Sicurezza dei dati

Cifratura dati e GDPR: il piano B da considerare

Cifratura dati, GDPR e file sensibili: su 3CiME parliamo chiaro sulle tecniche crittografiche per proteggere i dati personali e aziendali. Quale conviene?
Torniamo sull’argomento cifratura dati e gdpr. Sebbene tutti coloro che si occupano di cybersecurity si preoccupano di non far cifrare i dati – per approfondimenti rimandiamo qui - è la cifratura dei file sensibili e del database il vero  fiore all’occhiello della sicurezza.

Le azioni cui facciamo riferimento rientrano nel cosiddetto piano B: ovvero quello che si dovrebbe mettere in campo se, nonostante tutte le difese, si viene colpiti e “bucati”.

A tal proposito, il GDPR, all’articolo 32, parla chiaro:

[…] il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso
  1. la pseudonimizzazione e la cifratura dei dati personali […]
La cifratura dati è, quindi, una delle poche indicazioni chiare del GDPR, che va oltre il principio di accountability. Non ci addentreremo nelle conseguenze sul fronte della responsabilità - che sono sempre dettagliate nell’articolo 32 – bensì ci concentreremo sull’applicabilità di questa normativa alle realtà più complesse.
 

Cifratura dei dati personali: quando si applica?


Ora, è impensabile e assurdo pensare di cifrare tutto. Il buon senso ci dice di valutare la cifratura dei dati personali su almeno quattro basi:
  1. Ogni volta che si hanno dati sensibili o giudiziari;
  2. Ogni volta che si hanno dati ritenuti “importanti” per la propria azienda/organizzazione;
  3. Ogni volta che si hanno dati “critici” (es. i redditi dei dipendenti);
  4. Ogni volta che si hanno dei dati in cloud.
 Detto ciò, le soluzioni da valutare per la cifratura sono diverse e bisogna innanzitutto capire come si possono cifrare i dati.

 

Cifrature per proteggere i dati: quale conviene?


Come cifrare i dati? Ecco quattro tecniche crittografiche per la protezione dei dati:
  • In primo luogo, possiamo chiedere a chi scrive le applicazioni di rielaborarle cifrando i dati alla fonte, nell’applicativo stesso. Ipotesi risolutiva ma, nella realtà, impossibile da percorrere
  • La soluzione più semplice, che tutti i venditori di storage millantano, è il disk encription. Se questa soluzione può avere senso sui PC portatili, è del tutto inutile sugli storage e sui server, perché può essere utilizzata solo nell’ipotesi in cui “rubino” la SAN o i server; teoria remota, sicuramente più lontana di un attacco ransomware. Infatti, una volta che lo storage è acceso, i dati sono per forza in chiaro, altrimenti non sarebbe possibile accedervi. 
  • La terza soluzione riguarda prettamente i database: si tratta di cifrare, per esempio, una colonna dell’RDBMS. Se si attiva questa funzionalità è facile che le applicazioni rallentino in modo significativo il loro funzionamento. Inoltre, quasi tutti i DB vendor (Oracle, Microsoft ecc.) hanno la possibilità di attivare la feature: un’attività che, al di là del costo, ha il difetto di mettere la chiave di cifratura dentro il database, con il risultato che chi riesce a saccheggiare l’RDBMS, ruba anche la chiave di cifratura.
  • Ultima possibilità è la cifratura dei file sensibili e quando parliamo di file intendiamo anche i documenti di database. Per intenderci: è come mettere un sacchetto intorno al database, lasciando aperto il buco di entrata per non bloccare le query. Se qualcuno ruba il database, o i file della share del file server, ruba dei bit e non dei dati, perché la chiave di cifratura, in questo caso, è fuori dal database o dal server. Inoltre, questa soluzione non ha effetti sulle performance dell’applicazione o dell’accesso ai file.

La scelta chiave di tutto il processo di attivazione è quindi separare le chiavi di cifratura dai dati.

Rimane poi il dilemma della decisione: è meglio comprare i prodotti che servono o acquistare un servizio di cifratura dati? È presto detto: la soglia di entrata di questi progetti in acquisto supera i 60K, mentre l’acquisto di un servizio parte da 6K a server, indipendentemente dalla dimensione del DB o delle share da cifrare.

Il mercato, lo diciamo da tempo, va sempre più verso una security as a service e anche questo servizio si allinea alla tendenza.
 

Video in evidenza

La gestione olistica dei dati - Perché è importante?
GDPR Aziende 2021 - Ha ancora senso parlarne?
Ethical Hacking - Dove siamo più vulnerabili?
Continuità Operativa (Business Continuity) - Un punto sulla questione sicurezza H24
Disaster Recovery - La giusta strategia per proteggere i dati aziendali
Backup dei dati e backup gestito - I prodotti da soli non bastano -
Smart Working - La nostra risposta per il 2022
I Ransomware - Quanto valgono i nostri dati?
Security as a Service - Per una vera Industria 4.0
La protezione dei pc - l'antivirus non basta
Cloud Monitoring: quanto conviene alle aziende?
Cancellazione sicura dei dati: perché va fatta e tecniche consigliate
Cifratura dei dati: dove e come criptare i dati?
Sistemi di archiviazione dati: che fare con i dati freddi?
Telefonia IP e VoIP - Cosa succede quando si subisce un attacco vishing?
Polizza assicurativa Cyber Risk - Come avviene l'iter di contratto?
Come trovare il giusto partner?
Continua a leggere

Cifratura dati e GDPR: il piano B da considerare

Cifratura dati, GDPR e file sensibili: su 3CiME parliamo chiaro sulle tecniche crittografiche per proteggere i dati personali e aziendali. Quale conviene?

Security Operations Center: come scegliere il giusto servizio SOC

Il Security Operations Center è un servizio di cyber security ormai offerto da diverse realtà. Ma quali sono le caratteristiche indispensabili di un SOC aziendale?

Software PAM: come alzare l’asticella della sicurezza

Il PAM - Privileged Access Management - è la soluzione di security software che porta la sicurezza della tua azienda ad un altro livello. Scopriamola.

Informazioni più precise?

 
Lascia un tuo recapito e ti ricontattiamo noi.

NON SEI ANCORA ISCRITTO ALLA NOSTRA NEWSLETTER?

 
Iscriviti e riceverai:
  • Articoli selezionati e aggiornati di tecnologia e informatica 
  • Pillole  fresche fresche di pubblicazione dal nostro blog 
  • Storie e curiosità sulla 3CiME Technology, per raccontarti di noi. Perché “Happiness only real when shared
 Tutto questo solo 1 volta al mese. Che aspetti? Dai, salta su!
Inserisci il codice di sicurezza*:
 Security code
Iscriviti alla newsletter

Registrati alla newsletter, compila il form:

Inserisci il codice di sicurezza*:
 Security code
3CiME Technology S.r.l.
Via di Corticella 89/2
40128 - Bologna
Trovaci su Google Maps
Telefono*: +39 0514070383
Fax: +39 0514072152
E-mail: info@3cime.com
PEC: 3cime@legalmail.it
P.IVA - C.F. IT 02817851203