Antiintrusione o Ethical hacking

controllo accessi

Definire la di eventuale verifica controllo accessi e sicurezza rete con ethical hacking o con servizi di terzi con i tempi di intervento previsti

Analisi sicurezza

Analisi sicurezza e integrità mail, integrata con la protezione di rete e l’aggiornamento.

Sono policy onerose che possono richiedere un grosso budget

Analisi sicurezza e integrità PEC integrata con la protezione di rete e l’aggiornamento oltre che con la conservazione e la gestione (forse necessaria l’archiviazione sostitutiva delle stesse)

Sono policy onerose che possono richiedere un grosso budget

Social

Social, se l’Azienda è attiva nel campo, va valutata con cura

buste paga

Analizzare le problematiche sulle buste paga per la privacy

  • malattie
  • 104
  • sindacati
  • esenzioni
  • ….

Backup e restore

Backup, dovrebbe essere chiaro e gestito.

Vanno previsti e fatti test di restore che devono essere documentati

Disaster recovery: decidere se pianificarlo o meno

Geolocalizzazione

Da gestire in modo mirato a parte se esiste.

cancellazione Device fisici

Distruzione device obsoleti e precauzioni da tenere

Definire procedure per la cancellazione fisica o distruzione dispositivi magnetici e assimilati usati dismessi

prevenzione Data breach

  • Anonimizzazione e pseudonomizzazione
  • Anonimizzazione univoca dei dati irreversibile, se si fa normare modi e tempi
  • Pseudononimizzazione vedere se si può fare e a che.
  • Questi approcci sono indispensabili e proteggono anche in caso di data breach.
  • Da integrare con policy di cifratura dei dati che non possono essere così trattati

Policy by default / by design

Nuovi applicativi progettati in privacy by design e by default, istruzione per i sistemi informativi e per chi gestisce gare e acquisti.

Vecchi applicativi vanno rivisti, internamente e con i fornitori per gestire privacy by design e by default in fase di revisione e nuovo sviluppo.

Sono policy onerose che possono richiedere un grosso budget

Data breach

Data breach e misure preventive e/o di limitazione del danno

Gestione modulistica prevista per data breach, va formato il sistema informativo e i fornitori per poterle individuare e gestirle dalla Direzione in 48 ore.

Sarà oneroso e complesso gestire il come capire che è avvenuto un data breach e prevenirne altri

Ricerca e documentazione dei dati sensibili trattati nell’esistente sistema informativo, attività complessa che investe i sistemi informativi sarà oneroso gestire.

Cifratura dati personali, ipotesi di lavoro molto interessante da usare in tutti i casi possibili

sfruttando le caratteristiche native dei database con cifratura interna e decifratura automatica

cifrando con applicativi file e directory con gestione manuale o via applicativi

riduce i rischi in modo oneroso, ma meno oneroso ove si sfruttino le proprietà dei database intrinseche e protegge da sanzioni e la reputazione aziendale.