L’ottimizzazione delle misure a protezione dei dati personali in azienda passa non solo dalle maglie di una riorganizzazione che si esprime in termini di policy, istruzioni operative, regolamentazioni interne e nomine esterne, ma anche attraverso interventi di natura tecnica e quindi dall’adozione di misure di sicurezza che garantiscano nel concreto su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento secondo quanto fissato dall’art. 32 del GDPR, misure che abbiano la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico e procedure che permettano di testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Tra queste misure tecniche rientrano i sistemi di sicurezza endpoint e i sistemi Rasp, acronimo di runtime application self-protection.
Vediamo sinteticamente di cosa si tratta e come queste misure possono essere d’ausilio per garantire la compliance rispetto a quanto richiesto dal GDPR nella protezione dei dati personali in azienda.
Runtime application self-protection
Chi tenta di accedere illecitamente ai dati personali aziendali per effettuare una violazione sugli stessi, solitamente lo fa sfruttando la vulnerabilità delle applicazioni e dei sistemi, molto spesso ciò accade perché durante la fase beta e di sviluppo, un software, un’applicazione, non viene adeguatamente testato (o non viene testato affatto) per verificare quanto sia vulnerabile agli attacchi informatici (in altri termini non vengono effettuati i cosiddetti penetration test che analizzando il codice sorgente riescono a rilevare eventuali bug o difetti di sicurezza, prima di rilasciare l’applicazione) oppure anche perché durante le fasi di sviluppo non vengono installate adeguate misure tecniche di protezione, anzi quando si commissiona un software allo sviluppatore, capita, a volte, che del necessario svolgimento di tali operazioni di test, nemmeno si parla nel contratto di sviluppo.
E allora chi utilizza software e applicazioni in azienda non può far altro che proteggersi da eventuali attacchi in una fase successiva allo sviluppo del software. Sino ad ora strumenti efficaci si sono dimostrati i firewall, ma con la diffusione dei mobile devices e del cloud, questa tecnologica di protezione perimetrale, sebbene ancora utile, sembra stia diventando meno efficace. Un altro modo per proteggere le applicazioni è quello di dotarle di sistemi che consentono alle stesse di autodifendersi, identificando e bloccando gli attacchi in tempo reale. Questo è proprio quello che fa una tecnologica RASP. Tale tecnologia gira sul server e si avvia quando viene attivata l’applicazione, si tratta di un sistema di sicurezza progettato per rilevare attacchi informatici in tempo reale, senza incidere sulle funzionalità dell’applicazione, è in grado quindi di rilevare tentativi di accesso illecito ai dati personali, altre minacce e anche guasti o incidenti tecnici. In altri termini, quando l’applicazione viene avviata, RASP può proteggerla da input o comportamenti dannosi analizzando sia il comportamento dell’applicazione che l’ambiente in cui essa opera. L’applicazione quindi si controlla da sola, riconoscendo e sedando immediatamente gli attacchi senza l’intervento umano.
RASP intercetta tutte le chiamate fatte all’applicazione, assicurandosi che siano sicure e convalida le richieste di dati direttamente all'interno dell'applicazione, diversamente se rileva che qualcosa non va, si attiva per risolvere il problema. La tecnologia in realtà è generalmente dotata di due funzionalità di base: può essere impostata sulla modalità diagnostica e in questo caso avvisa del problema; oppure può essere impostata in modalità di auto-difesa per bloccare automaticamente un evento che reputa potenzialmente dannoso. Ad esempio, esaminando il traffico potrebbe chiudere una sessione ad un utente o interrompere l’esecutività dell’applicazione senza incidere su altre applicazioni presenti sul server. RASP è quindi qualcosa di più di un firewall, in quanto riuscendo a vedere cosa accade dentro l’applicazione è in grado di distinguere tra attacchi effettivi e richieste di accesso autorizzato, inoltre, dotando l’applicazione di un sistema di autoprotezione, riesce a proteggere l’intero flusso dei dati durante tutto il ciclo di un trattamento. Integrare la tecnologia RASP con le applicazioni in uso, secondo alcuni, garantisce la completa integrità dei dati, è un efficace strumento di prevenzione contro gli attacchi cyber e i furti di dati personali, anche se deve comunque essere utilizzata in combinazione con altri sistemi di protezione.
Ad ogni modo, gli esperti di sicurezza informatica ritengono che sia sempre preferibile sviluppare un sistema di sicurezza integrato nel software o applicazione e quindi arricchire tali programmi di una tecnologica adeguata di autoprotezione e diagnostica sin dalla fase del loro sviluppo, effettuando i necessari penetration test, in quanto la tecnologia RASP crea comunque una protezione esterna e successiva, ma se un’applicazione in sé non è sicura anche lo scudo può risultare inefficace.
I sistemi di sicurezza endpoint
Nell’ambito della protezione dei dati personali in azienda, altri strumenti validi per conformarsi alle disposizioni del GDPR, sono i sistemi di sicurezza degli endpoint che consentono di proteggere il network aziendale quando vi si accede da remoto (quindi, dall’esterno del perimetro di protezione aziendale - firewall) tramite dispositivi come pc, laptop, smartphone, tablet o altri dispositivi wireless e mobili; si tratta di sistemi particolarmente utili per proteggere i dati contenuti in tutti i dispositivi mobili aziendali concessi in uso ai dipendenti che potrebbero essere smarriti o rubati o anche quando l’azienda acconsente al fatto che i propri dipendenti e collaboratori possano usare per scopi privati e aziendali lo stesso device. Per evitare furti, accessi illeciti, perdite di dati, alterazioni, utilizzi impropri dei dati aziendali (anche da parte di dipendenti insoddisfatti), le aziende devono proteggere i dati aziendali presenti su questi dispositivi mobili evitando che se anche il dispositivo dovesse cadere nelle mani sbagliate, i dati resteranno protetti. Questo processo di protezione degli endpoint aziendali è costituito da un software che si colloca su un server accessibile a livello centrale, mentre un altro software (client) viene installato su ciascun dispositivo collegato (endpoint). Il server centrale riconosce il dispositivo abilitato e autentica gli accessi dagli endpoint, aggiornando anche il software client del dispositivo quando necessario. Tali software solitamente sono dotati di sistemi di autenticazione, ma anche di antivirus, antispyware, firewall, di sistemi di cifratura dei dati, di sistemi di prevenzione delle intrusioni con tecnologia di sicurezza RASP e possono anche scindere i dati personali e quelli aziendali presenti sullo stesso dispositivo.
Dotarsi di sistemi di sicurezza endpoint sta diventando per l’azienda un’operazione di sicurezza IT fondamentale, questo perché il lavoro con l’utilizzo di strumenti a distanza sta aumentando, sempre più dipendenti portano in azienda propri dispositivi mobili e le aziende spesso consentono ai propri dipendenti di utilizzare questi dispositivi sulla rete aziendale anche da remoto.
Naturalmente, decidendo di utilizzare tali misure di sicurezza endpoint si deve tenere conto che in molti casi il fornitore del servizio concede in licenza tali sistemi (secondo la logica Sofware as a Service) assieme ad altri servizi, mantenendo il software sui propri server, in tal caso, il fornitore potrebbe aver accesso ai dati contenuti sul dispositivo che vengono conservati in cloud, pertanto si consiglia di verificare che il software sia dotato di sistemi di crittografia e comunque che il fornitore tratti i dati solo ed esclusivamente per le finalità strettamente connesse ai servizi offerti e che venga disciplinata correttamente anche la fase di cessazione del rapporto in relazione alla cancellazione dei dati e alla loro restituzione o migrazione verso altro fornitore; si renderà ad ogni modo necessario effettuare un bilanciamento di interessi e adottare tutte le misure per evitare che l’utilizzo di tali strumenti possa impattare, nel trattamento dei dati personali, sui diritti e le libertà del dipendente, informandolo correttamente.