KNOWLEDGE BASE

Knowledge Base
1Backup
Acronis
Antivirus
Email
Firewall
GFI Software
Mail
Monitoring
N-Able
Sicurezza
TSPlus
Diventa Autore per CoreTech | Scopri di più

MSP e gestione privacy del cliente

Oggi l’MSP riveste un ruolo importante nell’ambito della gestione privacy dei clienti che assiste ed anzi è una figura chiave; diventa quindi fondamentale per esso, acquisire competenze in ambito privacy perché le competenze dell’MSP sono molto utili alle aziende nello svolgimento degli adempimenti agli obblighi imposti dal GDPR.

Per esempio nell’assistenza per analisi e gestione del rischio l’MSP è determinante perché ha le competenze per sapere dove cercare le vulnerabilità IT e come minimizzarne gl effetti.

Qui ci sono due tesi: una è che l’analisi e gestione del rischio del cliente deve essere fatta da una figura terza e l’altra tesi dice che invece (art. 28 GDPR) il soggetto terzo (MSP) deve prestare assistenza e collaborazione nella redazione.

In ogni caso l’azienda che fa da sé  l’analisi e gestione del rischio, molto spesso non ne ha le competenze e quindi è come se non l’avesse fatta.

È chiaro che la collaborazione da parte dell’MSP in grado anche di esibire una proposta di analisi e gestione del rischio con notivazioni merito alla valutazione degli asset che sono stati impiegati, dei tipi di dati che vengono trattati, di collegamento del rischio che hanno quegli asset in relazione alle minacce, ai dati trattati ecc. è ben accetta dalle aziende.

Come l’MSP può aiutare i clienti in ambito privacy

Quale aiuto può dare un MSP al suo cliente in ambito privacy dipende non solo dalle competenze tecniche ma anche da come il provider si propone e dal fatto che il cliente voglia o meno questo aiuto, perché a volte l’MSP non viene chiamato in causa: l’azienda ha un consulente terzo che si occupa di privacy e GDPR che magari prepara tutto il materiale relativo ad  analisi e gestione del rischio e non si capisce come faccia a preparare tutte le informazioni richieste senza interloquire con il System integrator o MSP che gestisce i sistemi IT del cliente e che ha una visione sicuramente più completa.

Per essere conforme alla normativa diventa necessario modificare asset, programmi, software e anche la stessa configurazione della struttura informatica di un’azienda; eppure ancora oggi molti clienti non percepiscono tale concetto.

Questa potrebbe essere un’opportunità per l’MSP di instaurare una relazione col cliente per sistemare la rete e tutte quelle cose che non vanno bene e potrebbero minare la sicurezza dei dati, ma anche per la fornitura di nuovi servizi dedicati al rispetto della privacy, soprattutto perché gestire le infrastrutture dei clienti implica di venire in contatto con i dati che essi manipolano e conservano e quindi di dover avere competenza in merito alla privacy e alla tutela del dato.

Si tratta quindi di un’opportunità di business per gli MSP, in quanto la normativa privacy obbliga a modificare anche le strutture tecniche, gli apparati tecnici, gli strumenti informatici utilizzati dalle aziende e quindi a passare da tecnici del settore IT.

Privacy e GDPR possono però rappresentare sfide impegnative per gli MSP, perché se è vero che aumenta il lavoro per adeguare le infrastrutture e i software delle aziende, è vero altrettanto che ispezioni e sanzioni da parte del Garante possono coinvolgere chi fa assistenza IT e fornitura di soluzioni informatiche aziendali. E per essere conforme alla privacy, il provider deve fornire soluzioni concepite nel rispetto del GDPR.

In quest’ottica l’MSP deve valutare come gestire clienti che non lo coinvolgono nell’analisi e gestione dei rischi, perché tenerseli espone al rischio di incorrere in sanzioni e comunque di accollarsi responsabilità per ciò che il cliente fa senza metterlo al corrente.

In casi del genere, se si intende mantenere il cliente occorre quantomeno mettere per iscritto che si è fatta un’analisi della sua situazione IT esponendo le vulnerabilità riscontrate, avvertendolo che laddove non intenda provvedere l’MSP sarà manlevato e non responsabile in caso di ispezioni perché dimostrerà che un evento sinistro verificatosi non è dipeso da esso.

Essere conformi al GDPR e alle norme sulla privacy è un valore aggiunto per l’MSP che voglia accreditarsi presso la clientela, specie quella di alto profilo; ed è qualcosa che va fatto notare.

Ma è anche, da parte di un fornitore IT che progetta un’indrastruttura grande o piccola, un obbligo di legge, perché il provider deve progettare e fornire soluzioni adeguate al GDPR in relazione al tipo di dati gestiti e di attività del cliente (concetto di privacy by design).

Oggi non è più concepibile l’idea di proporre un servizio informatico, software o infrastruttura IT che non sia conforme alla tutela privacy; se il cliente non intende accettare l’offerta perché costosa, non vuole ad esempio un firewall, non vuole il backup gestito dall’MSP ecc. bisogna valutare se lasciarlo, perché può esporre a danni che superano di molto il denaro che offre per il contratto.

Siccome un’analisi di rischio impegna tempo e risorse e spesso un cliente non comprende perché la dovrebbe pagare, si può valutare di offrirgliela compresa nell’assistenza, recuperando poi con il lavoro che andrà fatto per adeguare l’infrastruttura; per un provider IT che conosce i propri clienti non è difficile sapere cosa non è a posto presso di loro.

Un modo per valore valorizzare l'attività svolta in ambito privacy è rendere consapevole il cliente della delicatezza del tema, magari attraverso dei seminari, momenti di e-learning dedicato e altri metodi informativi sulle conseguenze dell’inadeguatezza.

Va ricordato che MSP significa essere il gestore delle infrastrutture del cliente, non essere soccorritori del cliente che chiama solo quando ha un problema; e la compliance GDPR è parte di tale gestione.

Un MSP ha una relazione stabile col cliente, che gli corrisponde un canone per dei servizi, tra i quali ci va almeno l’analisi base e la gestione del rischio; se poi il cliente, una volta sensibilizzato sul tema vuole un’analisi approfondita o sinergizzata col suo responsabile o consulente privacy di fiducia, si può valutare l’idea di chiedere un corrispettivo a parte.

Se è vero che l’MSP può e deve aiutare il cliente a raggiungere la compliance privacy, è vero altrettanto che deve redigere un proprio DPA che lo tuteli da inadempienze della clientela, evitando di sottoscrivere un generico DPA che il cliente gli pone come condizione per lavorare; sicuramente per un MSP è impossibile, se ha 50 clienti, analizzare e sottoscrivere 50 DPA distinti uno dall'altro, diversi tipi di contratto che hanno regole diverse e che spesso sono contratti capestro con i quali il cliente scarica ogni responsabilità sul provider.

Meglio ancora, bisogna avere sempre pronto un DPA, magari pubblicato sul proprio sito web come fosse una carta dei servizi, in modo che i potenziali clienti sappiano che il provider ha delle regole e che se contesta un DPA sottoposto dal cliente di turno non lo fa per scansare responsabilità. Si evitano così tensioni e malintesi.

A propria tutela l’MSP può mettere per iscritto che si solleva da responsabilità derivanti da Data Breach in caso rilevi un’anomalia che il cliente non vuole risolvere; questo in forza dell’articolo 1227 del Codice Civile secondo cui il danneggiato e che è un creditore nei confronti del danneggiante non può chiedere risarcimento dei danni che con una condotta diligente avrebbe evitato.

Ruolo dell'MSP nella gestione Data Breach e dei Diritti interessati

Quella dell’MSP è oggi una figura chiave nell’ottemperanza al GDPR, soprattutto per quel che riguarda la gestione data breach e la possibilità di garantire i diritti degli interessati in materia di trattamento dei dati personali.

La gestione Data Breach richiede la pertecipazione attiva dell’MSP, che deve concordare una procedura per la gestione degli eventi; il GDPR impone una serie di adempimenti che sono in parte tecnici e in parte legali, ma che il tecnico deve essere in grado di gestire, prendendo decisioni con una certa velocità, avendo quindi capacità di valutare in modo immediato questo quest’aspetto.

Un adempimento fondamentale e complesso è la Gestione del Rischio secondo l’art. 32 GDPR, correlato all’assistenza in caso di Data Breach (art. da 32 a 36). L’MSP deve assistere il cliente nella gestione del rischio, concordare degli audit che cliente può fare relativamente alle strutture, controllare eventuali sub-responsabili del trattamento che esistono nel caso ci si avvalga di terzi per la fornitura di server, servizi Cloud o simili (sub-responsabili del trattamento sono anche i fornitori di infrastrutture di cui l’MSP si avvale per svolgere la propria opera a favore del titolare del trattamento).

Redigere la procedura di gestione Data Breach è determinante anche per l’operatoree IT e la sua azienda, perché oggi sempre più realtà, prima di stipulare un contratto con un MSP, chiedono se ha l’analisi del rischio relativamente alla sua attività;un provider che non sappia spiegare cosa farà in caso di effrazione dei sistemi e fuga di dati non fornisce garanzie al cliente né lo rassicura in merito agli obblighi che esso ha alla luce del GDPR.

La gestione Data Breach è una procedura da seguire in caso di effrazione o di penetrazione dei sistemi da parte di malware, che espone quali strumenti adottare tra quelli disponibili, come identificare il livello di gravità e valutare se avvertire il titolare del trattamento, indirizzare verso l’eventuale segnalazione al Garante ecc.

Le valutazioni sul fare o meno la notifica al Garante perché c’è un rischio probabile o non c'è un rischio probabile, devono essere svolte entro le 72 ore, cos’ come la comunicazione agli interessati, ossia quelli i cui dati sono stati oggetto di effrazione o perdita, considerando che se c’è un rischio elevato occorre procedere senza ingiustificato ritardo, quindi anche prima delle 72 ore lasciate dal GDPR.

Quindi l’MSP si trova nella situazione che a fronte dell’evento deve fare tutta una serie di adempimenti e per l’eventuale notifica al Garante è necessario seguire una procedura ben chiara e precisa, compilando un modulo abbastanza complicato che racchiude queste ed altre informazioni; bisognerà anche comunicare al Garante la natura della violazione e indicare quei contenuti che gli sono necessari per consigliare al titolare del trattamento cosa fare in relazione all’evento data breach: ad esempio rifare le analisi, ricercare copia (se esiste) dei dati se si sono perduti, perché magari il backup non ha funzionato.

Per essere GDPR compliance, l’MSP deve poter dare supporto immediato ed avere chiaro cosa  fare nell’immediato, perché ad esempio in caso di attacco informatico è l’MSP che deve intervenire con le operazioni del caso: certo non può farlo il cliente.

Altrettanto importante è il ruolo dell’MSP nella tutela dei diritti degli interessati: l’articolo 12 paragrafo 1 e in particolare l'articolo 5 paragrafo 2 del GDPR stabiliscono che il titolare è obbligato ad adottare misure appropriate per garantire l'esercizio dei diritti da parte degli interessati e una delle violazioni che il Garante sanziona più pesantemente è il non avere predisposto misure idonee a soddisfare e garantire i diritti degli interessati. Questa condotta viene vista come un dolo, come una consapevolezza di non voler rispettare il regolamento e quindi viene sanzionata pesantemente.

In quest’ottica è importante la formazione all’interno dell’azienda sui diritti degli interessati 

Tra gli adempimenti preventivi c’è sicuramente la redazione di un modulo on-line di esercizio dei diritti per cui l'interessato che lo chiede ha direttamente la possibilità compilarlo ed esercitare i diritti in modo facile ed accessibile; ciò semplifica anche il lavoro del titolare del trattamento, perché permette di organizzare meglio la gestione e di avere una tempistica certa di evasione delle richieste, nonché di avere un registro delle richieste degli interessati per poter catalogare ed elencare queste richieste, che potranno essere utili anche per dimostrare il rispetto dell’obbligo di tutela dei diritti degli interessati.

Occorre un referente privacy interno che si occupi delle richieste degli interessati, che deve avere i poteri necessari per chiedere alle altre funzioni aziendali informazioni necessarie per rispondere ai diritti degli interessati. Ad esempio se l’interessato chiede di avere accesso ai propri documenti, il referente privacy deve avere la possibilità di ottenere questi documenti.

Bisogna inoltre stabilire clausole contrattuali che possano permettere di tutelare i diritti dell’interessato; tipicamente il titolare del trattamento che si avvale di un MSP pretende che sia questo  incaricarsi di fare un’estrazione di dati o vedere, in caso di accesso ai dati, chi lo ha eseguito, ma anche, ad esempio, se in un sito web si cita un determinato interessato e questo chiede la cancellazione del dato corrispondente, il provider deve poter cancellare quel dato.

Tra i diritti degli interessati figura proprio quello di cancellazione dei propri dati personali memorizzati dal titolare del trattamento: se un software, una piattaforma o qualcos’altro impedisce l’esercizio di tale diritto, per un difetto di autorizzazione degli addetti o una limitazione tecnica, si incorre nelle sanzioni del Garante.

E qui si torna al ruolo determinante del provider, che può garantire il principio della privacy by design, perché ad esempio cancellare i dati in un sistema che magari ha 5 o 6 backup collocati su storage diversi e parte in Cloud, può non essere così sempplice se il sistema è mal progettato.

Anche il diritto di limitazione del trattamento è qualcosa che richiede attenzione: comporta il contrassegno di certi set di dati che pertanto devono essere “congelati” fino a liberatoria del richiedente e richiede una serie di risorse tecniche che solo l’MSP o consulente informatico può fornire. Idem per il diritto alla portabilità dei dati personali.

Il settore della gestione dei diritti degli interessati apre all’MSP molte possibilità di lavoro, proprio per le implicazioni tecniche degli adeguamenti alle norme.

Analisi pratica del rischio per l’MSP

Per eseguire e documentare un’analisi del rischio ci si può aiutare con strumenti software di utilizzo comune quali i fogli di calcolo: Excel, per esempio. Di seguito proponiamo un esempio pratico di utilizzo di Excel con cui è stata creata una cartella contenente sei fogli di calcolo opportunamente strutturati per contenere ciascuno alcuni degli elementi riguardanti l’elenco degli adempimenti per la gestione del rischio. Nello specifico è stata fatta l'analisi del contesto in una scheda che considera gli 11 criteri seguenti:

Poi è stato definito l’organigramma definendo i vari ruoli privacy, una mappatura dei trattamenti, il registro dei titolari e responsabili del trattamenti, la mappatura degli asset (risorse informatiche) e valori RID, le tabelle di minacce, impatto, probabilità, vulnerabilità, gravità, controlli ecc. Sempre su fogli Excel sono state fatte le analisi rischio puro e residuo ed anche degli strumenti per la mappatura degli accessi logici e fisici, perché è richiesto sia di fare la mappatura di tutte le risorse informatiche attribuendo la gestione degli accessi logici relativi ai componenti dell’organizzazione, sia di mappare gli accessi fisici alle strutture dell’organizzazione, quindi la gestione delle chiavi, di telecomandi apricancello, badge e quant’altro, per sapere sempre chi ha accesso a che cosa e in quali orari. Questo, per realtà con molti addetti e molti luoghi dove si trovano i dati personali, non può che essere fatto con uno strumento informatico.

Infine è stata compresa la gestione del registro Data Breach.

Nell’immagine seguente vedete come si presenta il foglio Excel principale di questa cartella, dove tramite pulsanti si accede alle funzioni specifiche e ai fogli collegati, che sono per esempio analisi del contesto aziendale, creazione degli organigrammi, mappatura dei trattamenti, registro dei trattamenti, inventario degli asset.

Prendiamo ad esempio il Contesto, per il quale è stata creata una scheda che contiene l’analisi del rischio nel contesto in cui opera l’organizzazione, in cui si compilano 11 campi con altrettante categorie di rischi collegati a determinati oggetti di analisi che si vanno a fare (immagine seguente). Accanto alla descrizione/motivazione si attribuisce un valore indicativo del rischio da 1 a 5 e si scrive un giudizio di rischio.

Tale approccio permette di capire se l’attività in relazione al contesto in cui si svolge è ad alto rischio o basso rischio; i criteri non sono assoluti, ma ragionevolmente realistici. Per esempio avere un’attività con tanti dipendenti con alto turnover è molto più a rischio per i dati personali rispetto ad una dove ci sono pochi dipendenti e un basso turnover. Idem per le attività che contano su personale all’estero, perché il fatto che i dati personali possano essere gestiti anche da filiali estere è indubbiamente più rischioso per la privacy: ad esempio perché nelle altre nazioni potrebbero esserci criteri di tutela meno restrittivi.

Banner

La scheda finisce con una valutazione globale del rischio (immagine seguente) fatta con un punteggio che prende in considerazione tutti i campi precedenti.

Molto importante per l’MSP è la redazione di un foglio Excel che analizza l’infrastruttura per tipologia di asset; per ogni asset, gruppi e tipologie di essi vengono identificate ed evidenziate minacce e vulnerabilità (per esempio la mancata cifratura dei dati su disco, che in caso di furto ne permette la lettura, ma anche la mancanza di consapevolezza sulla sicurezza dei dati), a ciascuna delle quali è assegnato un punteggio che permette di eseguire in automatico dei calcoli di rischio residuo. Proprio per la vulnerabilità correlata al furto di un PC grande mobile, la mancata cifratura o protezione dei dati del disco porta a rischio per quanto riguarda la sicurezza, integrità e disponibilità di livello medio-alto.

Per quanto riguarda la gestione del rischio residuo si riporta per esempio un gruppo di asset e il rischio che sussiste prima e dopo l’adozione delle contromisure indicate nel prospetto, valutandolo per entità e idealmente rendendolo un rischio accettabile.

Tra le contromisure si possono citare, in caso di furto di apparecchiature come client mobili (notebook) la cifratura dei dati contenuti nelle memorie di massa: per esempio con Bitlocker per Windows.

Banner

Nel foglio si può assegnare un colore diverso al livello di rischio per ciascuna vulnerabilità, in modo da distinguere quello puro dal rischio residuo e da contrassegnare lo stato di gestione della singola vulnerabilità: rilevata, documentata e rimediata.

Nell’immagine seguente è proposto un esempio base di mappatura degli asset su foglio Excel, dove per ogni asset viene attribuita una categoria: infrastruttura, hardware corrispondente e software installati, personale che lo utilizza.

Per ciascuna delle categorie di asset occorre mettere una descrizione necessaria a identificare ciascuno, un’eventuale descrizione del gruppo di appartenenza e soprattutto la definizione del tipo di trattamento effettuato dal gruppo o dal singolo asset. Questo serve a determinare il livello di criticità di una macchina a e a sapere quale deve essere maggiormente protetta (immagine seguente).

Collegare ogni gruppo di asset ai relativi trattamenti facilita l’attribuzione dei valori RID (Riservatezza, Integrità, Disponibilità) in relazione alle conseguenze che ci sarebbero per l’interessato se venisse violata la riservatezza, integrità o disponibilità (immagine seguente).

Da questa prima mappatura dei trattamenti si può creare un foglio che riporta l’impatto delle minacce, dove vengono mappate tutte le minacce e si attribuiscono i valori RID in base a probabilità, giudizio di probabilità, categoria o gruppo di appartenenza (eventi naturali, intenzionali ecc.).

Passiamo adesso a vedere un esempio di come può essere descritto l’organigramma aziendale in un foglio di Excel; nel caso dell’esempio proposto, sono elencati tutti i soggetti coinvolti nel trattamento e per ogni soggetto si va ad attribuire l’unità organizzativa e anche il ruolo relativamente alla gestione della privacy (immagine seguente).

 

Questa forma di esposizione consente anche di definire e valutare l’importanza della persona e l’impatto sulla tutela della privacy.

È possibile inserire un organigramma a scaletta (è uno degli strumenti offerti da Excel) dove sono visibili immediatamente i ruoli e la relativa gerarchia rispetto al trattamento.

Creare questo organigramma a scaletta permette di scrivere i compiti assegnati ed è utile perché sebbene l’articolo 2 quater-decies secondo comma del codice in materia di tutela della Privacy, così come riformato dal decreto legislativo 101/2018, prevede che per l’attribuzione dell’autorizzazione ai soggetti che sono sotto la diretta autorità del titolare del trattamento, lasci una certa libertà,  creare un organigramma che evidenzi quali sono le autorizzazioni e i compiti assegnati alle singole unità organizzative e a coloro che vi appartengono, facilità il rispetto delle regole. Un esempio di organigramma gerarchico a scaletta è proposto nell’immagine seguente.

 

Passiamo ora a un foglio di Excel che propone un esempio di mappatura dei trattamenti, dove abbiamo inserito un codice identificativo interno (ID) un ambito, una descrizione sintetica, l’organizzazione e quant’altro attiene al trattamento, come ad esempio la tipologia, il ruolo chi si occupa del trattamento e a che livello, nonché la valutazione se quel determinato trattamento risponde alle esigenze di fare una DPIA (valutazione di impatto del trattamento - Data Protection Impact Assessment).

Poi si inseriscono i dati trattati divisi per categorie: dati personali, sanitari, giudiziari ecc.

 

Sempre con Excel è possibile redigere il registro dei trattamenti, nel cui foglio si può dividere il trattamento fatto sia come titolare o contitolare, sia come responsabile.

Poi nel registro del titolare c’è da inserire i trattamenti che si fanno in qualità di titolare, ossia quelli gestiti direttamente dal responsabile dell’organizzazione (immagine seguente).

 

Banner

Questa suddivisione permette di identificare quali sono i trattamenti che fanno capo a ciascun addetto dell’azienda.

Dalla cartella di lavoro Excel è anche possibile estrarre un’analisi del rischio della struttura aziendale; in questo caso l’obiettivo dell’MSP è creare uno strumento in grado di creare dei grafici di vario genere, magari a torta e a istogrammi che evidenzino la situazione del cliente utilizzando il colore verde per gli ambiti che sotto l’aspetto del rischio puro (senza mitigazione) sono a posto e in rosso le aree in cui il rischio è elevato; lo stesso si può ripetere per la valutazione del rischio residuo (quello che non può essere annullato nemmeno adottando contromisure) in modo che il cliente sia informato in maniera chiara sulla condizione dei propri sistemi IT e su quali accorgimenti sarà necessario adottare per coprire le vulnerabilità riscontrate.

Questo documento inviato al cliente attraverso un metodo tracciabile via e-mail o, meglio anora, PEC, sortisce per l’MSP due effetti:

  • mette il cliente di fronte alla situazione e questo sa che a quel punto se non rimedia non può cercare di coinvolgere il provider al verificarsi di un incidente;
  • se arriva al cliente un’ispezione della Guardia di Finanza, che inevitabilmente si estende al fornitore di assistenza informatica, l’MSP può dimostrare di aver adottato la diligenza del caso ed essere esonerato da responsabilità e procedimenti sanzionatori.

Vedete quindi come lo strutturare l’analisi consenta poi di automatizzare e semplificare adempimenti e operazioni che anche l’MSP si trova a svolgere.