GDPR

Oltre al sistema Terra-Luna, sono noti migliaia di asteroidi noti come Near-Earth Objects (NEO). Queste rocce attraversano periodicamente l’orbita terrestre e formano un vicino sorvolo della Terra. Nel corso di milioni di anni, alcuni addirittura si sono scontrati con la Terra, causando estinzioni di massa. Non c’è da stupirsi quindi perché il Center for Near Earth Object Studies (CNEOS) della NASA sia dedicato al monitoraggio degli oggetti più grandi che occasionalmente si avvicinano al nostro pianeta.

Se studi l’astronomia, probabilmente hai familiarità con il concetto di NEO, che sono oggetti che potrebbero colpire la terra e potenzialmente causare un evento di estinzione. Per gli MSP, le violazioni dei dati possono avere lo stesso effetto sulle loro attività come i NEO possono avere sulla Terra. L’ obbligo del regolamento generale sulla protezione dei dati (GDPR) di indagare e segnalare violazioni dei dati entro una finestra di 72 ore può far sentire le violazioni dei dati altrettanto minacciose in termini di potenziali danni.

Il testo del GDPR può sembrare vago quando si tratta della parte di notifica della violazione dei dati. Tuttavia, ciò che possiamo dire con certezza è che, ad un certo punto, probabilmente avrai un cliente che ti chiede di aiutarlo a soddisfare i requisiti di risposta alla violazione dei dati del GDPR. Potrebbero anche non avvicinarti: potresti essere tu a scoprire la potenziale violazione. Di conseguenza, è importante conoscere le procedure sulle violazioni dei dati da seguire.

Statistiche e fatti chiave sulla segnalazione di violazioni dei dati

Ai sensi dell’articolo 33 del GDPR, le informazioni richieste ai sensi del GDPR per la segnalazione di una violazione dei dati includono:

• La natura della violazione
• Il nome / i dettagli di contatto del responsabile della protezione dei dati dell’organizzazione
• Le probabili conseguenze della violazione
• Le misure adottate o proposte dal titolare del trattamento per far fronte alla violazione e mitigarne gli effetti negativi

Ciò significa che dovrai determinarli nel miglior modo possibile dopo aver scoperto una violazione e, se necessario, riferire alle autorità entro la finestra di 72 ore.

Preoccupato per la scadenza di 72 ore? Bene, qui ci sono due statistiche che sono ancora più preoccupanti:

• Sono necessari in media 191 giorni per identificare una violazione dei dati
• Meno del 19% delle violazioni dei dati viene rilevato automaticamente

Fortunatamente, la finestra dei rapporti di 72 ore inizia dal momento in cui l’organizzazione viene a conoscenza della violazione. Tuttavia, è piuttosto difficile indagare su una violazione dei dati verificatasi settimane o mesi prima; ricorda che 191 giorni è il tempo medio impiegato per identificare una violazione. Quindi, dal punto di vista della risposta agli incidenti, prima viene rilevata la potenziale violazione, meglio è.

Queste statistiche dipingono un quadro piuttosto cupo dello stato attuale del rilevamento, dell’indagine e della risposta della violazione dei dati. Il GDPR richiederà agli MSP di indagare e rispondere a tutte le violazioni dei dati, e ciò potrebbe essere reso più difficile se non spostano l’ago di rilevamento da 191 giorni a tre più vicini. Per avere una possibilità di combattere per affrontare questa sfida, sono necessari preparazione, strumenti e “un piano”.

In termini di preparazione, consulta le serie di post sul blog della Guida rapida alle strategie GDPR:

Blog 1 – Fornire formazione sulla sicurezza ai dipendenti dei clienti

Blog 2 – Protezione della posta e whitelisting delle applicazioni

Blog 3 – Gestione delle patch, le regole dei privilegi di amministratore e la crittografia dell’hard disk…

Blog 4 – le tecnologie di difesa dell’endpoint

Queste strategie potrebbero forse aiutarti a prevenire del tutto le violazioni dei dati dei clienti, ma la strategia principale per gli MSP dovrebbe in primo luogo ridurre sostanzialmente il rischio potenziale di una violazione dei dati dei clienti.

Comprensione delle minacce

Nonostante i tuoi migliori sforzi, un incidente di sicurezza può accadere a un cliente in un istante attraverso un semplice attacco di social engineering, errata configurazione o malware non rilevato. Anche un attacco ransomware potrebbe rientrare nella categoria di una violazione dei dati, il GDPR lo definisce come “una violazione della sicurezza che porta alla distruzione accidentale o illegale, perdita, alterazione, divulgazione non autorizzata o accesso a dati personali, trasmessi, memorizzato o altrimenti elaborato. ” Il ransomware potrebbe rientrare nella categoria “perdita di dati”.

Fortunatamente, gli attacchi di ransomware sono piuttosto evidenti e stanno diventando più facili da correggere, poiché gli strumenti di backup, le migliori pratiche e la tecnologia di sicurezza si sono sempre più concentrati su questa minaccia. Per la stragrande maggioranza degli MSP, gli attacchi ransomware sono probabilmente l’unico incidente di sicurezza che dovranno affrontare. Gli ultimi numeri suggeriscono che il 91% degli attacchi informatici e le risultanti violazioni dei dati iniziano con un attacco di posta elettronica di phishing e, di questi attacchi, il 93% è costituito da payload di ransomware. ^,

Per quasi tutti gli altri incidenti di sicurezza, sarà probabilmente necessario esaminare il tipo di violazione dei dati e il tipo di contatti che potrebbero esserci stati tra i criminali informatici. Ciò può includere la determinazione della natura della violazione dei dati o l’identificazione di quali dati sono stati rubati, manomessi o distrutti permanentemente. Potrebbe anche essere necessario determinare se i criminali informatici hanno contattato il cliente o i suoi clienti. In tal caso, potresti avere a che fare con una questione di applicazione della legge, in quanto è possibile che venga fatto un tentativo di estorsione o di ricatto contro il tuo cliente.

Tipi di incidenti di sicurezza

Un errore di sicurezza che porta a una violazione dei dati (diverso dal ransomware, che è ovviamente un problema di disponibilità dei dati) può essere generalmente assegnato in una delle tre seguenti categorie:

• Divulgazione non autorizzata delle informazioni personali dell’interessato
• Manomissione o alterazione dei dati personali dell’interessato da parte di una parte non autorizzata
• Negazione dell’accesso ai dati personali dell’interessato

Pertanto, se i criminali informatici “Bothan” rubano i piani alla “Morte Nera” della tua azienda e i registri del personale imperiale o i registri dei clienti imperiali non fossero inclusi o influenzati in alcun modo, la buona notizia è che il GDPR potrebbe non essere pertinente, anche se i piani della “Morte Nera” erano il lavoro della tua azienda.

Se ritieni che i dati personali degli interessati siano stati potenzialmente influenzati dalla violazione dei dati, dovrai determinare il livello di danno e le conseguenze della violazione. La guida GDPR di SolarWinds MSP può aiutarti a orientarti nella giusta direzione per comprendere la gravità della situazione e il potenziale impatto dei dati rubati.

Successivamente, è tempo di aiutare il cliente a determinare quale linea di condotta intraprendere. Potrebbe essere necessario apportare modifiche a processi, procedure e tecnologia e potrebbe essere necessario contattare i clienti che sono stati interessati, se necessario. Una volta noto che sono stati coinvolti dati personali, è meglio essere estremamente meticolosi nella documentazione e nell’azione. Potrebbe essere necessario che l’Autorità di vigilanza della propria area venga informata della violazione, pertanto è consigliabile disporre della documentazione di tutti i propri sforzi in buona fede.

Cosa aspettarsi durante un incidente con violazione dei dati

In qualità di MSP – e possibilmente primo soccorritore di una situazione di violazione dei dati – tutto il lavoro svolto verrà esaminato attentamente. Ma se stai al fianco del tuo cliente documentando ed eseguendo la dovuta diligenza, è improbabile che la notifica di violazione di 72 ore provochi un evento di estinzione per il tuo cliente.

E’ molto importante poter controllare il processo di gestione di un Data Breach per qualsiasi MSP, piuttosto che subirlo con tutte le conseguenze negative del caso.

N4B SRL ti invita a conoscere il tool di gestione Data Breach di Privacylab per poter offrire un servizio adeguato ed efficiente ai propri clienti. Contattaci per saperne di più.

FONTE: Solarwinds MSP BLOG

Bibliografia:

1. “Gli astronomi si esercitano in risposta a un asteroide assassino”, Universo oggi. https://www.universetoday.com/137789/astronomers-practice-responding-killer-asteroid/ (consultato a novembre 2017).

2. “Notifica di violazione dei dati ai sensi del GDPR: problemi da considerare”, Browne Jacobson LLP. https://www.brownejacobson.com/training-and-resources/resources/legal-updates/2016/03/data-breach-notification-under-the-gdpr-issues-to-consider (accesso novembre 2017).

3. “Art. 33 GDPR: Notifica di una violazione dei dati personali all’autorità di controllo ”, Intersoft Consulting. https://gdpr-info.eu/art-33-gdpr/ (consultato a novembre 2017).

4. “Studio del costo della violazione dei dati del Ponemon Institute 2016”, IBM e Ponemon Institute. https://www.ibm.com/security/data-breach/index.html (consultato a novembre 2017).

5. “Il divario nella detenzione della violazione dei dati e le strategie per colmarlo”, Infocyte. https://www.infocyte.com/breach-detection-gap-conf (consultato a novembre 2017).

6. “Articolo 4: Definizioni GDPR dell’UE”, SecureDataService. https://www.privacy-regulation.eu/en/4.htm (consultato a novembre 2017).

7. “Rapporto sulla suscettibilità e sulla resilienza del phishing aziendale”, PhishMe. https://phishme.com/enterprise-phishing-susceptibility-report (consultato a novembre 2017).

8. “Rapporto sui malware Q1 2016”, PhishMe. https://phishme.com/project/phishme-q1-2016-malware-review/ (consultato a novembre 2017).

Questo documento è fornito a solo scopo informativo e non deve essere considerato come una consulenza legale o per determinare come il Regolamento generale sulla protezione dei dati (GDPR) dell’UE può essere applicato a te e alla tua organizzazione. Ti invitiamo a lavorare con un professionista legalmente qualificato per discutere del GDPR, di come si applica alla tua organizzazione e del modo migliore per garantire la conformità. SolarWinds MSP non rilascia alcuna garanzia, espressa o implicita, né si assume alcuna responsabilità legale per le informazioni contenute nel presente documento, inclusa l’accuratezza, la completezza o l’utilità di tali informazioni. 

Eccoci arrivati al blog finale sulle Guida rapida alle Strategie GDPR. Leggi i blog precedenti per conoscere le altre strategie illustrate finora:

Blog 1 – Fornire formazione sulla sicurezza ai dipendenti dei clienti

Blog 2 – Protezione della posta e whitelisting delle applicazioni

Blog 3 – Gestione delle patch, le regole dei privilegi di amministratore e la crittografia dell’hard disk…

In questo ultimo blog tratteremo delle tecnologie di difesa dell’endpoint “Easy Four “:

1. Protezione della posta
2. Protezione della rete
3. Antivirus
4. End point Detection & Defense (EDR)

Quando si tratta di combattere le minacce informatiche e proteggere i dati personali, queste quattro tecnologie possono costituire una parte importante della strategia di difesa. Tuttavia, è importante rendersi conto che le soluzioni “Easy Four” non possono essere autonome, ma devono essere adottate in sinergia se si desidera evitare multe ai sensi del Regolamento generale sulla protezione dei dati (GDPR). Perché in definitiva, il GDPR riguarda i diritti di privacy dei dati personali dell’utente e la protezione di tali diritti. Mentre la difesa dell’endpoint svolge un ruolo fondamentale, è importante tenere presente che esistono molte parti della protezione dei dati come definito nel GDPR.

Prima di iniziare …

La cosa grandiosa di queste tecnologie è che sono facili da implementare e semplici da gestire da uno strumento RMM. Ogni MSP ha la sua suite di strumenti preferita, alcuni costosi e altri no. Alcuni hanno un alto tasso di successo e altri no. Riunisci due MSP e vedrai un dibattito appassionato su quale prodotto funziona meglio.

Sfortunatamente, le tecnologie “easy four” non funzionano bene contro i criminali informatici senza altre componenti fondamentali. È simile a costruire una casa su una base traballante: sappiamo tutti cosa succede alla casa nel tempo.

Una parola sull’uso delle risorse di sistema

Affrontare il problema all’endpoint senza utilizzare gli strumenti e le tecniche menzionati nei precedenti articoli di strategia sulle strategi vincenti richiede generalmente più soluzioni basate su agenti endpoint. Queste soluzioni endpoint, spesso costruite per organizzazioni più grandi, possono includere un componente di prevenzione della perdita di dati (DLP), gestione dei privilegi, un firewall supplementare (o la sostituzione del firewall di Windows ^® interamente) o un componente VPN: l’elenco continua. Quando si aggiunge la protezione antivirus e Web all’endpoint stesso, le risorse di quel computer verranno ridotte. Potresti persino ricevere alcuni reclami dagli utenti che odiano aspettare che tutte queste “cose ​​di sicurezza” si accendano. Inoltre, se un endpoint è carente di risorse, il software di sicurezza può smettere di funzionare.

Se l’apparecchiatura è vecchia e utilizza CPU più lente o dischi rigidi non SSD, il sistema potrebbe essere estremamente lento. Quando l’endpoint ha anche applicazioni ricche di risorse o applicazioni client-server, è probabile che l’utente riceva i reclami degli utenti in merito alle prestazioni.

Pertanto, la prima regola del club di protezione degli endpoint è testare la protezione degli endpoint prima di implementarla in massa. E tieni presente che, come minimo, i server meritano le stesse protezioni endpoint delle workstation. Se qualcosa supera le difese di una workstation, è probabile che il server lo rilevi. Non correre rischi qui.

Cosa forniscono le difese “Easy Four”

1. Protezione della posta

“Uccidilo prima ancora che entri all’interno dell’organizzazione.”

Questa è l’idea centrale alla base di un prodotto di protezione della posta locale o basato su cloud. La protezione della posta riduce lo spam, mette in quarantena le e-mail con allegati sospetti e persino combatte i tentativi di phishing. Alcuni prodotti per la protezione della posta utilizzano più motori antivirus attivi per proteggere la rete, mentre altri conducono analisi sandbox per verificare se eventuali allegati causano problemi.

La protezione della posta può essere utile in due scenari.

1. In primo luogo, la protezione della posta aiuta a impedire all’email dannosa di entrare nell’organizzazione.
2. In secondo luogo, la protezione della posta aiuta anche quando spam o e-mail dannose escono dall’organizzazione. Non è raro che i criminali informatici dirottino le caselle di posta come un modo per inviare spam o falsificare le informazioni dei mittenti per una truffa di phishing.

2. Protezione della rete

“Uccidere la connessione di rete o prevenire l’infezione in primo luogo.”

La protezione Web può essere ottima per tenere gli utenti fuori dai siti che potrebbero potenzialmente infettare i loro computer. Ma fa molto di più. Le protezioni del proxy Web e del livello di rete possono essere utilizzate come tecnologia preventiva di ultima generazione per cercare di eliminare i tentativi di un trojan di contattare un’infrastruttura di comando e controllo (C2) per scaricare un payload dannoso. Con l’accesso dei cybercriminali al DNS a flusso rapido, all’algoritmo di generazione del dominio (DGA) e persino ai server Dark Web, le protezioni a livello di rete sono davvero all’ultimo passo, ma sono comunque utili. Certamente, se l’analisi del traffico mostra comunicazioni verso siti potenzialmente dannosi, questo potrebbe essere un buon indicatore di compromesso. Le protezioni a livello di rete aiutano a identificare la presenza di qualcosa di brutto se la protezione e-mail e l’antivirus lo mancavano.

Non è un segreto che parti del Web siano assolutamente piene di malware. Siti di contenuti rubati (film e programmi TV famosi) e materiale per adulti sono entrambi estremamente pericolosi anche per gli endpoint più protetti da visitare. La protezione Web impedisce agli utenti di accedere a tali siti per prevenire malware (nonché problemi relativi alle risorse umane).

3. Antivirus Gestito – MAV

“Uccidilo prima che infetti la workstation.”

Questo è il ruolo centrale del tuo prodotto antivirus, qualunque sia il prodotto che scegli. Se i criminali informatici attaccano utilizzando un exploit di un programma software installato, un allegato che richiama PowerShell ^® , JavaScript ^® o una macro di Visual Basic o se viene visualizzato un file binario senza segno e tenta immediatamente di dirottare un processo e stabilire una connessione a Internet, il tuo antivirus dovrebbe rilevare il problema e tentare di risolverlo. Cerca un programma antivirus che includa la scansione basata su firma, il rilevamento euristico e l’analisi comportamentale per ottenere la massima protezione.

L’antivirus gestito è “un’opzione software gestita a livello centrale che protegge tutti i computer dell’azienda dalle minacce dei virus”. Con i MAV, gli MSP gestiscono gli aggiornamenti automatici del programma e gli aggiornamenti delle definizioni dei virus, quindi l’intervento dell’utente non è necessario. Quando viene scoperto un virus o un malware, viene immediatamente messo in quarantena. È una prima linea di difesa semplice e diretta per i dipendenti: non richiede alcuna conoscenza tecnica e fa un buon lavoro nel respingere molte minacce.

4. La soluzione End point detection – EDR

“Uccidilo prima che infetti gli altri devices e l’intera rete”

EDR è una soluzione poliedrica che fa tutto ciò che MAV può fare, ma fa un ulteriore passo avanti, fornendo maggiore sicurezza e (soprattutto) tranquillità. Le funzionalità includono, ma non sono limitate a:

• Monitoraggio
• Rilevazione delle minacce
• Whitelisting / Blacklisting
• Risposta alle minacce
• Integrazione con altre soluzioni di sicurezza informatica

EDR è incentrato sulla protezione degli endpoint .

Come l’Antivirus, gli MSP lo gestiscono senza richiedere alcun input da parte dell’utente finale. Dato il numero di minacce che si generano quotidianamente, la gestione di un gran numero di endpoint può essere più difficile con antivirus e altre soluzioni puntuali. Questo è il punto in cui le differenze tra MAV ed EDR vengono messe a fuoco.

EDR è proattivo . Composto da software di monitoraggio e agenti endpoint, machine learning integrato e intelligenza artificiale avanzata (AI) consente a EDR di identificare i vettori di minacce che mostrano comportamenti sospetti e di affrontarli prima che vengano riconosciuti dannosi. Invece di fare affidamento sugli aggiornamenti delle definizioni, cerca comportamenti anomali. Ad esempio, se diversi file cambiano contemporaneamente, è probabilmente dovuto a un attacco endpoint.

Se si utilizza SolarWinds^®Endpoint Detection and Response (EDR), l’elaborazione viene eseguita localmente sull’endpoint, a differenza di altri fornitori EDR che richiedono una risorsa e caricamenti intensivi nel cloud per l’analisi e l’elaborazione delle minacce. Puoi recuperare rapidamente, in modo automatizzato.

Le difese dell’endpoint sono indispensabili

La maggior parte dei framework di conformità richiede difese endpoint. Ma dati i pericoli e le capacità dei criminali informatici, i “tre facili” necessitano di rinforzi e devono basarsi su solide basi per massimizzare la protezione degli endpoint e dei dati.

L’ultima parola: non lesinare le difese degli endpoint, ma non dimenticare di utilizzare anche altre tecnologie di base per garantire la protezione dei dati a tutti i livelli.

Questo documento è fornito a solo scopo informativo e non deve essere considerato come una consulenza legale o per determinare come il Regolamento generale sulla protezione dei dati (GDPR) dell’UE può essere applicato a te e alla tua organizzazione. Ti invitiamo a lavorare con un professionista legalmente qualificato per discutere del GDPR, di come si applica alla tua organizzazione e del modo migliore per garantire la conformità. SolarWinds MSP non rilascia alcuna garanzia, espressa o implicita, né si assume alcuna responsabilità legale per le informazioni contenute nel presente documento, inclusa l’accuratezza, la completezza o l’utilità di tali informazioni.

FONTE: Solarwinds MSP BLOG

Traduzione – N4B SRL Distributore Autorizzato Solarwinds MSP

Sebbene il Regolamento generale sulla protezione dei dati (GDPR) non sia esplicito su tutte le azioni che devi intraprendere per proteggere i dati dei clienti, seguendo il principio dell’accountability ci sono alcune tecnologie di base che dovresti mettere in atto. Nelle parti uno e due di questa serie, abbiamo coperto la sicurezza delle applicazioni, la protezione della posta e la whitelisting delle applicazioni. Questo blog affronta ulteriori strategie vincenti tra cui la gestione delle patch, le regole dei privilegi di amministratore e la crittografia dell’intero disco.

Gestione delle Patch più veloce

Rimanere aggiornati con le patch è fondamentale per aiutare a prevenire la violazione dei dati. In particolare, i passati attacchi ransomware WannaCry e NotPetya hanno dimostrato le gravi conseguenze della mancanza di patch critiche, poiché erano disponibili correzioni per entrambi prima degli attacchi. Più recentemente, i criminali informatici hanno sfruttato una vulnerabilità pubblicata in Apache ^® Struts entro un paio di giorni dalla divulgazione al pubblico.

Abbiamo visto le conseguenze che possono verificarsi quando le organizzazioni non riescono ad applicare rapidamente le patch di sicurezza, in particolare quelle che riparano le vulnerabilità sotto sfruttamento attivo. Un paio di rapporti illustrano in modo esauriente l’entità del problema:

NopSec ^® , una società di previsione e correzione delle minacce alla sicurezza informatica, ha pubblicato un rapporto intitolato “State of Vulnerability Risk Management”. Ha compilato 20 anni di dati, disegnando un quadro triste dello stato della gestione delle vulnerabilità delle imprese:

Il tempo medio necessario per correggere una vulnerabilità della sicurezza è di 103 giorni. Tuttavia, questo varia a seconda del settore; mentre i fornitori di servizi cloud rispondono più velocemente (50 giorni), seguiti da vicino dalle organizzazioni sanitarie (97 giorni), le società di servizi finanziari e le organizzazioni educative impiegano 176 giorni preoccupanti per intraprendere azioni correttive. ¹

Inoltre, Qualys Inc., fornitore leader di soluzioni cloud per la sicurezza e la conformità delle informazioni per le piccole e medie imprese, così come le grandi aziende, ha sponsorizzato un documento di ricerca che suggerisce che un’efficace sicurezza informatica richiede la correzione di tutte le “vulnerabilità critiche in un giorno, perché il rischio raggiunge livelli moderati nel segno di una settimana e diventa elevato quando una vulnerabilità rimane in un sistema critico per un mese o più. Tra gli intervistati, il 10% ha dichiarato di essere in grado di rimediare alle vulnerabilità critiche in 24 ore o meno “. ²

Ad essere onesti, un ciclo di patch di un giorno è piuttosto ambizioso, anche per  l’MSP più ossessionato dalla sicurezza. Tuttavia, se si considera che la vulnerabilità in Apache Struts è stata individuata entro 96 ore dalla scoperta, gli MSP potrebbero anche aver bisogno di compiere questo sforzo estremo per scacciare i criminali informatici, in particolare se l’ambiente è complesso. Fortunatamente, nella maggior parte dei casi, con ambienti non complessi, il patching settimanale automatizzato può aiutare a tenere a bada la maggior parte degli exploit informatici.

Blocca i privilegi di amministratore

Il “gestito” nel fornitore di servizi gestiti significa che sei responsabile dei sistemi dei tuoi clienti. Tuttavia gli MSP a volte rinunciano a questa responsabilità fornendo privilegi di amministratore ai dipendenti dei loro clienti, mettendo a rischio l’attività.

I dati di un rapporto di ricerca di Avecto ^® , un’organizzazione di gestione dei privilegi specializzata in software di sicurezza degli endpoint, hanno dimostrato il valore di sicurezza della limitazione dei privilegi di amministrazione a livello locale e di dominio. Se la tua attività MSP non revoca i privilegi di amministratore dagli utenti, crei un potenziale problema di sicurezza.

Cosa offre il blocco dei privilegi di amministratore? Può proteggere dalle truffe del supporto tecnico, poiché gli utenti non saranno in grado di modificare i propri sistemi per consentire l’accesso ai programmi di falsi team di supporto tecnico sui loro computer. Inoltre, gli utenti spesso usano inconsapevolmente software gratuito per uso personale, ma che richiedono una licenza per uso aziendale. Il controllo dell’accesso dell’amministratore impedisce agli utenti di installare software con licenza impropria che potrebbe comportare multe durante un controllo del software.

Proteggi i tuoi dispositivi mobili con la crittografia

Kensington ^® , leader negli accessori per desktop e dispositivi mobili, nell’ormai lontano 2017 affermava che i costi reali associati alla perdita o al furto di dispositivi mobili (laptop, tablet e smartphone) superavano i $ 49.000 per dispositivo3.  Chiaramente, i costi hanno poco a che fare con l’hardware e il software sul dispositivo. Ci sono costi associati alla sostituzione del dispositivo e alla perdita di produttività, ma i dati persi possono causare multe elevate per la violazione delle norme GDPR.

Nell’aprile del 2017, CardioNet ^{® è} stato severamente multato per un laptop rubato con 1.400 cartelle cliniche. Poiché questo dispositivo non disponeva della crittografia dell’intero disco, la conseguente violazione di HIPAA è costata all’azienda 2,5 milioni di dollari. ⁵ Questo è significativamente più del prezzo dell’hardware, del software e della perdita di produttività dei dipendenti.

È difficile immaginare perché le persone IT che si occupano di CardioNet non abbiano semplicemente attivato la crittografia dell’intero disco, già  inclusa nel sistema operativo. Se sei seriamente intenzionato a mitigare la perdita di dati sui dispositivi mobili dei tuoi clienti, dovresti distribuire la crittografia dell’intero disco al più presto possibile. Questa semplice pratica legata alla formazione dei dipendenti avrebbe potuto risparmiare a CardioNet una multa di $ 2,5 milioni.

Proteggi i dati dei tuoi clienti

Con l’entrata in vigore del  GDPR, le aziende devono fare di più per gestire, controllare e proteggere i propri dati. Applicando patch più rapidamente, controllando i privilegi amministrativi e attivando la crittografia dell’intero disco, gli MSP possono aiutare a ridurre il rischio di una violazione dei dati e multe pesanti.

FONTE: Solarwinds MSP BLOG

TRADUZIONE: N4B SRL Distributore Autorizzato Solarwinds MSP

1. “Le organizzazioni impiegano troppo tempo per correggere le vulnerabilità della sicurezza”, BetaNews.  https://betanews.com/2015/06/02/organizations-take-too-long-to-fix-security-vulnerabilities/ (accesso ottobre 2017).

2. “Sopraffatto dalle vulnerabilità della sicurezza? Ecco come stabilire le priorità ”, Qualys, Inc. https://blog.qualys.com/news/2017/01/17/overwhelmed-by-security-vulnerabilities-heres-how-to-prioritize (accesso a ottobre 2017).

3. “Sicurezza dei dispositivi mobili: statistiche sorprendenti sulla perdita e la violazione dei dati”, ChannelPro Network. http://www.channelpronetwork.com/article/mobile-device-security-startling-statistics-data-loss-and-data-breaches (accesso ottobre 2017).

4. “Il laptop rubato porta a $ 2,5 milioni di penalità per violazione della violazione HIPAA”, MSPmentor. http://mspmentor.net/mobile-device-management/stolen-laptop-leads-25-million-hipaa-breach-penalty (accesso ottobre 2017).

Questo documento è fornito a solo scopo informativo e non deve essere considerato come una consulenza legale o per determinare come il Regolamento generale sulla protezione dei dati (GDPR) dell’UE può essere applicato a te e alla tua organizzazione. Ti invitiamo a lavorare con un professionista legalmente qualificato per discutere del GDPR, di come si applica alla tua organizzazione e del modo migliore per garantire la conformità. SolarWinds MSP non rilascia alcuna garanzia, espressa o implicita, né si assume alcuna responsabilità legale per le informazioni contenute nel presente documento, inclusa l’accuratezza, la completezza o l’utilità di tali informazioni. 

Le soluzioni antimalware non possono sostenere completamente l’onere della protezione dei clienti di un provider di servizi gestiti (MSP) dagli attacchi informatici. Gli esempi abbondano di soluzioni antivirus che vacillano quando si cerca di impedire un qualsiasi tipo di minaccia informatica. I criminali informatici sono diventati molto più bravi a far passare il malware oltre le difese al punto che molti MSP devono ora svolgere attività di pulizia per i loro clienti, come il ripristino dei dati e la ricostruzione degli endpoint.

In effetti, un recente studio di MSP di SolarWinds ha rilevato che “l’87% dei dirigenti IT considera robusta la propria sicurezza informatica, nonostante il 71% abbia segnalato almeno una violazione negli ultimi 12 mesi”. ¹ Tra la fiducia eccessiva dei dirigenti IT nelle loro difese e le prove tangibili di quelle difese che spesso falliscono, le organizzazioni dovrebbero costantemente cercare altri modi per garantire la sicurezza in modo più efficace.

Con il GDPR, in caso di violazione potrebbe essere necessario segnalare un attacco ransomware o una violazione dei dati ai sensi del GDPR e la mancata segnalazione può comportare azioni di vigilanza sotto forma di multe e sanzioni, cosa che renderà infelici i clienti di MSP. Oggi è molto importante che gli MSP utilizzino soluzioni aggiuntive che possano aiutare a difendere i propri clienti da incidenti di sicurezza.

Protezione e filtro della posta

Secondo il Riepilogo esecutivo del Threat Landscape Survey , i principali autori di incidenti di sicurezza sono gli utenti finali, in particolare quando utilizzano e-mail o visitano siti Web. ²

Ciò rende assolutamente necessario un investimento in una soluzione di filtraggio e protezione della posta per affrontare la stragrande maggioranza dei casi di “aggressori che entrano in endpoint”. Questa tecnologia preventiva tenta di bloccare il malware inviato via e-mail. Queste soluzioni spesso includono funzionalità quali motori antivirus, protezione antispam, blacklist dei domini, gestione degli allegati e altro, per aiutare a prevenire la diffusione di minacce e-mail. Naturalmente, le soluzioni di filtraggio e protezione della posta non sono a prova di proiettile, in particolare contro malware ben mirati e furtivi, quindi è importante utilizzarli nel contesto di una strategia di sicurezza a più livelli, a tutto tondo.

White List delle applicazioni

Anche se stiamo discutendo di sicurezza nel contesto di una legge dell’UE, gli MSP potrebbero voler prendere spunto dalle raccomandazioni delle autorità australiane per sostenere le proprie difese contro gli attacchi informatici e ottenere una solida prontezza al GDPR per i loro clienti. Ad esempio, il Dipartimento della Difesa australiano elenca quattro importanti strategie di mitigazione della criminalità informatica. Il loro sito web afferma: “L’Australian Signals Directorate (ASD) valuta che l’implementazione della Top 4 mitigherà almeno l’85% delle tecniche di intrusione a cui l’Australian Cyber ​​Security Centre risponde.”

La tecnica di mitigazione numero uno suggerita dall’ASD è “Whitelisting delle applicazioni”, che si riferisce a un programma che impedisce agli utenti (o attori malintenzionati) di installare software che non è incluso in un elenco di software approvato. Gli strumenti di whitelisting delle applicazioni sono stati inclusi da Microsoft ^® in Windows ^® da Windows Server ^® 2008 e Windows 7. Gli MSP che non sfruttano questa tecnologia perdono una grande opportunità per fornire gratuitamente un altro livello di sicurezza ai client. AppLocker ^® , lo strumento di whitelisting fornito da Microsoft, include anche una “Creazione guidata delle regole” per facilitare la distribuzione.

La whitelisting delle applicazioni, che si tratti di Microsoft AppLocker o di un programma di terze parti, può aiutare a impedire l’esecuzione di un programma Trojan o di payload ransomware sull’endpoint. Invece di fare affidamento su definizioni di virus (nel senso tradizionale), euristiche o regole basate sul comportamento, il programma di whitelisting impedirà l’esecuzione di qualsiasi programma non autorizzato. Ciò aggiunge un’ulteriore ed estremamente efficace difesa nella lotta contro gli attacchi di malware.

Potrebbe essere necessario dedicare un po ‘di tempo alla sperimentazione per ottenere il massimo da uno strumento gratuito come AppLocker. I periodi migliori per implementare questo strumento di sicurezza sono durante l’onboarding, gli aggiornamenti degli endpoint, un progetto di aggiornamento degli endpoint o un aggiornamento di Windows 10 a livello di ufficio. Indipendentemente da ciò, è uno strato di difesa estremamente importante ed efficace nella lotta contro i criminali informatici.

Due armi efficaci contro le violazioni dei dati

Con l’entrata in vigore da ormai 2 anni del GDPR , gli MSP hanno sempre maggiori responsabilità nel campo della sicurezza dei dati. La mancata protezione dei dati dei clienti potrebbe comportare multe elevate, sia per gli MSP che per i loro clienti. Sebbene non esista un’unica tecnologia a proiettile d’argento per la compliance del GDPR, la protezione della posta elettronica e la whitelisting delle applicazioni possono essere armi importanti per aiutare a contrastare la violazione dei dati.

FONTE. Solarwinds MSP BLOG

Traduzione N4B SRL Distributore Autorizzato Solarwinds MSP

1. “Il nuovo sondaggio sulla sicurezza MSP di SolarWinds evidenzia l’eccesso di fiducia, la mancanza di preparazione da parte di IT Execs per combattere il ransomware e altri attacchi”, MSP SolarWinds. https://www.solarwindsmsp.com/about-us/press/press-releases/new-solarwinds-msp-security-survey-highlights-overconfidence-lack (accesso a ottobre 2017).

2. “Le 4 principali strategie per mitigare le intrusioni informatiche: spiegazione dei requisiti obbligatori”, Dipartimento della Difesa del governo australiano. https://www.asd.gov.au/infosec/top-mitigations/top-4-strategies-explained.htm (consultato a ottobre 2017).

Questo documento è fornito a solo scopo informativo e non deve essere considerato come una consulenza legale o per determinare come il Regolamento generale sulla protezione dei dati (GDPR) dell’UE può essere applicato a te e alla tua organizzazione. Ti invitiamo a lavorare con un professionista legalmente qualificato per discutere del GDPR, di come si applica alla tua organizzazione e del modo migliore per garantire la conformità. SolarWinds MSP non rilascia alcuna garanzia, espressa o implicita, né si assume alcuna responsabilità legale per le informazioni contenute nel presente documento, inclusa l’accuratezza, la completezza o l’utilità di tali informazioni. 

Benvenuti al primo di quattro appuntamenti dove daremo uno sguardo d’insieme ad alcune strategie che gli MSP devono implementare per accompagnare i propri clienti all acompliance GDPR.

Possiamo definirla una Guida rapida alle Strategie GDPR che ogni MSP dovrebbe avere ben presente. In questi quattro appuntamenti affronteremo i seguenti argomenti e le strategie per gestirli:

Blog 1 – Fornire formazione sulla sicurezza ai dipendenti dei clienti

Blog 2 – Protezione della posta e whitelisting delle applicazioni

Blog 3 – Gestione delle patch, le regole dei privilegi di amministratore e la crittografia dell’hard disk…

Blog 4 – le tecnologie di difesa dell’endpoint

Iniziamo dunque il nostro percorso:

I vantaggi della formazione sulla sicurezza dei dipendenti

I fornitori di servizi gestiti (MSP) sono un gruppo scettico. Poiché i fornitori e gli esperti di canale abbondano, molti MSP e fornitori di servizi IT tendono a mettere a punto i contenuti dai fornitori. Se hai intenzione di provare a vendere Servizi gestiti su un’idea, è meglio che questa sia orientata al valore. E devi arrivare al punto, in fretta.

Se qualcuno venisse nella tua attività e dicesse: “Posso aiutarti a ridurre le chiamate all’assistenza clienti, migliorare le relazioni con i clienti, rendere i tuoi clienti più sicuri e aiutarli ad avvicinarsi alla preparazione al GDPR, per pochi soldi”, la maggior parte degli MSP che conosco farebbe rispondere educatamente con “Ho un incontro in questo momento”. (E potrebbero anche non essere così educati.)

Ma per i tuoi clienti esiste una soluzione del genere: la formazione sulla consapevolezza della sicurezza dei dipendenti.

Sebbene non sia certamente un proiettile d’argento, è un modo economico per i tuoi clienti di migliorare la loro sicurezza. La formazione dei dipendenti può essere una parte cruciale della protezione delle imprese dei tuoi clienti dalle multe relative a violazioni del Regolamento generale sulla protezione dei dati (GDPR). Se il tuo bouquet di servizi non offre ai tuoi clienti un programma di formazione sulla sicurezza dei dipendenti, perdi una grande opportunità.

Perché la formazione sulla sicurezza dei dipendenti è così importante? Molto semplicemente, aiuta a prevenire incidenti di sicurezza informatica che potrebbero essere causati da errori dell’utente. La formazione dei loro dipendenti è un servizio essenziale da fornire ai clienti che ti pagano già per i servizi di sicurezza.

Se il tuo cliente cade vittima di un attacco informatico ad alta o bassa tecnologia, potrebbe non avere i fondi per pagarti o potrebbe contestare o mettere in discussione la tua competenza. Indipendentemente dalla causa dell’incidente, potrebbero incolpare alcuni dei tuoi servizi MSP. Tuttavia, se hai erogato un programma di formazione sulla sicurezza, questo può aiutare a mitigare la percezione che il problema si ripercuota esclusivamente sulle tue spalle. E, naturalmente, se i dipendenti praticano una buona sicurezza, la probabilità di un incidente di sicurezza informatica di successo si riduce.

Con l’entrata in vigore del GDPR, la formazione sulla sicurezza fornita potrebbe aiutarli a prevenire attacchi volti a rubare dati di informazioni personali (PII) (e potrebbe aiutarli a evitare situazioni in cui i criminali informatici tentano di ingannare i dipendenti in modo fraudolento trasferimento di denaro). La divulgazione non autorizzata di informazioni personali ai sensi del GDPR può comportare gravi sanzioni e pregiudicare la reputazione dell’azienda. In breve, un cliente con violazione dei dati è dannoso per l’azienda.

Quanto è importante la formazione sulla consapevolezza?

Quattro delle cinque maggiori perdite cybercriminali negli Stati Uniti sono state realizzate senza salire al livello di un “sofisticato” attacco cybercriminale. Ad esempio, compromissione della posta elettronica aziendale, truffe fraudolente e romantiche, truffe per mancato pagamento e mancata consegna e truffe sugli investimenti hanno causato perdite per oltre $ 840 milioni per le persone di età superiore ai 40 anni ¹ .

La cosa triste di queste statistiche è che, in molti casi, non esiste una soluzione tecnica semplice: la formazione sulla consapevolezza della sicurezza degli utenti a volte potrebbe essere l’unica opzione. Ciò vale anche per le famigerate truffe del supporto tecnico, in cui qualcuno afferma fraudolentemente di appartenere a una società di supporto tecnico. IC3 riferisce che “IC3 ha ricevuto migliaia di denunce di frode relative al supporto tecnico. Le vittime hanno perso milioni di dollari per gli autori. Nel 2016, l’IC3 ha ricevuto 10.850 denunce di frodi nel supporto tecnico con perdite superiori a $ 7,8 milioni. ” ²

Quando un MSP offre formazione sulla sicurezza dei dipendenti per i propri clienti, aiuta a rafforzare il processo decisionale di sicurezza informatica di base. Se eseguita correttamente, questa formazione migliora la sicurezza dei dipendenti sia negli ambienti IT domestici che di lavoro, il che fornisce valore ai dipendenti dei clienti e al business.

E infine, è spesso richiesto dalla legge. Praticamente tutti i regimi di conformità includono un requisito per un programma di formazione e sensibilizzazione sulla sicurezza ³ .

Ciò include il GDPR, che richiede un’ampia gamma di misure per ridurre il rischio di violazione dei dati PII e richiede che il responsabile della protezione dei dati, “monitora la conformità … compreso l’assegnazione di responsabilità, la sensibilizzazione e la formazione del personale coinvolto in operazioni di elaborazione “. ⁴ Il GDPR richiede che gli addetti siano informati e formati.

In definitiva, fornire formazione sulla consapevolezza della sicurezza degli utenti offre un valore immenso ai tuoi clienti senza sovraccaricare il personale. Ridurrete il rischio di violazione dei dati aiutando nel contempo gli sforzi dei vostri clienti nel processo per raggiungere la compliance al GDPR.

Si noti che questo contenuto rappresenta un’opinione e che nulla in esso contenuto costituisce in alcun modo una consulenza legale. Ti consigliamo di parlare con esperti legali in materia per assicurarti di essere pronto per il GDPR e proteggere la tua azienda da eventuali multe. 

fonti:

1 “Rapporto sulla criminalità su Internet 2016”, Ufficio federale di indagine.  https://www.fbi.gov/news/stories/ic3-releases-2016-internet-crime-report (accesso ottobre 2017).

2 “ Rapporto sul crimine su Internet 2016 ” , Centro federale per i reclami contro il crimine su Internet (IC3). https://pdf.ic3.gov/2016_IC3Report.pdf (consultato a ottobre 2017).

3 “Requisiti di conformità per la consapevolezza della sicurezza”, SANS. https://securingthehuman.sans.org/media/resources/business-justific/sans-compliance-requirements.pdf (consultato a ottobre 2017).

4 “Art. 39 GDPR, ”Regolamento generale sulla protezione dei dati (GDPR). https://www.privacy-regulation.eu/en/39.htm (consultato a ottobre 2017).