No results found
di Claudio Agnesani
L’avvento del GDPR ha cambiato molte delle prassi adottate dalle aziende per la gestione documentale e per la posta elettronica; in questo tutorial scopriremo come impostare 1BACKUP e MailArchive per ottemperare al GDPR (General Data Protection Regulation- Regolamento UE 2016/679).
Il GDPR coinvolge tutte le aziende che trattano dati personali ed è divenuta effettiva dal Maggio 2018; tutti gli interessati dovranno aver adottato le adeguate misure per minimizzare i rischi di violazione, perdita o distruzione dei dati personali che il GDPR si prefigge di tutelare.
La direttiva non precisa che mezzi utilizzare, ma dà la libertà al titolare del trattamento di scegliere gli strumenti più adeguati per ottemperare a quanto richiesto. Infatti l’articolo 32 della direttiva dà libertà al titolare del trattamento di ’’mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio.’’
Scopo di questo tutorial è valutare i due servizi CoreTech in Cloud visti dal punto di vista del GDPR, quindi faremo una carrellata veloce sul disposto del GDPR, per arrivare a vedere come questa normativa può essere adempiuta tramite l’utilizzo delle Cloud di CoreTech.
Partiamo con un estratto dei principali del GDPR che devono essere considerati per la protezione dei dati personali in un’ottica informatica.
Art 2 - … il regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali….
Art. 3 - … si applica al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento …
Art. 4 - Vengono riportate definizioni come: profilazione (fatta automaticamente), pseudonimizzazione, archivio, violazione dei dati personali.
Art. 5 -...trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti o dalla perdita, dalla distruzione o dal danno accidentale.
Art. 24. … il titolare del trattamento mette in atto misure tecniche adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è conforme…
Art. 25. … tenendo conto dello stato dell’arte e dei costi di attuazione, dell’ambito di applicazione, dei rischi, gravità, libertà, ecc… vanno messe in atto misure tecniche … volte ad attuare in modo efficacie i principi di protezione dei dati… vanno messe in atto misure tecniche per garantire che siano trattati per impostazione predefinita, solo i dati personali necessari …
Art.30 … ogni titolare e rappresentante tengono un registro delle attività di trattamento svolte …
Art. 32 … Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio …
Art. 33 … In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all'autorità di controllo competente … senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all'autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo …
Art. 37…Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati…le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
art. 39 …Il responsabile della protezione dei dati è incaricato almeno dei seguenti compiti:
… informare e fornire consulenza al titolare del trattamento … sorvegliare l'osservanza del presente regolamento … compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo… fornire, se richiesto, un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento …
Artt. dal 40 al 43: definiscono le policy di certificazione.
Artt. 83 e 84 Sanzioni: … in conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell'esercizio precedente …In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente...
Considerando quanto richiesto dal GDPR, i vostri clienti vi coinvolgeranno sicuramente nell’adempimento di questa normativa per quanto riguarda l’aspetto informatico della conservazione dei dati e dovrete essere preparati a consigliare le soluzioni tecniche adeguate.
Vi verrà quasi certamente chiesto di fare un’analisi dei sistemi informativi per capire come sono strutturati e se sono in grado di fare quello che il GDPR chiede e, in caso, di trovare e implementare le corrette soluzioni per ridurre i rischi.
Ecco alcuni degli elementi da valutare nella scelta di un sistema di salvataggio dati e posta elettronica GDPR-compliant:
Gli articoli 33 e 34 dispongono che relativamente ai dati “personali” conservati, trasmessi o trattati dall'azienda, nel caso di violazioni, distruzione o diffusione indebita ad esempio a seguito di un attacco informatico, accessi abusivi, incidenti o altre calamità è necessario attivare la procedura di Data Breach Notification.
Entro 72 ore dal rilevamento dell’incidente deve essere notificato al Garante della Privacy e in alcuni casi anche al diretto interessato (chi è coinvolto nei dati).
A riguardo va detto che ci sono casi evidenti nei quali il rilevamento coincide con l’evento stesso: ad esempio se si verifica un episodio distruttivo come un terremoto, un incendio, un allagamento, data e ora dell’evento sono inequivocabili.
Altro esempio è quando i dati compromessi vengono criptati da un ransomware, perché la data dell’incidente coincide con la modifica dei file.
Questi sono esempi di situazioni dove non è necessario predisporre sistemi di controllo; ma le violazioni o le perdite di dati non sono tutte così inequivocabili: un incidente o violazione (non necessariamente intesa come accesso non autorizzato) può avvenire a tanti livelli o può anche solo essere un tentativo non riuscito, oppure può essere un tentativo riuscito e in teoria lecito, ma non autorizzato.
Di fronte a casi di accesso, distruzione o diffusione dei dati, occorre una strategia per adempiere a quanto richiesto dal GDPR, la quale va adattata al caso singolo.
CoreTech propone due soluzioni per la conservazione dei dati e delle e-mail che permettono di ottemperare a quanto richiesto dal GDPR, in termini di controllo, crittografia e conservazione: si tratta di 1Backup e MailArchive.
1Backup è la soluzione per il backup in cloud che permette di salvare dati, interi database (Oracle, Exchange, Lotus, Domino) nonché intere macchine virtuali; per quanto riguarda le VM, con questa soluzione possiamo salvare a caldo (senza arrestare la macchina) su Internet, quindi all’esterno dell’azienda, tutte le tipologie di dati.
Il salvataggio di questi elementi avviene eseguendo una cifratura a 256 bit prima del trasferimento in cloud che avviene in TSL v1.2. 1Backup rende disponibili tre algoritmi di cifratura: AES, Twofish o DESede.
Quindi ci sono tre diversi tipi di algoritmo e la possibilità di inserire una password per il ripristino, ovvero si può anche avere la protezione per il recupero e una che non permette di fare il backup in Cloud dei dati aziendali senza password. Il dato rimane salvato in cloud cifrato e compresso e non è recuperabile se non si è in possesso della password di cifratura, il che offre la protezione secondo quanto richiesto dall’art 32 del GDPR.
Lo scopo della crittografia è proteggere la riservatezza e la sicurezza dei dati salvati:
Il meccanismo di protezione è schematizzato nell’immagine seguente.
1Backup conserva il dato in un formato che lo rende illeggibile in caso di furto permettendo di ottemperare al disposto della direttiva come richiesto dagli artt. 24 e 25
Il backup con il prodotto viene effettuato a blocchi e il dato non è visibile semplicemente accedendo alla struttura di dati (immagine seguente). Questo tipo di visualizzazione è il medesimo sia in back-end, sia sul server di backup.
Questo aspetto deve essere considerato, soprattutto in caso venga fatta una copia del backup in locale, oltre che in cloud.
1Backup permette l’accesso a NAS locali (cioè esterno al dominio aziendale) con autenticazione separata, ossia diversa da quella di dominio; questo offre un più elevato livello di sicurezza dall’effrazione, per esemprio offrire maggior protezione da attacchi ramsomware.
1Backup è uno dei più veloci servizi di backup, dotato di tutte le tecnologie di ottimizzazione della velocità, tra cui multi-threading, In-File Delta, indicizzazione veloce, ottimizzazione file di piccole dimensione, filtro di esclusione di file indesiderati, ecc.
Il tutto è reso possibile, nel servizio Cloud, da connessioni in fibra ottica ad altissima velocità direttamente verso l’infrastruttura CoreTech.
Passiamo ora a MailArchive, che è il servizio di CoreTech per l’archiviazione delle e-mail in cloud. L’applicazione che sta alla base di questo servizio è MailStore SPE (Service Provider Edition) e permette di archiviare le e-mail presenti sui server e sui profili client degli utenti, trasferendo i dati in un ambiente cloud.
La conservazione della posta elettronica all’esterno dell’azienda permette di recuperarla in caso di perdita di quella che si trova nei server aziendali, quindi rispetta le prescrizioni in materia di Disaster recovery.
Il servizio offerto da MailArchive garantisce la conservazione del dato secondo i seguenti parametri:
Nello specifico, possiamo impostare i privilegi di accesso all’archivio, i criteri di conservazione delle e-mail archiviate, la conservazione ai fini giudiziari e le modalità di accesso come revisore.
Per quanto definito dagli Artt 32 e 33 bisogna prendere in considerazione:
Riguardo alla nazione, è importante considerare che per la Pubblica Amministrazione e in generale per gli enti pubblici, è richiesto che i dati siano salvati su server e farm localizzati sul territorio italiano.
Sia con 1Backup che con MailArchive è possibile definire accessi differenziati per rivenditore e cliente finale, impostando diritti di sola lettura o lettura e scrittura per ciascun account.
I dati salvati con 1Backup e MailArchive vengono custoditi nel cloud di CoreTech e la Farm utilizzata è SUPERNAP Italia.
1Backup e Mail Archive si gestisce normalmente (da postazione fissa) mediante una console centralizzata che è quella di Sygma, che è un portale di CoreTech; l’immagine seguente mostra la Dashboard di 1Backup a sinistra della quale notiamo tutte le voci di menu corrispondenti alle funzioni disponibili e in centro la programmazione dei backup e un grafico a torta riportante la ripartizione delle risorse.
La console centralizzata di Sygma, che è la soluzione CoreTech da cui si accede ai prodotti Mail Archive e 1Backup.
Essendo fondamentalmente una soluzione client-server, la logica è che abbiamo una componente server corrispondente alla parte gestionale, cui accediamo con la console centralizzata tramite il nostro client; la console centralizzata e incorporata nel portale Sygma dove vengono gestiti i servizi offerti da CoreTech, quindi ogni utente dovrà accedere al portale mediante le proprie credenziali.
Le funzionalità visualizzate nel portale Sygma cambiano in base ai servizi abilitati per l’utente loggato; l’immagine seguente propone un tipico portale contenente tutte le funzioni ed in questo caso ci interessa 1Backup, perciò andiamo nella sezione Cloud (quella la cui icona è una nuvoletta, sulla quale dobbiamo cliccare) ed entriamo proprio nella sezione 1Backup con un clic sull’omonima voce di menu a sinistra (1BACKUP).
Da qui si apre la Dashboard che visualizza il complesso di 1 Backup, che riepiloga i backup schedulati, quelli completati, i non ancora avviati, quelli falliti e i backup per i quali sono stati prodotti warning. Quindi la finestra riepiloga eventuali errori (JOB Error) divisi per agenti installati, i backup andati a buon fine, quelli completati con successo ecc. Insomma, tutta la lista dei backup visualizzati nella Dashboard per il periodo selezionato. C’è anche una Job Timeline che mostra i job di backup assegnati a ciascun utente.
Tramite il portale Sygma, gli esiti dei backup ed eventuali operazioni di restore vengono tracciati e resi disponibili in tempo reale (con notifiche tramite e-mail), così da permettere all’azienda di comunicare nei tempi imposti dall’art 33 del GDPR l’avvenuta violazione.
Essendo il dato salvato o archiviato in cloud, in caso di distruzione e perdita dello stesso da parte dell’azienda, è possibile attivare una procedura di disaster recovery per il ripristino del dato come definito dall’art 32 comma 1b e 1c del GDPR.
Con la cifratura dei dati salvati o archiviati, un’eventuale violazione che porti all'accesso ai file non comporta un rischio per le informazioni in esso contenute, perché decriptare i dati senza chiave è attualmente impossibile.
Inoltre avere i dati in cloud in una sede diversa da quella dei propri server, consente di implementare, all’occorrenza, un efficace piano di disaster recovery, che seppure non si realizzi con il solo backup o l’archiviazione, esige almeno il backup.
Il controllo è essenziale come mezzo per governare la Data Breach, ovvero l’eventuale rilevazione della violazione; è necessario tracciare chi ha avuto accesso ai dati, quando questo è avvenuto e garantire la conservazione nel tempo dei log.
MailArchive e 1Backup consentono di avere delle notifiche di tutte le operzioni effettuate: per esempio se viene eseguito un backup o un restore di dati o di e-mail, l’amministratore del sistema può esserne informato in modo da sapere, per esempio, se qualche persona non autorizzata ha acquisito dei dati dal server su Cloud.
Riepiloghiamo ora le caratteristiche che consentono alle aziende di trarre benefici e allinearsi al GDPR attraverso l’utilizzo di strumenti come 1Backup e MailArchive.
Il controllo è essenziale come mezzo per la governance data-breach, ovvero l’eventuale rilevazione della violazione e per tracciare chi ha avuto accesso ai dati, quando questo è avvenuto e garantire la conservazione per il tempo previsto (10 anni).
1Backup offre la possibilità di semplificare e gestire con un unico portale il servizio di backup; da esso arrivano dei log, una reportistica sui backup riusciti o falliti, warning ecc. Dalla console abbiamo la possibilità di verificare i job di backup, fare modifiche sui job di backup, cambiare una password, modificare una retention o una pianificazione senza bisogno di collegarci al server o al PC del cliente, quindi tramite questo sistema basta un operatore all'interno dell’azienda per gestire tutto quanto tutto quello che riguarda il discorso di backup in maniera semplice e veloce.
Su Sygma sono disponibili i log di restore di 1Backup e i log di export di MailArchive. Quando viene effettuato un restore, automaticamente arriverà una e-mail all’utente amministratore, come già avviene per 1Backup.
L’immagine seguente propone una schermata di log di Restore di 1Backup.
Di seguito è illustrato, invece, un report completo del ripristino fornito dalla soluzione 1Backup. Quello visibile è un esempio di report di ripristino che viene inviato: come vedete rende molto semplice capire chi ha fatto il ripristino, cosa è stato ripristinato e anche che cosa è stato recuperato, quindi non solo chi e quando ha fatto ripristino, c’è anche il dettaglio di qual è il file recuperato.
Questa è una e-mail che viene inviata da 1Backup per notificare che è avvenuta una violazione, quindi poi spetta al titolare del trattamento dei dati valutare se questa operazione era lecita o meno. L'importante è che comunque venga notificata.
Sigma ci da la possibilità di avere visibilità di quello che è il processo di backup e la stessa cosa vale per MailArchive: tramite console web possiamo avere visibilità di tutto quello che succede, così da avere una gestione efficace del nostro servizio di backup e di archiviazione della posta elettronica.
1Backup è una soluzione che per facilità di gestione anche in mobilità, sia per la tecnologia implementata, è un passo avanti rispetto ai prodotti concorrenti; non tanto per la sola tecnologia di copia, compressione e criptazione del dato, quanto invece per la Governance del processo di backup.
Quanto a MailArchive, il prodotto mette a disposizione i log di controllo che identificano chi ha eseguito operazioni di accesso, modifica o cancellazione delle email archiviate. L’immagine seguente propone una schermata di log di controllo di Mail Archive.
Questo per esempio è un log di controllo che permette di filtrare le attività per intervallo temporale, nome utente ecc.
Il servizio 1Backup consente la gestione anche attraverso una comoda app installabile su tablet e smartphone per poter operare anche in mobilità e da remoto. Quindi anche il controllo dell’esito dei backup può avvenire anche tramite APP per smartphone (sono supportati i dispositivi mobile con sistemi operativi iOS e Android). Di seguito riportiamo le schermate dell’app, che sostanzialmente è una versione “mobile” della console web di Sygma già descritta.
Quindi tramite questa interfaccia mobile di Sygma è possibile gestire per intero il processo di backup in mobilità, il che permette di intervenire nei casi contemplati dal GDPR anche quando non si riesce ad arrivare fisicamente sul luogo di un evento in tempo per produrre le segnalazioni richieste dal GDPR stesso.
