Garante Spagnolo: Rischi piattaforme online e servizi cloud
L’Agenzia spagnola per la protezione dei dati, nell’ambito di una serie di post dedicati alle violazioni della sicurezza dei dati, ha affrontato la tematica dei rischi e delle criticità delle piattaforme online e servizi cloud.
Ai servizi di posta professionale, che prima costituivano il principale canale di comunicazione interno delle aziende, sono stati affiancati altre piattaforme e servizi cloud e applicazioni di messaggistica istantanea. Ciò ha determinato una evoluzione delle funzionalità dei servizi di posta elettronica (con l’introduzione di servizi aggiuntivi di condivisione dei documenti cloud, videoconferenze, sondaggi, etc.), ed una implementazione di utilizzo degli archivi cloud (accessibili a prescindere dall’ utilizzo della connessione alla rete intranet aziendale e solitamente con le medesime credenziali di posta). La posta elettronica, inoltre, prima era generalmente ospitata sui server interni all’organizzazione, ora, invece, è contenuta preferibilmente su risorse di cloud computing forniti dalle grandi multinazionali tecnologiche.
L’AEPD elenca una serie di minacce alla sicurezza informatica, dovute anche alla facilità di connessione alle piattaforme e cloud, tra cui: – tentativi (da parte di soggetti esterni) di accedere alle piattaforme aziendali; – riutilizzo delle medesime credenziali in altri servizi internet che hanno subito una violazione della sicurezza; – furto di credenziali attraverso attacchi informatici (come il c.d. phishing); – non suddivisioni delle informazioni personali da quelle professionali.
Il Titolare del trattamento, come sancito nel GDPR, è tenuto ad adottare tutte le misure di sicurezza adeguate per ridurre al minimo la probabilità di accadimento delle suindicate minacce, tra le quali: – optare per soluzioni affidabili e con particolari garanzie dei fornitori dei servizi (per le configurazioni delle opzioni di sicurezza e privacy); – stabilire procedure e raccomandazioni per l’accesso agli strumenti aziendali in modalità di smart working; – stabilire criteri restrittivi per l’accesso agli strumenti aziendali per uso personale o da dispositivi non aziendali (se consentito, stabilire misure di sicurezza elevate e la compartizione delle informazioni personali da quelle professionali); – utilizzare un secondo fattore di autenticazione per l’accesso ai servizi online (esempio aggiungere alle credenziali anche autenticazione tramite token, o messaggio sms, oppure con l’utilizzo di una applicazione o altro dispositivo); – utilizzare password complesse; – implementare i controlli sugli accessi non autorizzati; – controllare i reindirizzamenti delle caselle di posta: una volta che le credenziali di posta sono state compromesse, i criminali informatici intervengono sulle comunicazioni, anche con inoltro di e-mail.
Articolo Ripreso da: Persone&Privacy.Eu