in sicurezza dei supporti informatici, hardware e software, che guarda alla struttura della rete informatica, conessioni, condivisioni, accessi autorizzati; ma anche la sicurezza dei luoghi e delle persone.

Esistono due modi di vedere la privacy:

• come tutela dell'interessato dei dati personali in possesso all'azienda: clienti, fornori, collaboratori, personale dipendente
• come tutela dei dati personlali che fanno parte della capacità contrattuale e produttiva dell'azienda (si pensi al danno che potrebbe subire qualsiasi azienda qualora il proprio archivio clienti andasse nella mani del proprio concorrente)

Ora, la differenza tra tutelare quei dati che sono classificati come dati personali semplici piuttosto che sensibili o giudiziari riguardano solo alcune norme più ristrettive in ques'ultimi.

Se la sicurezza è un audit aziendale , anche quei dati puramenti economici, statistici, aziendali, oltre al dato personale viengono tutelati.

Firewall, antivirus, password, file criptati, sono alcune delle soluzioni ormai universalmente adottate per far pronte all' autoprotezione

Segnono le nomine di incaricato ai trattamenti, o di responsabile del trattamento, vengono adotte policy di sicurezza che determinano come , dove e quando utilizzare dei mezzi (fax, posta, internet, fotocopiatrice) tramite i quali si devono espletare i compiti assegnati.

Tuttavia siamo lontani ancora dal concetto di proteggere la nostra privacy sia essa intesa anche solo come: nome cognome codice fiscale e una fotografia, poichè ogni giorno vengono inserite queste informazioni sui social network senza in effetti recepire le opzioni in termini di privacy offerte dai fornitori del servizio.

Vedi Ladri Identità