È davvero necessario crittografare i tuoi dati? Non è sufficiente assicurarsi che solo le persone autorizzate possano vederlo?

Siamo andati a leggere un articolo del 20 novembre 2019 di Michael Waksman (Does GDPR Require Encryption?).


Ci sono davvero molti spunti interessanti per i quali vale la pena leggere l’articolo.


GDPR in parole semplici
Molte aziende non utilizzano la crittografia perché pensano che sia troppo complesso. In realtà la crittografia non è così complicata come appare dalla sua reputazione. Come ogni tecnologia, all’inizio ci vuole un po ‘di formazione, ma non deve pesare troppo sui dipendenti, se il delivery è fatto ad arte. In gran parte i dipendenti non dovrebbero neanche accorgersi della encryption dei loro dati.
La protezione dei dati è importante se si desidera evitare un grave rischio di responsabilità. I cittadini europei sono protetti dal Regolamento generale sulla protezione dei dati (GDPR). Esistono idee sbagliate comuni sul GDPR, come l’idea che solo le imprese europee devono preoccuparsene. Se hai a che fare con informazioni personali sugli europei, ovunque ti trovi, devi prestare attenzione ai suoi requisiti. Sono semplici e non così difficili da implementare.
Il GDPR non richiede specificamente la crittografia, ma la crittografia dei dati archiviati è il modo migliore per dimostrare la conformità e mantenere le informazioni al sicuro. Diamo un’occhiata più da vicino a ciò che richiede.


Cosa richiede il GDPR per la crittografia?
L’articolo 32, “Sicurezza del trattamento”, cita la crittografia come esempio di “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”.
Il considerando 83, con lo stesso titolo, menziona la crittografia come mezzo per mitigare il rischio.
L’articolo 6, “Liceità del trattamento”, prevede l’accertamento di “l’esistenza di garanzie adeguate, che possono comprendere la crittografia o la pseudonimizzazione”.
L’unico metodo di protezione menzionato oltre alla crittografia è la pseudonimizzazione e ha i suoi problemi. Con la pseudonimizzazione, gli identificativi personali vengono sostituiti con ID interni. Invece di vedere un nome o un ID governativo, i ladri di dati vedranno solo che il record appartiene al cliente 49524601. Qualsiasi informazione di identificazione personale, come indirizzi e numeri di telefono, deve ricevere un trattamento simile. Farlo nel modo giusto è complicato, perché spesso è possibile restringere i dati rimanenti a una persona unica. La crittografia è una forma di protezione molto più affidabile.
Se non usi la crittografia, devi essere pronto a spiegare perché no e quali protezioni stai utilizzando. Simile alla regola di sicurezza HIPAA negli Stati Uniti, il GDPR non richiede la crittografia in quanto tale, ma è meglio avere una buona ragione per non usarla.
Le autorità di vigilanza nazionali dell’UE sono i giudici della conformità al GDPR e la crittografia è un modo evidente e affidabile per convincerli che sei conforme. Il gruppo di lavoro sulla protezione dei dati dell’articolo 29, in rappresentanza delle autorità nazionali di controllo, ha rilasciato una dichiarazione in cui afferma che “la disponibilità di una crittografia affidabile e affidabile è una necessità”. Allo stesso modo, l’ICO del Regno Unito ha pubblicato una guida alla crittografia affermando che “dovresti avere una politica di crittografia in atto”.
La crittografia è la chiave per la conformità. Il Ponemon Institute ha scoperto che la crittografia estesa riduce il costo di una violazione dei dati di circa $ 125 per record. È la strada ragionevole da percorrere.


Come usare la crittografia
Per beneficiare della crittografia, è necessario affrontarla in modo intelligente. Il solo dire “Stiamo per crittografare” non è una soluzione magica a tutti i problemi di sicurezza. La tua strategia di crittografia dovrebbe iniziare con due domande:
Cosa mi serve per crittografare? Dove sono archiviati i miei dati?
La seconda domanda richiede un po ‘di spiegazione. Devi assicurarti di non trascurare alcun dato vulnerabile. Se esistono più copie di dati sensibili, assicurarsi di non lasciarli senza alcuna protezione. I dispositivi portatili sono particolarmente a rischio.
Il focus del GDPR sono i dati personali dei cittadini dell’UE. Ciò significa qualsiasi cosa che identifichi le persone o contenga informazioni sensibili identificabili personalmente. Ciò comprende:

  • Nome
  • Indirizzo
  • Localizzazione
  • Identificatore online
  • Cartelle sanitarie
  • Reddito
  • Profilo culturale

I dati devono essere protetti solo se possono essere ricondotti a un individuo. Le informazioni veramente anonime possono essere divulgate liberamente o lasciate con una protezione minima. Ma fa attenzione; anche i dati anonimi possono essere combinati per ricostruire identità individuali. È stato dimostrato che l’87% degli americani può essere identificato in modo univoco dato il loro codice postale, data di nascita e sesso. In caso di dubbio, crittografare.

Categorie di crittografia
Quando parliamo di crittografia, stiamo parlando di due tipi di problemi. C’è la crittografia “a riposo”, quando i dati sono archiviati in file e database. La protezione protezione è necessaria “in transito”, quando i dati viaggiano da un luogo a un altro. Pensa a come salvaguardare i tuoi beni quando sei a casa o in ufficio, ma anche quando sei in macchina o in autobus. Sono coinvolti diversi tipi di rischi e devi coprirli entrambi.

Crittografia a riposo
La forma più ampia di crittografia a riposo è la crittografia dell’intero disco o dell’intera unità. È essenziale per qualsiasi dispositivo o spazio di archiviazione rimovibile che potrebbe spostarsi al di fuori di un’area protetta.


Crittografia in transito
Quando invii informazioni su Internet, non sai quale percorso seguirà. I dati potrebbero passare attraverso server compromessi che hanno attive funzioni di ricerca di dati sensibili. Per proteggere i dati sensibili, è necessario crittografarli ogni volta che vanno online. Le VPN forniscono questo tipo di crittografia. La posta elettronica in genere no, quindi non è un modo sicuro per inviare informazioni a meno che non si aggiunga la crittografia end-to-end.
La forma di crittografia in transito più utilizzata è Transport Layer Security (TLS), precedentemente nota come SSL. Ogni volta che usi un link del browser che inizia con “https:”, stai utilizzando la crittografia TLS. Viene anche utilizzato per molte connessioni dietro le quinte, comprese le API che collegano i server. La maggior parte del traffico Web di oggi passa su SSL. Non solo protegge i dati inviati nei moduli dall’intercettazione, ma protegge anche dall’alterazione dei dati “man in the middle”.

Riassumendo
Il GDPR richiede la crittografia? In breve, la crittografia è il modo migliore e più affidabile per proteggere i dati degli utenti e soddisfare i requisiti del GDPR. Quando si imposta un piano di crittografia, è necessario iniziare valutando quali dati crittografare e quali strumenti utilizzare. La crittografia avanzata, tuttavia, proteggerà i dati in modo affidabile mantenendo bassi i costi. Le soluzioni di crittografia sono convenienti e facili da implementare, a condizione che tu sappia quali dati hai e dove sono archiviati.

Le azioni specifiche per proteggere i dati includono:
Utilizza la crittografia dell’intero disco, in particolare con qualsiasi dispositivo o supporto di archiviazione che non sia sempre in un luogo sicuro.
Usa la crittografia dei file per evitare problemi nel caso in cui un ladro acceda al tuo dispositivo in uno stato di accesso o capisca la password.
Per la messaggistica, utilizzare le applicazioni che crittografano end-to-end. Le e-mail e gli SMS di base non sono sicuri per nulla di riservato.
Fidati dei siti Web solo se utilizzano TLS, come indicato da un indirizzo che inizia con “https: //”. Usa TLS per proteggere il traffico del tuo sito!

La gestione centrale semplifica la crittografia
Potresti ancora pensare, dopo aver letto tutto questo, che la crittografia è complicata e intimidatoria. Ma non è così. Un sistema di gestione centrale semplifica notevolmente la crittografia, risparmiando agli utenti i dettagli tecnici. Come amministratore, hai il controllo di tutto da un unico posto. Gli utenti regolari non devono fare nulla di difficile; tutto ciò che serve è inserire una password quando aprono i loro dispositivi.
Il sistema di gestione centrale di Jetico offre agli amministratori il pieno controllo. Gli utenti non devono dedicare ore alla formazione per essere sicuri che i loro dati siano protetti. La console centrale consente all’amministratore di:

  • Distribuire automaticamente la crittografia dell’intero disco e dei file su tutti i computer.
  • Conservare tutte le password in modo sicuro nel database di gestione centrale.
  • Ripristinare i dati crittografati in caso di emergenza. Anche se gli utenti dimenticano le loro password, i dati non vengono persi

Jetico è distribuito in Italia da Cips Informatica

ULTIMI AGGIORNAMENTI