Il ruolo dell’IT Asset Management nel corretto adeguamento al GDPR – Parte I
In questo e nel prossimo blog vorrei analizzare il ruolo dell’ IT Asset Management (ITAM) nell’adeguamento al nuovo regolamento generale sulla protezione dei dati (GDPR).
In questo primo articolo introdurremo brevemente cosa è il GDPR, quali misure introduce e come la gestione degli asset IT possa supportarlo.
Nella prossimo articolo vedremo quali moduli mette a disposizione la nostra soluzione IT System Management (WÜRTHPHOENIX NetEye) per implementare la gestione degli asset IT (ITAM).
Introduzione al GDPR
Come riportato in Wikipedia il regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation- Regolamento UE 2016/679) è un Regolamento con il quale la Commissione europea intende rafforzare e rendere più omogenea la protezione dei dati personali di cittadini dell’Unione Europea, sia all’interno che all’esterno dei confini dell’Unione europea (UE). Il testo, pubblicato su Gazzetta Ufficiale Europea il 4 maggio 2016 ed entrato in vigore il 25 maggio dello stesso anno, inizierà ad avere efficacia il 25 maggio 2018.
Le disposizioni presenti nel regolamento rafforzano la protezione dei dati, coerentemente con le attuali preoccupazioni sulla privacy, e devono essere rispettate sia dalle aziende con sede nell’Unione Europea sia da quelle che, pur avendo sede al di fuori della UE, elaborano dati dei cittadini di uno Stato membro.
Il GDPR è stato progettato per affrontare le carenze delle regole sui dati esistenti e richiede alle aziende di considerare attentamente dove i dati personali sono memorizzati, chi ha accesso ai dati e come questi sono protetti da possibili violazioni.
Le violazioni del GDPR comportano pene severe, con multe fino a 20 milioni di euro o 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
GDPR: le principali modifiche (key changes)
Il portale ufficiale del GDPR fornisce una panoramica sulle principali modifiche apportate e come queste modifiche cambiano rispetto alle direttive precedenti. Alcune di queste sono:
Increased Territorial Scope (extra-territorial applicability): Protezione completa, anche se l’elaborazione dei dati avviene al di fuori dell’UE.
Penalties: grandi multe per violazione del regolamento.
Consent: termini e condizioni accessibili e leggibili per il consenso per la raccolta dei dati.
Breach Notification: informazione obbligatoria sulle violazioni dei dati.
Right to Access: maggiore trasparenza nel modo in cui i dati personali vengono utilizzati.
Right to be Forgotten: il “diritto ad essere dimenticato” dà diritto al titolare dei dati di cancellare i suoi dati personali.
Data Portability: una persona deve essere in grado di trasferire i propri dati personali da un sistema di elaborazione elettronico a un altro senza che il controllore dei dati possa impedirlo.
Privacy by Design: la protezione dei dati deve avvenire dall’inizio della progettazione dei sistemi, piuttosto che un’aggiunta.
Il Garante della Privacy e il GDPR
Anche il Garante della Privacy mette a disposizione le principali problematiche che imprese e soggetti pubblici dovranno tenere presenti in vista della piena applicazione del regolamento, prevista il 25 maggio 2018.
Le priorità suggerite dall’Autorità di controllo possono aiutare ad orientarsi per definire gli interventi necessari per adeguare i propri processi, aggiornare la tecnologia, rivedere i rapporti con i fornitori per fare in modo che assolvano ai propri compiti in modo conforme al nuovo quadro legislativo.
Come riportato nella guida del garante, la grande innovazione del GDPR sta nell’approccio basato sull’accountability – la responsabilità:
Il regolamento pone con forza l’accento sulla “responsabilizzazione” (accountability nell’accezione inglese) di titolari e responsabili – ossia, sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento (si vedano artt. 23-25, in particolare, e l’intero Capo IV del regolamento).
Si tratta di una grande novità per la protezione dei dati in quanto viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali – nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento.
I più grandi vendor ed il GDPR
Anche i più grandi vendor hanno indicato il loro approccio al GDPR. Riportiamo di seguito i principali:
Risulta quindi evidente che la normativa richiede non solo un adeguamento nell’immediato, cioè entro la scadenza del 25 maggio 2018, ma anche una gestione e supervisione costante, quindi è importante definire dei processi aziendali che permettano di presidiare gli adempimenti normativi nel tempo. Conformarsi alle nuove regole è obbligatorio entro maggio 2018 e richiede un percorso organizzativo e tecnologico.
Il ruolo dell’IT Asset Management nel processo di adeguamento del GDPR
La maggior parte delle soluzioni software per la preparazione del GDPR ruota attorno alla sicurezza dei server, del software e della gestione delle infrastrutture.
Ma è importante ricordare che per stabilire una corretta protezione dei dati, ogni azienda deve anche conoscere lo stato delle risorse IT che utilizza per elaborare, trasmettere, analizzare e archiviare dati.
Come definito da Gartner, La gestione delle risorse IT (ITAM) fornisce un resoconto accurato dei costi e dei rischi del ciclo di vita delle risorse tecnologiche per massimizzare il valore di business della strategia tecnologica, dell’architettura, dei finanziamenti, delle decisioni contrattuali e di approvvigionamento.
La completa visibilità e un inventario dettagliato di tutte le risorse IT sono la chiave per una forte posizione di sicurezza e conformità, perché le cose che rappresentano il rischio più elevato sono quelle di cui non si è a conoscenza.
Ciò significa che ogni device, istanza di software, utente dovrebbe essere correttamente censito e correlato. In caso di una violazione informatica, per esempio, sarà necessario riuscire a risponde a domande quali:
What: Di quali asset IT disponiamo? Quali software sono installati sui nostri device?
Who: Chi ha accesso ai device e alle applicazioni? A chi sono assegnati i device?
Where: Dove sono, a chi sono correlati e come “si sono spostati” nel tempo?
How: Come sono relazionate tra di loro?
Ed è proprio rispondendo alle domande sopra indicate che la gestione degli asset IT (ITAM) può contribuire alla compliance del GDPR.
Grazie ad una soluzione di IT Asset Management è possibile
proteggere gli investimenti dell’azienda e riconoscere ciò che si ha, dove è utilizzato, e se le risorse sono utilizzate in modo efficiente;
conoscere con precisione le risorse hardware e software di cui si dispone, l’utilizzo che ne viene fatto e gli eventuali sprechi;
riuscire a rispondere in modo efficiente in caso di minacce informatiche e fronteggiare i rischi;
risolvere le criticità IT regolando l’acquisto e ottimizzando l’utilizzo del software;
consentire un’allocazione corretta del budget
gestire un’efficiente negoziazione con i fornitori;
gestire il ciclo di vita degli asset;
gestire i contratti e la documentazione relativa ad ogni asset in uso (hardware, software, licenze, business application);
monitorare la scadenza dei contratti, delle licenze software e delle manutenzioni hardware;
definire una corretta strategia di acquisto;
Se la vostra organizzazione non dispone di uno strumento di ITAM adeguato, forse è arrivato il momento di implementarne uno…o rischiare di fallire nella conformità col GDPR.
Hi everybody. I’m Giuseppe and I was born in Milan in 1979. Since the early years of university, I was attracted by the Open Source world and operating system GNU\Linux. After graduation I had the opportunity to participate in a project of a startup for the realization of an Internet Service Provider. Before joining Würth Phoenix as SI consultant, I gained great experience as an IT consultant on projects related to business continuity and implementation of open source software compliant to ITIL processes of incident, change and service catalog management. My free time is completely dedicated to my wife and, as soon as possible, run away from Milan and his caotic time and trekking discover our beautiful mountain near Lecco for relax and lookup the (clean) sky.
Author
Giuseppe Di Garbo
Hi everybody. I’m Giuseppe and I was born in Milan in 1979. Since the early years of university, I was attracted by the Open Source world and operating system GNU\Linux. After graduation I had the opportunity to participate in a project of a startup for the realization of an Internet Service Provider. Before joining Würth Phoenix as SI consultant, I gained great experience as an IT consultant on projects related to business continuity and implementation of open source software compliant to ITIL processes of incident, change and service catalog management. My free time is completely dedicated to my wife and, as soon as possible, run away from Milan and his caotic time and trekking discover our beautiful mountain near Lecco for relax and lookup the (clean) sky.
Elastic 8.16, which comes with NetEye 4.39, made Elastic Universal Profiling generally available for self-hosted installations. This means that NetEye SIEM installations will now be able to take advantage of the continuous profiling solution by Elastic. In this blogpost we'll Read More
In the first part of this series, we explored how Jira Service Management (JSM) helps streamline Incident Management, aligning with ITIL v4 best practices. Incident Management aims to restore normal service operation as quickly as possible after a disruption, ensuring Read More
Hello everyone! Today, I'd like to briefly discuss an improvement to the update and upgrade procedures that we've started to adopt with NetEye 4.39! What we wanted to improve One aspect that made quite an impact was that whenever the Read More
Hello everyone! Today, I’d like to share an exciting improvement we’ve made to the installation and upgrade procedures in NetEye, introducing a faster and more efficient parallel architecture! Why Modernize the Installation and Upgrade Processes? At Würth Phoenix, we strive Read More
Note: This description of a security analyst's daily routine is fictitious. However, the osquery examples have been tested and can therefore be used as a template for your own research. 1. Alarm Detection Today started with a high-severity alarm from our Read More