GDPR

Oltre al sistema Terra-Luna, sono noti migliaia di asteroidi noti come Near-Earth Objects (NEO). Queste rocce attraversano periodicamente l’orbita terrestre e formano un vicino sorvolo della Terra. Nel corso di milioni di anni, alcuni addirittura si sono scontrati con la Terra, causando estinzioni di massa. Non c’è da stupirsi quindi perché il Center for Near Earth Object Studies (CNEOS) della NASA sia dedicato al monitoraggio degli oggetti più grandi che occasionalmente si avvicinano al nostro pianeta.

Se studi l’astronomia, probabilmente hai familiarità con il concetto di NEO, che sono oggetti che potrebbero colpire la terra e potenzialmente causare un evento di estinzione. Per gli MSP, le violazioni dei dati possono avere lo stesso effetto sulle loro attività come i NEO possono avere sulla Terra. L’ obbligo del regolamento generale sulla protezione dei dati (GDPR) di indagare e segnalare violazioni dei dati entro una finestra di 72 ore può far sentire le violazioni dei dati altrettanto minacciose in termini di potenziali danni.

Il testo del GDPR può sembrare vago quando si tratta della parte di notifica della violazione dei dati. Tuttavia, ciò che possiamo dire con certezza è che, ad un certo punto, probabilmente avrai un cliente che ti chiede di aiutarlo a soddisfare i requisiti di risposta alla violazione dei dati del GDPR. Potrebbero anche non avvicinarti: potresti essere tu a scoprire la potenziale violazione. Di conseguenza, è importante conoscere le procedure sulle violazioni dei dati da seguire.

Statistiche e fatti chiave sulla segnalazione di violazioni dei dati

Ai sensi dell’articolo 33 del GDPR, le informazioni richieste ai sensi del GDPR per la segnalazione di una violazione dei dati includono:

• La natura della violazione
• Il nome / i dettagli di contatto del responsabile della protezione dei dati dell’organizzazione
• Le probabili conseguenze della violazione
• Le misure adottate o proposte dal titolare del trattamento per far fronte alla violazione e mitigarne gli effetti negativi

Ciò significa che dovrai determinarli nel miglior modo possibile dopo aver scoperto una violazione e, se necessario, riferire alle autorità entro la finestra di 72 ore.

Preoccupato per la scadenza di 72 ore? Bene, qui ci sono due statistiche che sono ancora più preoccupanti:

• Sono necessari in media 191 giorni per identificare una violazione dei dati
• Meno del 19% delle violazioni dei dati viene rilevato automaticamente

Fortunatamente, la finestra dei rapporti di 72 ore inizia dal momento in cui l’organizzazione viene a conoscenza della violazione. Tuttavia, è piuttosto difficile indagare su una violazione dei dati verificatasi settimane o mesi prima; ricorda che 191 giorni è il tempo medio impiegato per identificare una violazione. Quindi, dal punto di vista della risposta agli incidenti, prima viene rilevata la potenziale violazione, meglio è.

Queste statistiche dipingono un quadro piuttosto cupo dello stato attuale del rilevamento, dell’indagine e della risposta della violazione dei dati. Il GDPR richiederà agli MSP di indagare e rispondere a tutte le violazioni dei dati, e ciò potrebbe essere reso più difficile se non spostano l’ago di rilevamento da 191 giorni a tre più vicini. Per avere una possibilità di combattere per affrontare questa sfida, sono necessari preparazione, strumenti e “un piano”.

In termini di preparazione, consulta le serie di post sul blog della Guida rapida alle strategie GDPR:

Blog 1 – Fornire formazione sulla sicurezza ai dipendenti dei clienti

Blog 2 – Protezione della posta e whitelisting delle applicazioni

Blog 3 – Gestione delle patch, le regole dei privilegi di amministratore e la crittografia dell’hard disk…

Blog 4 – le tecnologie di difesa dell’endpoint

Queste strategie potrebbero forse aiutarti a prevenire del tutto le violazioni dei dati dei clienti, ma la strategia principale per gli MSP dovrebbe in primo luogo ridurre sostanzialmente il rischio potenziale di una violazione dei dati dei clienti.

Comprensione delle minacce

Nonostante i tuoi migliori sforzi, un incidente di sicurezza può accadere a un cliente in un istante attraverso un semplice attacco di social engineering, errata configurazione o malware non rilevato. Anche un attacco ransomware potrebbe rientrare nella categoria di una violazione dei dati, il GDPR lo definisce come “una violazione della sicurezza che porta alla distruzione accidentale o illegale, perdita, alterazione, divulgazione non autorizzata o accesso a dati personali, trasmessi, memorizzato o altrimenti elaborato. ” Il ransomware potrebbe rientrare nella categoria “perdita di dati”.

Fortunatamente, gli attacchi di ransomware sono piuttosto evidenti e stanno diventando più facili da correggere, poiché gli strumenti di backup, le migliori pratiche e la tecnologia di sicurezza si sono sempre più concentrati su questa minaccia. Per la stragrande maggioranza degli MSP, gli attacchi ransomware sono probabilmente l’unico incidente di sicurezza che dovranno affrontare. Gli ultimi numeri suggeriscono che il 91% degli attacchi informatici e le risultanti violazioni dei dati iniziano con un attacco di posta elettronica di phishing e, di questi attacchi, il 93% è costituito da payload di ransomware. ^,

Per quasi tutti gli altri incidenti di sicurezza, sarà probabilmente necessario esaminare il tipo di violazione dei dati e il tipo di contatti che potrebbero esserci stati tra i criminali informatici. Ciò può includere la determinazione della natura della violazione dei dati o l’identificazione di quali dati sono stati rubati, manomessi o distrutti permanentemente. Potrebbe anche essere necessario determinare se i criminali informatici hanno contattato il cliente o i suoi clienti. In tal caso, potresti avere a che fare con una questione di applicazione della legge, in quanto è possibile che venga fatto un tentativo di estorsione o di ricatto contro il tuo cliente.

Tipi di incidenti di sicurezza

Un errore di sicurezza che porta a una violazione dei dati (diverso dal ransomware, che è ovviamente un problema di disponibilità dei dati) può essere generalmente assegnato in una delle tre seguenti categorie:

• Divulgazione non autorizzata delle informazioni personali dell’interessato
• Manomissione o alterazione dei dati personali dell’interessato da parte di una parte non autorizzata
• Negazione dell’accesso ai dati personali dell’interessato

Pertanto, se i criminali informatici “Bothan” rubano i piani alla “Morte Nera” della tua azienda e i registri del personale imperiale o i registri dei clienti imperiali non fossero inclusi o influenzati in alcun modo, la buona notizia è che il GDPR potrebbe non essere pertinente, anche se i piani della “Morte Nera” erano il lavoro della tua azienda.

Se ritieni che i dati personali degli interessati siano stati potenzialmente influenzati dalla violazione dei dati, dovrai determinare il livello di danno e le conseguenze della violazione. La guida GDPR di SolarWinds MSP può aiutarti a orientarti nella giusta direzione per comprendere la gravità della situazione e il potenziale impatto dei dati rubati.

Successivamente, è tempo di aiutare il cliente a determinare quale linea di condotta intraprendere. Potrebbe essere necessario apportare modifiche a processi, procedure e tecnologia e potrebbe essere necessario contattare i clienti che sono stati interessati, se necessario. Una volta noto che sono stati coinvolti dati personali, è meglio essere estremamente meticolosi nella documentazione e nell’azione. Potrebbe essere necessario che l’Autorità di vigilanza della propria area venga informata della violazione, pertanto è consigliabile disporre della documentazione di tutti i propri sforzi in buona fede.

Cosa aspettarsi durante un incidente con violazione dei dati

In qualità di MSP – e possibilmente primo soccorritore di una situazione di violazione dei dati – tutto il lavoro svolto verrà esaminato attentamente. Ma se stai al fianco del tuo cliente documentando ed eseguendo la dovuta diligenza, è improbabile che la notifica di violazione di 72 ore provochi un evento di estinzione per il tuo cliente.

E’ molto importante poter controllare il processo di gestione di un Data Breach per qualsiasi MSP, piuttosto che subirlo con tutte le conseguenze negative del caso.

N4B SRL ti invita a conoscere il tool di gestione Data Breach di Privacylab per poter offrire un servizio adeguato ed efficiente ai propri clienti. Contattaci per saperne di più.

FONTE: Solarwinds MSP BLOG

Bibliografia:

1. “Gli astronomi si esercitano in risposta a un asteroide assassino”, Universo oggi. https://www.universetoday.com/137789/astronomers-practice-responding-killer-asteroid/ (consultato a novembre 2017).

2. “Notifica di violazione dei dati ai sensi del GDPR: problemi da considerare”, Browne Jacobson LLP. https://www.brownejacobson.com/training-and-resources/resources/legal-updates/2016/03/data-breach-notification-under-the-gdpr-issues-to-consider (accesso novembre 2017).

3. “Art. 33 GDPR: Notifica di una violazione dei dati personali all’autorità di controllo ”, Intersoft Consulting. https://gdpr-info.eu/art-33-gdpr/ (consultato a novembre 2017).

4. “Studio del costo della violazione dei dati del Ponemon Institute 2016”, IBM e Ponemon Institute. https://www.ibm.com/security/data-breach/index.html (consultato a novembre 2017).

5. “Il divario nella detenzione della violazione dei dati e le strategie per colmarlo”, Infocyte. https://www.infocyte.com/breach-detection-gap-conf (consultato a novembre 2017).

6. “Articolo 4: Definizioni GDPR dell’UE”, SecureDataService. https://www.privacy-regulation.eu/en/4.htm (consultato a novembre 2017).

7. “Rapporto sulla suscettibilità e sulla resilienza del phishing aziendale”, PhishMe. https://phishme.com/enterprise-phishing-susceptibility-report (consultato a novembre 2017).

8. “Rapporto sui malware Q1 2016”, PhishMe. https://phishme.com/project/phishme-q1-2016-malware-review/ (consultato a novembre 2017).

Questo documento è fornito a solo scopo informativo e non deve essere considerato come una consulenza legale o per determinare come il Regolamento generale sulla protezione dei dati (GDPR) dell’UE può essere applicato a te e alla tua organizzazione. Ti invitiamo a lavorare con un professionista legalmente qualificato per discutere del GDPR, di come si applica alla tua organizzazione e del modo migliore per garantire la conformità. SolarWinds MSP non rilascia alcuna garanzia, espressa o implicita, né si assume alcuna responsabilità legale per le informazioni contenute nel presente documento, inclusa l’accuratezza, la completezza o l’utilità di tali informazioni. 

Eccoci arrivati al blog finale sulle Guida rapida alle Strategie GDPR. Leggi i blog precedenti per conoscere le altre strategie illustrate finora:

Blog 1 – Fornire formazione sulla sicurezza ai dipendenti dei clienti

Blog 2 – Protezione della posta e whitelisting delle applicazioni

Blog 3 – Gestione delle patch, le regole dei privilegi di amministratore e la crittografia dell’hard disk…

In questo ultimo blog tratteremo delle tecnologie di difesa dell’endpoint “Easy Four “:

1. Protezione della posta
2. Protezione della rete
3. Antivirus
4. End point Detection & Defense (EDR)

Quando si tratta di combattere le minacce informatiche e proteggere i dati personali, queste quattro tecnologie possono costituire una parte importante della strategia di difesa. Tuttavia, è importante rendersi conto che le soluzioni “Easy Four” non possono essere autonome, ma devono essere adottate in sinergia se si desidera evitare multe ai sensi del Regolamento generale sulla protezione dei dati (GDPR). Perché in definitiva, il GDPR riguarda i diritti di privacy dei dati personali dell’utente e la protezione di tali diritti. Mentre la difesa dell’endpoint svolge un ruolo fondamentale, è importante tenere presente che esistono molte parti della protezione dei dati come definito nel GDPR.

Prima di iniziare …

La cosa grandiosa di queste tecnologie è che sono facili da implementare e semplici da gestire da uno strumento RMM. Ogni MSP ha la sua suite di strumenti preferita, alcuni costosi e altri no. Alcuni hanno un alto tasso di successo e altri no. Riunisci due MSP e vedrai un dibattito appassionato su quale prodotto funziona meglio.

Sfortunatamente, le tecnologie “easy four” non funzionano bene contro i criminali informatici senza altre componenti fondamentali. È simile a costruire una casa su una base traballante: sappiamo tutti cosa succede alla casa nel tempo.

Una parola sull’uso delle risorse di sistema

Affrontare il problema all’endpoint senza utilizzare gli strumenti e le tecniche menzionati nei precedenti articoli di strategia sulle strategi vincenti richiede generalmente più soluzioni basate su agenti endpoint. Queste soluzioni endpoint, spesso costruite per organizzazioni più grandi, possono includere un componente di prevenzione della perdita di dati (DLP), gestione dei privilegi, un firewall supplementare (o la sostituzione del firewall di Windows ^® interamente) o un componente VPN: l’elenco continua. Quando si aggiunge la protezione antivirus e Web all’endpoint stesso, le risorse di quel computer verranno ridotte. Potresti persino ricevere alcuni reclami dagli utenti che odiano aspettare che tutte queste “cose ​​di sicurezza” si accendano. Inoltre, se un endpoint è carente di risorse, il software di sicurezza può smettere di funzionare.

Se l’apparecchiatura è vecchia e utilizza CPU più lente o dischi rigidi non SSD, il sistema potrebbe essere estremamente lento. Quando l’endpoint ha anche applicazioni ricche di risorse o applicazioni client-server, è probabile che l’utente riceva i reclami degli utenti in merito alle prestazioni.

Pertanto, la prima regola del club di protezione degli endpoint è testare la protezione degli endpoint prima di implementarla in massa. E tieni presente che, come minimo, i server meritano le stesse protezioni endpoint delle workstation. Se qualcosa supera le difese di una workstation, è probabile che il server lo rilevi. Non correre rischi qui.

Cosa forniscono le difese “Easy Four”

1. Protezione della posta

“Uccidilo prima ancora che entri all’interno dell’organizzazione.”

Questa è l’idea centrale alla base di un prodotto di protezione della posta locale o basato su cloud. La protezione della posta riduce lo spam, mette in quarantena le e-mail con allegati sospetti e persino combatte i tentativi di phishing. Alcuni prodotti per la protezione della posta utilizzano più motori antivirus attivi per proteggere la rete, mentre altri conducono analisi sandbox per verificare se eventuali allegati causano problemi.

La protezione della posta può essere utile in due scenari.

1. In primo luogo, la protezione della posta aiuta a impedire all’email dannosa di entrare nell’organizzazione.
2. In secondo luogo, la protezione della posta aiuta anche quando spam o e-mail dannose escono dall’organizzazione. Non è raro che i criminali informatici dirottino le caselle di posta come un modo per inviare spam o falsificare le informazioni dei mittenti per una truffa di phishing.

2. Protezione della rete

“Uccidere la connessione di rete o prevenire l’infezione in primo luogo.”

La protezione Web può essere ottima per tenere gli utenti fuori dai siti che potrebbero potenzialmente infettare i loro computer. Ma fa molto di più. Le protezioni del proxy Web e del livello di rete possono essere utilizzate come tecnologia preventiva di ultima generazione per cercare di eliminare i tentativi di un trojan di contattare un’infrastruttura di comando e controllo (C2) per scaricare un payload dannoso. Con l’accesso dei cybercriminali al DNS a flusso rapido, all’algoritmo di generazione del dominio (DGA) e persino ai server Dark Web, le protezioni a livello di rete sono davvero all’ultimo passo, ma sono comunque utili. Certamente, se l’analisi del traffico mostra comunicazioni verso siti potenzialmente dannosi, questo potrebbe essere un buon indicatore di compromesso. Le protezioni a livello di rete aiutano a identificare la presenza di qualcosa di brutto se la protezione e-mail e l’antivirus lo mancavano.

Non è un segreto che parti del Web siano assolutamente piene di malware. Siti di contenuti rubati (film e programmi TV famosi) e materiale per adulti sono entrambi estremamente pericolosi anche per gli endpoint più protetti da visitare. La protezione Web impedisce agli utenti di accedere a tali siti per prevenire malware (nonché problemi relativi alle risorse umane).

3. Antivirus Gestito – MAV

“Uccidilo prima che infetti la workstation.”

Questo è il ruolo centrale del tuo prodotto antivirus, qualunque sia il prodotto che scegli. Se i criminali informatici attaccano utilizzando un exploit di un programma software installato, un allegato che richiama PowerShell ^® , JavaScript ^® o una macro di Visual Basic o se viene visualizzato un file binario senza segno e tenta immediatamente di dirottare un processo e stabilire una connessione a Internet, il tuo antivirus dovrebbe rilevare il problema e tentare di risolverlo. Cerca un programma antivirus che includa la scansione basata su firma, il rilevamento euristico e l’analisi comportamentale per ottenere la massima protezione.

L’antivirus gestito è “un’opzione software gestita a livello centrale che protegge tutti i computer dell’azienda dalle minacce dei virus”. Con i MAV, gli MSP gestiscono gli aggiornamenti automatici del programma e gli aggiornamenti delle definizioni dei virus, quindi l’intervento dell’utente non è necessario. Quando viene scoperto un virus o un malware, viene immediatamente messo in quarantena. È una prima linea di difesa semplice e diretta per i dipendenti: non richiede alcuna conoscenza tecnica e fa un buon lavoro nel respingere molte minacce.

4. La soluzione End point detection – EDR

“Uccidilo prima che infetti gli altri devices e l’intera rete”

EDR è una soluzione poliedrica che fa tutto ciò che MAV può fare, ma fa un ulteriore passo avanti, fornendo maggiore sicurezza e (soprattutto) tranquillità. Le funzionalità includono, ma non sono limitate a:

• Monitoraggio
• Rilevazione delle minacce
• Whitelisting / Blacklisting
• Risposta alle minacce
• Integrazione con altre soluzioni di sicurezza informatica

EDR è incentrato sulla protezione degli endpoint .

Come l’Antivirus, gli MSP lo gestiscono senza richiedere alcun input da parte dell’utente finale. Dato il numero di minacce che si generano quotidianamente, la gestione di un gran numero di endpoint può essere più difficile con antivirus e altre soluzioni puntuali. Questo è il punto in cui le differenze tra MAV ed EDR vengono messe a fuoco.

EDR è proattivo . Composto da software di monitoraggio e agenti endpoint, machine learning integrato e intelligenza artificiale avanzata (AI) consente a EDR di identificare i vettori di minacce che mostrano comportamenti sospetti e di affrontarli prima che vengano riconosciuti dannosi. Invece di fare affidamento sugli aggiornamenti delle definizioni, cerca comportamenti anomali. Ad esempio, se diversi file cambiano contemporaneamente, è probabilmente dovuto a un attacco endpoint.

Se si utilizza SolarWinds^®Endpoint Detection and Response (EDR), l’elaborazione viene eseguita localmente sull’endpoint, a differenza di altri fornitori EDR che richiedono una risorsa e caricamenti intensivi nel cloud per l’analisi e l’elaborazione delle minacce. Puoi recuperare rapidamente, in modo automatizzato.

Le difese dell’endpoint sono indispensabili

La maggior parte dei framework di conformità richiede difese endpoint. Ma dati i pericoli e le capacità dei criminali informatici, i “tre facili” necessitano di rinforzi e devono basarsi su solide basi per massimizzare la protezione degli endpoint e dei dati.

L’ultima parola: non lesinare le difese degli endpoint, ma non dimenticare di utilizzare anche altre tecnologie di base per garantire la protezione dei dati a tutti i livelli.

Questo documento è fornito a solo scopo informativo e non deve essere considerato come una consulenza legale o per determinare come il Regolamento generale sulla protezione dei dati (GDPR) dell’UE può essere applicato a te e alla tua organizzazione. Ti invitiamo a lavorare con un professionista legalmente qualificato per discutere del GDPR, di come si applica alla tua organizzazione e del modo migliore per garantire la conformità. SolarWinds MSP non rilascia alcuna garanzia, espressa o implicita, né si assume alcuna responsabilità legale per le informazioni contenute nel presente documento, inclusa l’accuratezza, la completezza o l’utilità di tali informazioni.

FONTE: Solarwinds MSP BLOG

Traduzione – N4B SRL Distributore Autorizzato Solarwinds MSP

Sebbene il Regolamento generale sulla protezione dei dati (GDPR) non sia esplicito su tutte le azioni che devi intraprendere per proteggere i dati dei clienti, seguendo il principio dell’accountability ci sono alcune tecnologie di base che dovresti mettere in atto. Nelle parti uno e due di questa serie, abbiamo coperto la sicurezza delle applicazioni, la protezione della posta e la whitelisting delle applicazioni. Questo blog affronta ulteriori strategie vincenti tra cui la gestione delle patch, le regole dei privilegi di amministratore e la crittografia dell’intero disco.

Gestione delle Patch più veloce

Rimanere aggiornati con le patch è fondamentale per aiutare a prevenire la violazione dei dati. In particolare, i passati attacchi ransomware WannaCry e NotPetya hanno dimostrato le gravi conseguenze della mancanza di patch critiche, poiché erano disponibili correzioni per entrambi prima degli attacchi. Più recentemente, i criminali informatici hanno sfruttato una vulnerabilità pubblicata in Apache ^® Struts entro un paio di giorni dalla divulgazione al pubblico.

Abbiamo visto le conseguenze che possono verificarsi quando le organizzazioni non riescono ad applicare rapidamente le patch di sicurezza, in particolare quelle che riparano le vulnerabilità sotto sfruttamento attivo. Un paio di rapporti illustrano in modo esauriente l’entità del problema:

NopSec ^® , una società di previsione e correzione delle minacce alla sicurezza informatica, ha pubblicato un rapporto intitolato “State of Vulnerability Risk Management”. Ha compilato 20 anni di dati, disegnando un quadro triste dello stato della gestione delle vulnerabilità delle imprese:

Il tempo medio necessario per correggere una vulnerabilità della sicurezza è di 103 giorni. Tuttavia, questo varia a seconda del settore; mentre i fornitori di servizi cloud rispondono più velocemente (50 giorni), seguiti da vicino dalle organizzazioni sanitarie (97 giorni), le società di servizi finanziari e le organizzazioni educative impiegano 176 giorni preoccupanti per intraprendere azioni correttive. ¹

Inoltre, Qualys Inc., fornitore leader di soluzioni cloud per la sicurezza e la conformità delle informazioni per le piccole e medie imprese, così come le grandi aziende, ha sponsorizzato un documento di ricerca che suggerisce che un’efficace sicurezza informatica richiede la correzione di tutte le “vulnerabilità critiche in un giorno, perché il rischio raggiunge livelli moderati nel segno di una settimana e diventa elevato quando una vulnerabilità rimane in un sistema critico per un mese o più. Tra gli intervistati, il 10% ha dichiarato di essere in grado di rimediare alle vulnerabilità critiche in 24 ore o meno “. ²

Ad essere onesti, un ciclo di patch di un giorno è piuttosto ambizioso, anche per  l’MSP più ossessionato dalla sicurezza. Tuttavia, se si considera che la vulnerabilità in Apache Struts è stata individuata entro 96 ore dalla scoperta, gli MSP potrebbero anche aver bisogno di compiere questo sforzo estremo per scacciare i criminali informatici, in particolare se l’ambiente è complesso. Fortunatamente, nella maggior parte dei casi, con ambienti non complessi, il patching settimanale automatizzato può aiutare a tenere a bada la maggior parte degli exploit informatici.

Blocca i privilegi di amministratore

Il “gestito” nel fornitore di servizi gestiti significa che sei responsabile dei sistemi dei tuoi clienti. Tuttavia gli MSP a volte rinunciano a questa responsabilità fornendo privilegi di amministratore ai dipendenti dei loro clienti, mettendo a rischio l’attività.

I dati di un rapporto di ricerca di Avecto ^® , un’organizzazione di gestione dei privilegi specializzata in software di sicurezza degli endpoint, hanno dimostrato il valore di sicurezza della limitazione dei privilegi di amministrazione a livello locale e di dominio. Se la tua attività MSP non revoca i privilegi di amministratore dagli utenti, crei un potenziale problema di sicurezza.

Cosa offre il blocco dei privilegi di amministratore? Può proteggere dalle truffe del supporto tecnico, poiché gli utenti non saranno in grado di modificare i propri sistemi per consentire l’accesso ai programmi di falsi team di supporto tecnico sui loro computer. Inoltre, gli utenti spesso usano inconsapevolmente software gratuito per uso personale, ma che richiedono una licenza per uso aziendale. Il controllo dell’accesso dell’amministratore impedisce agli utenti di installare software con licenza impropria che potrebbe comportare multe durante un controllo del software.

Proteggi i tuoi dispositivi mobili con la crittografia

Kensington ^® , leader negli accessori per desktop e dispositivi mobili, nell’ormai lontano 2017 affermava che i costi reali associati alla perdita o al furto di dispositivi mobili (laptop, tablet e smartphone) superavano i $ 49.000 per dispositivo3.  Chiaramente, i costi hanno poco a che fare con l’hardware e il software sul dispositivo. Ci sono costi associati alla sostituzione del dispositivo e alla perdita di produttività, ma i dati persi possono causare multe elevate per la violazione delle norme GDPR.

Nell’aprile del 2017, CardioNet ^{® è} stato severamente multato per un laptop rubato con 1.400 cartelle cliniche. Poiché questo dispositivo non disponeva della crittografia dell’intero disco, la conseguente violazione di HIPAA è costata all’azienda 2,5 milioni di dollari. ⁵ Questo è significativamente più del prezzo dell’hardware, del software e della perdita di produttività dei dipendenti.

È difficile immaginare perché le persone IT che si occupano di CardioNet non abbiano semplicemente attivato la crittografia dell’intero disco, già  inclusa nel sistema operativo. Se sei seriamente intenzionato a mitigare la perdita di dati sui dispositivi mobili dei tuoi clienti, dovresti distribuire la crittografia dell’intero disco al più presto possibile. Questa semplice pratica legata alla formazione dei dipendenti avrebbe potuto risparmiare a CardioNet una multa di $ 2,5 milioni.

Proteggi i dati dei tuoi clienti

Con l’entrata in vigore del  GDPR, le aziende devono fare di più per gestire, controllare e proteggere i propri dati. Applicando patch più rapidamente, controllando i privilegi amministrativi e attivando la crittografia dell’intero disco, gli MSP possono aiutare a ridurre il rischio di una violazione dei dati e multe pesanti.

FONTE: Solarwinds MSP BLOG

TRADUZIONE: N4B SRL Distributore Autorizzato Solarwinds MSP

1. “Le organizzazioni impiegano troppo tempo per correggere le vulnerabilità della sicurezza”, BetaNews.  https://betanews.com/2015/06/02/organizations-take-too-long-to-fix-security-vulnerabilities/ (accesso ottobre 2017).

2. “Sopraffatto dalle vulnerabilità della sicurezza? Ecco come stabilire le priorità ”, Qualys, Inc. https://blog.qualys.com/news/2017/01/17/overwhelmed-by-security-vulnerabilities-heres-how-to-prioritize (accesso a ottobre 2017).

3. “Sicurezza dei dispositivi mobili: statistiche sorprendenti sulla perdita e la violazione dei dati”, ChannelPro Network. http://www.channelpronetwork.com/article/mobile-device-security-startling-statistics-data-loss-and-data-breaches (accesso ottobre 2017).

4. “Il laptop rubato porta a $ 2,5 milioni di penalità per violazione della violazione HIPAA”, MSPmentor. http://mspmentor.net/mobile-device-management/stolen-laptop-leads-25-million-hipaa-breach-penalty (accesso ottobre 2017).

Questo documento è fornito a solo scopo informativo e non deve essere considerato come una consulenza legale o per determinare come il Regolamento generale sulla protezione dei dati (GDPR) dell’UE può essere applicato a te e alla tua organizzazione. Ti invitiamo a lavorare con un professionista legalmente qualificato per discutere del GDPR, di come si applica alla tua organizzazione e del modo migliore per garantire la conformità. SolarWinds MSP non rilascia alcuna garanzia, espressa o implicita, né si assume alcuna responsabilità legale per le informazioni contenute nel presente documento, inclusa l’accuratezza, la completezza o l’utilità di tali informazioni.