GDPR Compliance in vigore dal 25 Maggio 2018

Scritto da Marketing Gestionale Toscana on . Postato in Blog

GDPR - Compliance GDPR EU 2016/679 (General Data Protection Regulation) = Regolamento Generale Europeo in tema di protezione dati COMPLIANCE = conformità alle regole indicate dal GDPR   Il giorno 25 Maggio 2018 entra in vigore il nuovo regolamento Europeo in materia di dati personali, questa  nuova legge, perchè di questo si tratta, é applicabile a tutte le aziende salva rare eeccezioni.   La legge prevede di porre l’azienda conforme alle regole indicate dal GDPR  

COSA PREVEDE LA COMPLIANCE GDPR

  – organigramma – processi aziendali – registro dei trattamenti – redazione PIA Privacy Impact Assessment – procedure in caso di data breach – modulistica a norma informative incarichi mansionari – trattamento dati videosorveglianza (Se utilizzata) – trattamento dati geolocalizzazione (Se Utilizzata) – trattamento consensi conto terzi Tutti questi capitoli devono essere  disponibili agli eventuali controlli e dovranno essere aggiornati in tempo reale ad ogni cambiamento aziendale.

I RISCHI

All’articolo 58, paragrafo 2, il regolamento prevede sanzioni amministrative pecuniarie fino a 20 milioni di euro, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, ferme restando le sanzioni penali previste dalle leggi italiane (v.di Lgs. 196/03)

Avete davvero voglia di rischiare?

Siamo a vostra disposizione per ogni chiarimento in merito potete contattarci al n. 3480301343 oppure inviarci una email a [email protected]  

Controlli Essenziali per implementazione del GDPR

Scritto da Marketing Gestionale Toscana on . Postato in Blog

 

Misure minime di sicurezza

Di seguito una lista di controlli essenziali per l’implemetazione delle misire minime di sicurezzaInventario dispositivi e software
1 – Esiste ed è mantenuto aggiornato un inventario dei sistemi, dispositivi, software, servizi e applicazioni informatiche in uso all’interno del perimetro aziendale.
2 – I servizi web (social network, cloud computing, posta elettronica, spazio web, ecc. . . ) offerti da terze parti a cui si è registrati sono quelli strettamente necessari.
3 – Sono individuate le informazioni, i dati e i sistemi critici per l’azienda affinché siano adeguatamente protetti.

Governance


4 – È stato nominato un referente che sia responsabile per il coordinamento delle attività di gestione e di protezione delle informazioni e dei sistemi informatici.
5 – Sono identificate e rispettate le leggi e/o i regolamenti con rilevanza in tema di cybersecurity che risultino applicabili per l’azienda. Protezione da malware
6 – Tutti i dispositivi che lo consentono sono dotati di software di protezione (antivirus, antimalware, ecc…) regolarmente aggiornato.
Gestione password e account
7 – Le password sono diverse per ogni account, della complessità adeguata e viene valutato l’utilizzo dei sistemi di autenticazione più sicuri offerti dal provider del servizio (es.autenticazione a due fattori).
8 – Il personale autorizzato all’accesso, remoto o locale, ai servizi informatici dispone di utenze personali non condivise con altri; l’accesso è opportunamente protetto; i vecchi account non più utilizzati sono disattivati.
9 – Ogni utente può accedere solo alle informazioni e ai sistemi di cui necessita e/o di sua competenza.
Formazione e consapevolezza
10 – Il personale è adeguatamente sensibilizzato e formato sui rischi di cybersecurity e sulle pratiche da adottare per l’impiego sicuro degli strumenti aziendali (es. riconoscere allegati e-mail, utilizzare solo software autorizzato, . . . ). I vertici aziendali hanno cura di predisporre per tutto il personale aziendale la formazione necessaria a fornire almeno le nozioni basilari di sicurezza.
11 – La configurazione iniziale di tutti i sistemi e dispositivi è svolta da personale esperto, responsabile per la configurazione sicura degli stessi. Le credenziali di accesso di default sono sempre sostituite.
Protezione dei dati
12 – Sono eseguiti periodicamente backup delle informazioni e dei dati critici per l’azienda (identificati al controllo 3). I backup sono conservati in modo sicuro e verificati periodicamente.
Protezione delle reti
13 – Le reti e i sistemi sono protetti da accessi non autorizzati attraverso strumenti specifici (es: Firewall e altri dispositivi/software anti-intrusione).
Prevenzione e mitigazione
14 – In caso di incidente (es. venga rilevato un attacco o un malware) vengono informati i responsabili della sicurezza e i sistemi vengono messi in sicurezza da personale esperto.
15 – Tutti i software in uso (inclusi i firmware) sono aggiornati all’ultima versione consigliata dal produttore. I dispositivi o i software obsoleti e non più aggiornabili sono dismessi.

Fonte:(LaSapienza, CINI, 2016)

Keylogging è uno strumento che infetta il computer

Scritto da Marketing Gestionale Toscana on . Postato in Blog

Keylogging è uno strumento che infetta il computer

Il Keylogging é la registrazione di sequenze di tasti che vengono battuti su un computer, spesso senza il permesso o la conoscenza dell’utente. Un keylogger può essere basato su hardware o software e ha i suoi usi come strumento di monitoraggio IT personale o professionale legittimo. Tuttavia, la registrazione dei tasti può essere utilizzata anche a scopi criminali. Più comunemente, la registrazione di sequenze di tasti è uno spyware dannoso che viene utilizzato per acquisire informazioni riservate, come password o informazioni finanziarie, che viene poi inviato a terzi per lo sfruttamento criminale.

Perché il keylogging è una minaccia

Quando non si è sicuri che tutto ciò che si digita sulla tastiera del computer è in fase di registrazione, è possibile che le password, i numeri delle carte di credito, le comunicazioni, i numeri di conto finanziario e altre informazioni sensibili vengano inavvertitamente rivelate a terzi. I criminali possono sfruttare le informazioni accedendo ai tuoi account prima ancora di sapere che i tuoi dati sensibili sono stati compromessi

Il malware di Keylogger può risiedere nel sistema operativo del computer, a livello di API della tastiera, nella memoria o al livello del kernel stesso. Keylogging può essere difficile da rilevare perché non causa sempre problemi evidenti al computer, come processi lenti o problemi tecnici. Può essere difficile da rilevare anche da alcuni programmi antivirus perché lo spyware è bravo a nascondersi – spesso si presenta come normale file o traffico e può anche potenzialmente reintegrarsi.

Fortunatamente, è possibile proteggere il computer dal software keylogger. Mantenere aggiornati il sistema operativo, i prodotti software ei browser Web con le ultime patch di sicurezza devono sempre far parte della soluzione di sicurezza, ma la migliore difesa è installare un buon prodotto anti-spyware che protegga dal malware di keylogging, o completa la soluzione di sicurezza Internet con funzionalità avanzate per sconfiggere il keylogging.



 

Vishing è la versione voce del tradizionale phishing

Scritto da Marketing Gestionale Toscana on . Postato in Blog

Vishing è la versione voce del tradizionale phishing

Vishing è la versione voce del tradizionale phishing,

Il contatto avviene via telefono con lo scopo di entrare in possesso dei dati finanziari della vittima.

La strategia è quella di apparire come un incaricato di un istituto bancario/finanziario o di un gestore di carte di credito in ogni caso vengono offerti vantaggi economici rispetto a quelli normalmente di mercato. Il primo accorgimento del criminale è quello di apparire come residente nella zona della vittima ricorrendo a mascherare il numero di telefono da cui chiama.

Molto spesso la prima parte della conversazione avviene automaticamente a mezzo computer  con frasi standard impostate per suscitare curiosità e urgenza per il  proseguo della conversazione.

Passata questa prima fase entra nella conversazione il criminale che inzia  fare domande più specifiche chiedendo quanto si spende per i vari servizi  finanziari  ed iniziando a offrire costi sempre più bassi cercando di coinvolgere la vittima.

 Il passo successivo è quello di chiedere dati per un riscontro oggettivo delle possibiltà di diventare loro cliente come ad esempio il numero della carta di credito per controllare se sia ancora attività e risponda alle loro esigenze per concedere quanto promesso.

Anche i dati personali più generici possono interessare il criminale per arrivare comunque a sostituire la vittima in tutto quello possa essere  loro utile a trasferire le disponibilità finanziarie.

Nel caso la vittima designata inizi a fere richieste  come la rimozione del suo nome dai loro elenchi oppure richieste specifiche sulla persona che chiama le telefonate vengono interrotte immediatamente.


 
 

Segui Nuvola Toscana!