Il GDPR specifica che i titolari del trattamento e i responsabili del trattamento debbano attuare misure tecniche e organizzative adeguate per garantire un livello di sicurezza dei dati personali adeguato al rischio.

Le seguenti informazioni stabiliscono le precauzioni di base che dovrebbero essere prese in considerazione dalle organizzazioni che trattano dati personali (ossia i titolari e i responsabili del trattamento). Non mirano a fornire un elenco completo di misure che possono essere attuate per proteggere i dati personali in tutti i contesti. I titolari e i responsabili del trattamento dovranno adattare tali misure al contesto (tenendo conto dello stato dell'arte, dell’ambito del trattamento e del rischio per le persone fisiche).

Sicurezza: cosa c'è in gioco?

Le conseguenze della mancanza di sicurezza possono essere gravi: le aziende possono vedere la loro immagine deteriorata, perdere la fiducia dei propri consumatori, dover pagare ingenti somme di denaro per rimediare ad un incidente di sicurezza (ad esempio a seguito di una violazione dei dati) o dover cessare la propria attività. I dati personali sicuri sono nell'interesse sia degli individui che delle organizzazioni che li trattano.

Al fine di valutare i rischi generati da ciascun trattamento, è innanzitutto opportuno individuare il potenziale impatto sui diritti e sulle libertà delle persone interessate. Mentre le organizzazioni devono proteggere i propri dati (personali o meno) per il proprio interesse, le seguenti informazioni si concentrano sulla protezione dei dati personali.

La sicurezza dei dati è formata da tre elementi principali: proteggere l'integrità, la disponibilità e la riservatezza dei dati. Pertanto, le organizzazioni dovrebbero valutare i rischi per quanto riguarda:

  1. accesso non autorizzato o accidentale ai dati — violazione della riservatezza (ad es. furto di identità a seguito della divulgazione delle buste paga di tutti i dipendenti di una società);
  2. alterazione non autorizzata o accidentale dei dati — violazione dell'integrità (ad esempio accusando falsamente una persona di un illecito o di un reato a seguito della modifica dei registri di accesso);
  3. perdita dei dati o perdita di accesso ai dati — violazione della disponibilità (ad esempio, mancata rilevazione di un'interazione farmacologica a causa dell'impossibilità di accedere alla documentazione elettronica del paziente).

È inoltre consigliabile individuare le fonti di rischio (per esempio, chi o cosa potrebbe essere all'origine di ciascuna violazione della sicurezza?), tenendo conto delle fonti umane interne ed esterne (ad esempio amministratore informatico, utente, hacker, concorrente) e delle fonti interne o esterne non umane (ad esempio danni da acqua, materiali pericolosi, virus informatici non mirati).

Questa identificazione delle fonti di rischio consentirà di identificare le potenziali minacce (ossia, quali circostanze potrebbero consentire una violazione della sicurezza?) alle risorse di supporto (ad esempio hardware, software, canali di comunicazione, carta, ecc.), che possono essere:

  • utilizzati in modo inappropriato (ad es. abuso di diritti, gestione degli errori);
  • modificati (ad es. intrappolamento software o hardware — keylogger, installazione di malware);
  • persi (ad esempio furto di un computer portatile, perdita di una chiave USB);
  • osservati (ad esempio osservazione di uno schermo in treno, geolocalizzazione dei dispositivi);
  • deteriorati (ad esempio vandalismo, deterioramento naturale);
  • sovraccarichi (ad esempio, unità di archiviazione pienaa, negazione di attacco informatico).
  • non disponibili  (ad esempio in caso di ransomware).

Si consiglia inoltre di:

  • verificare le misure esistenti o pianificate per affrontare ciascun rischio (ad esempio controllo degli accessi, backup, tracciabilità, sicurezza dei locali, crittografia);
  • stimare la gravità e la probabilità dei rischi, sulla base degli elementi di cui sopra (esempio di una scala che può essere utilizzata per la stima: trascurabile, moderato, significativo, massimo);
  • attuare e verificare le misure pianificate se le misure esistenti e pianificate sono ritenute appropriate, garantirne l'attuazione e il monitoraggio;
  • effettuare controlli periodici di sicurezza: ogni audit dovrebbe dar luogo a un piano d'azione la cui attuazione dovrebbe essere monitorata al più alto livello dell'organizzazione.

Il GDPR introduce la nozione di "valutazione d'impatto sulla protezione dei dati", che è obbligatoria per qualsiasi trattamento di dati personali che possa comportare un rischio elevato per le persone. Una DPIA deve contenere le misure previste per affrontare i rischi individuati, comprese le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali.

Nella pratica

  • Per avere una visione più chiara dei rischi per la sicurezza, è possibile, ad esempio, creare un foglio di calcolo per la gestione del rischio e mantenerlo regolarmente aggiornato. Questo foglio di calcolo può includere rischi materiali e umani relativi a server, computer o locali. I rischi sufficientemente previsti possono aiutare a mitigare le conseguenze in caso di incidente.

Misure organizzative

Sensibilizzazione degli utenti

È essenziale far conoscere ai dipendenti o agli utilizzatori che trattano dati personali (gestori dei dati) i rischi connessi alla privacy, informarli delle misure adottate per far fronte ai rischi e alle potenziali conseguenze in caso di violazione/avaria.

Nella pratica

La sensibilizzazione degli utilizzatori può assumere la forma di:

  • sessioni di sensibilizzazione;
  • aggiornamenti periodici sulle procedure pertinenti alle funzioni dei dipendenti e dei gestori dei dati
  • comunicazione interna, tramite promemoria via e-mail, ecc.

Un'altra precauzione è quella di documentare le procedure operative, mantenerle aggiornate e renderle facilmente accessibili a tutti i gestori dei dati interessati. In concreto, qualsiasi attività di trattamento dei dati personali, che si tratti di operazioni amministrative o di semplice utilizzo di un modulo, dovrebbe essere spiegata in un linguaggio chiaro e adattato a ciascuna categoria di gestori, nei documenti ai quali possono fare riferimento.

 

Definire una politica interna

La conoscenza dei gestori dei dati interni può assumere la forma di un documento che dovrebbe essere vincolante e integrato in seno ad un regolamento interno. Il regolamento interno dovrebbe comprendere in particolare una descrizione delle norme in materia di protezione dei dati e di sicurezza.

Altre misure organizzative

  • Implementare una politica di classificazione delle informazioni che definisca diversi livelli e richieda la marcatura di documenti ed e-mail contenenti dati riservati.
  • Inserire una dichiarazione visibile ed esplicita su ogni pagina di un documento cartaceo o elettronico che contenga dati particolari (sensibili).
  • Condurre sessioni di formazione sulla sicurezza delle informazioni e di sensibilizzazione. I promemoria periodici possono essere forniti tramite e-mail o altri strumenti di comunicazione interna.
  • Prevedere la firma di un accordo di riservatezza o includere una specifica clausola di riservatezza relativa ai dati personali nei contratti con dipendenti e altri responsabili del trattamento dei dati.

 

Misure tecniche

Attrezzature sicure

La fiducia nell'affidabilità dei tuoi sistemi informativi è una questione chiave e l'implementazione di misure di sicurezza appropriate, che il GDPR ha reso obbligatorie, è uno dei modi per provvedervi.

In particolare, è consigliabile mettere in sicurezza:

  • hardware (ad esempio, server, postazioni di lavoro, laptop, dischi rigidi);
  • software (ad esempio, sistema operativo, software aziendale);
  • canali di comunicazione (ad es. fibra ottica, Wi-Fi, Internet);
  • documenti cartacei (ad es. documenti stampati, copie);
  • locali.

Postazioni di lavoro sicure

Per la messa in sicurezza delle postazioni di lavoro potrebbero essere prese in considerazione le seguenti azioni:

  • fornire un meccanismo automatico di blocco della sessione quando la postazione di lavoro non viene utilizzata per un determinato periodo di tempo;
  • installare software firewall e limitare l'apertura delle porte di comunicazione a quelle strettamente necessarie al corretto funzionamento delle applicazioni installate sulla postazione di lavoro;
  • utilizzare software antivirus regolarmente aggiornati e avere una politica di aggiornamento periodico del software;
  • configurare il software per aggiornare automaticamente la sicurezza quando possibile;
  • incoraggiare l'archiviazione dei dati degli utenti su uno spazio di archiviazione regolarmente supportato e accessibile tramite la rete dell'organizzazione piuttosto che sulle postazioni di lavoro. Se i dati sono archiviati localmente, fornire agli utilizzatori funzionalità di sincronizzazione o di backup e formarli nel loro utilizzo;
  • limitare la connessione di supporti mobili (bastone USB, dischi rigidi esterni, ecc.) agli elementi essenziali;
  • disattivare l'autorun da supporti rimovibili.

Cosa non fare

  • utilizzare sistemi operativi obsoleti;
  • dare diritti di amministratore agli utenti che non hanno competenze di sicurezza informatica.

Per andare oltre

  • vietare l'uso di applicazioni scaricate che non provengono da fonti sicure;
  • limitare l'uso di applicazioni che richiedono diritti a livello di amministratore per l'esecuzione;
  • cancellare in modo sicuro i dati su una postazione di lavoro prima di riassegnarla a un altro individuo;
  • nel caso in cui una postazione di lavoro sia compromessa, cercare la fonte e qualsiasi traccia di intrusione nel sistema informativo dell'impresa/organizzazione, al fine di rilevare se altri elementi sono stati compromessi;
  • eseguire il monitoraggio della sicurezza del software e dell'hardware utilizzati nel sistema informativo dell'organizzazione;
  • aggiornare le applicazioni quando le vulnerabilità critiche sono state identificate e risolte;
  • installare senza indugio gli aggiornamenti critici del sistema operativo pianificando un controllo automatico settimanale;
  • diffondere a tutti gli utenti la corretta linea d'azione e l'elenco delle persone da contattare in caso di incidente di sicurezza o evento insolito che influisca sui sistemi di informazione e comunicazione dell'impresa/organizzazione.

Nella pratica

  • Il tuo ufficio è strutturato sul concetto di open space e hai molti dipendenti, ma anche molti visitatori. Grazie a un blocco di sessione automatico, nessuno al di fuori dell'azienda può accedere al computer di un dipendente in pausa o vedere su cosa sta lavorando. Inoltre, un firewall e un antivirus aggiornato proteggono la navigazione Internet dei dipendenti e limitano i rischi di intrusione nei server. Più misure vengono messe in atto, più diventa difficile per le persone con intenti dolosi o per un dipendente negligente, causare danni.

Proteggere i locali dell'azienda

L'accesso ai locali deve essere controllato per prevenire o rallentare l'accesso diretto e non autorizzato ai file cartacei o alle apparecchiature informatiche, in particolare ai server.

Cosa fare

  • installare allarmi di intrusione e controllarli periodicamente;
  • installare rilevatori di fumo e attrezzature antincendio e ispezionarli ogni anno;
  • proteggere le chiavi utilizzate per accedere ai locali e i codici di allarme;
  • distinguere le aree edilizie in base al rischio (ad esempio, fornire un controllo degli accessi dedicato alla sala computer);
  • mantenere un elenco di persone o categorie di persone autorizzate ad entrare in ciascuna zona;
  • stabilire regole e strumenti per controllare l'accesso dei visitatori, come minimo facendo accompagnare visitatori al di fuori delle aree pubbliche da una persona dell'impresa/organizzazione;
  • proteggere fisicamente le apparecchiature informatiche con mezzi specifici (sistema antincendio dedicato, elevazione contro eventuali inondazioni, alimentazione ridondante e/o aria condizionata, ecc.).

Cosa non fare

Sottodimensionare o trascurare la manutenzione dell'ambiente della sala server (aria condizionata, UPS, ecc.). Un guasto a questi impianti spesso comporta l'arresto delle macchine o l'apertura di accesso alle stanze (circolazione dell'aria), che di fatto neutralizza le misure di sicurezza.

Per andare oltre

Può essere opportuno tenere un registro dell'accesso alle stanze o agli uffici che detengono materiale contenente dati personali che potrebbero avere un grave impatto negativo sulle persone interessate. Informare i gestori dei dati dell'attuazione di tale sistema, dopo aver informato e consultato i rappresentanti del personale.

Inoltre, assicurarsi che solo al personale espressamente autorizzato sia permesso l’accesso in aree riservate. Ad esempio:

 

  • all'interno di aree riservate, richiedere a tutti gli individui di indossare un mezzo visibile di identificazione (badge);
  • i visitatori (personale di supporto tecnico, ecc.) dovrebbero avere accesso limitato. La data e l'ora di entrata e uscita devono essere registrate;
  • rivedere e aggiornare regolarmente le autorizzazioni di accesso per proteggere le aree e rimuoverle, se necessario.

Nella pratica

  • La tua azienda è specializzata nell'e-commerce. Conservi i dati personali dei clienti nei server in locali separati. Al fine di garantire l'accesso a questi dati, l'ingresso a questi locali è protetto da un lettore di badge. Tuttavia, a causa di un cortocircuito, scoppia un incendio. Grazie a un rilevatore di fumo, i vigili del fuoco sono stati allertati rapidamente e sono stati in grado di limitare la perdita di dati.

Autenticazione degli utenti

Per garantire che gli utenti accedano solo ai dati di cui hanno bisogno, dovrebbero ricevere un identificatore univoco e dovrebbero autenticarsi prima di utilizzare le strutture informatiche.

I meccanismi per ottenere l'autenticazione della persona sono classificati in base alla tipologia:

  • quello che sappiamo, ad esempio una password;
  • quello che abbiamo, ad esempio una smart card;
  • una caratteristica specifica della persona, ad esempio il modo in cui viene tracciata una firma scritta a mano.

La scelta del meccanismo dipende dal contesto e dai diversi fattori. L'autenticazione di un utente è considerata forte quando viene utilizza una combinazione di almeno due di queste categorie.

Nella pratica

  • Per accedere a una stanza sicura contenente informazioni riservate, è possibile installare un lettore di badge ("ciò che abbiamo") insieme a un codice di accesso ("ciò che sappiamo").

Gestire le autorizzazioni

I livelli differenziati di profili di autorizzazione dovrebbero essere applicati in base alle esigenze. Gli utenti dovrebbero avere accesso ai dati solo sulla base delle esigenze di conoscenza.

Buone pratiche per l'autenticazione e la gestione delle autorizzazioni:

  • definire un identificatore univoco per ogni utente e vietare gli account condivisi da più utenti. Nel caso in cui l'uso di identificatori generici o condivisi sia inevitabile, va richiesta la convalida interna e l'attuazione di strumenti di tracciamento (log);
  • imporre l'uso di regole di complessità delle password sufficientemente rigorose (ad esempio, almeno 8 caratteri, caratteri maiuscoli e caratteri speciali);
  • archiviare le password in modo sicuro;
  • rimuovere le autorizzazioni di accesso obsolete;
  • effettuare un riesame periodico (ad esempio ogni sei mesi);

 

Cosa non fare

  • creare o utilizzare account condivisi da più persone;
  • dare diritti di amministratore agli utenti che non ne hanno bisogno;
  • concedere a un utente più prerogative del necessario;
  • dimenticare di rimuovere le autorizzazioni temporanee concesse a un utente (ad esempio per una sostituzione);
  • dimenticare di eliminare gli account utente di persone che hanno lasciato l'impresa/organizzazione o hanno cambiato lavoro.

Per andare oltre

Stabilire, documentare e rivedere regolarmente qualsiasi politica di controllo degli accessi, in relazione ai trattamenti attuati dall'impresa/organizzazione, che dovrebbero includere:

  • le procedure da applicare sistematicamente all'entrata, all’uscita o al cambiamento di mansione di una persona con accesso ai dati personali;
  • le ripercussioni per le persone con accesso legittimo ai dati, in caso di mancato rispetto delle misure di sicurezza;
  • misure volte a limitare e controllare l'assegnazione e l'uso dell'accesso al trattamento.

Nella pratica

  • Quando un nuovo dipendente entra a far parte dell'azienda, è necessario creare un nuovo account utente dedicato con una password sicura. I dipendenti non dovrebbero condividere le proprie credenziali l'uno con l'altro, soprattutto se non hanno lo stesso accreditamento. Nel caso in cui cambino mansione, è necessario rivedere le autorizzazioni di accesso a determinati file o sistemi.

Dati pseudonimizzati

La pseudonimizzazione è il trattamento dei dati personali in modo tale che non sia più possibile attribuire i dati personali a una specifica persona fisica senza l'uso di informazioni aggiuntive. Tali informazioni supplementari devono essere conservate separatamente ed essere soggette a misure tecniche e organizzative.

In pratica, la pseudonimizzazione consiste nel sostituire direttamente i dati identificativi (cognome, nome, codice fiscale, numero di telefono, ecc.) in un insieme di dati identificabili indirettamente (alias, numero sequenziale, ecc.). Questo permette di trattare i dati delle persone senza essere in grado di identificarli in modo diretto. Tuttavia, è possibile tracciare l'identità di queste persone grazie ai dati aggiuntivi. In quanto tali, i dati pseudonimizzati sono ancora dati personali e sono soggetti al GDPR. A differenza dell'anonimizzazione, la pseudonimizzazione è anche reversibile.

La pseudonimizzazione è una delle misure raccomandate dal GDPR per limitare i rischi associati al trattamento dei dati personali.

Crittografare i dati

La crittografia è un processo che consiste nel convertire le informazioni in un codice al fine di impedire l'accesso non autorizzato. Queste informazioni possono essere rilette solo utilizzando la chiave corretta. La crittografia viene utilizzata per garantire la riservatezza dei dati. I dati crittografati sono ancora dati personali. Come tale, la crittografia può essere considerata come una delle tecniche di pseudonimizzazione.

Inoltre, le funzioni hash possono essere utilizzate per garantire l'integrità dei dati. Le firme digitali, non solo garantiscono l'integrità, ma consentono anche di verificare l'origine delle informazioni e la loro autenticità.

 

Anonimizzare i dati

 

I dati personali possono essere resi anonimi in modo tale che l'individuo non sia o non sia più identificabile. L'anonimizzazione è un processo che consiste nell'utilizzare un insieme di tecniche per rendere anonimi i dati personali in modo tale che diventa impossibile identificare la persona con qualsiasi mezzo che sia ragionevolmente probabile che venga utilizzato.

L'anonimizzazione, se attuata correttamente, può consentire all'utente di utilizzare i dati in modo da rispettare i diritti e le libertà degli individui. In effetti, l'anonimizzazione apre il potenziale per il riutilizzo dei dati che inizialmente non è consentito a causa della loro natura personale, e può quindi consentire alle imprese/organizzazioni di utilizzare i dati per scopi aggiuntivi senza interferire con la privacy delle persone. L'anonimizzazione consente inoltre di conservare i dati oltre il periodo di conservazione.

Quando l'anonimizzazione è attuata correttamente, il GDPR non si applica più ai dati anonimizzati. Tuttavia, è importante tenere presente che in pratica, l'anonimizzazione dei dati personali non è sempre possibile o facile da realizzare. Occorre valutare se l'anonimizzazione possa essere applicata ai dati in questione e mantenuta con successo, tenuto conto delle circostanze specifiche del trattamento dei dati personali. Spesso sarebbero necessarie ulteriori competenze giuridiche o tecniche per attuare con successo l'anonimizzazione in conformità con il GDPR.

Come verificare l'efficacia dell'anonimizzazione?

Le Autorità europee per la protezione dei dati definiscono tre criteri per garantire che un set di dati sia veramente anonimo:

  1. Identificazione: non dovrebbe essere possibile isolare le informazioni su un individuo nel set di dati.
  2. Collegabilità: non dovrebbe essere possibile collegare dati separati relativi alla stessa persona.
  3. Deducibilità: non dovrebbe essere possibile dedurre, con quasi assoluta certezza, informazioni su una persona.

Nella pratica

  • Identificazione: in una banca dati di Curricula in cui solo il nome e il cognome di una persona sono stati sostituiti da un numero (che corrisponde solo a tale persona), è ancora possibile individuare una determinata persona sulla base di altre caratteristiche. In questo caso, i dati personali sono considerati pseudonimizzati e non anonimizzati.
  • Collegabilità: un database di mappatura contenente gli indirizzi delle persone non può essere considerato anonimo se altri database, esistenti altrove, contengono questi stessi indirizzi con altri dati che consentono l'identificazione delle persone.
  • Deducibilità: se un insieme di dati presumibilmente anonimo contiene informazioni sulla responsabilità fiscale dei rispondenti a un questionario e tutti gli intervistati di sesso maschile di età compresa tra 20 e 25 anni non sono tassabili, allora si potrebbe dedurre che un determinato individuo è tassabile o meno, quando l’età e il sesso sono noti.

Situazioni specifiche

Misure di sicurezza per il telelavoro

Nell'ambito del telelavoro, è necessario garantire la sicurezza dei dati trattati nel rispetto della privacy delle persone fisiche.

Cosa fare:

  • Emanare una politica di sicurezza sul telelavoro o almeno una serie di regole minime da rispettare e comunicarle ai dipendenti secondo i regolamenti interni;
  • Se è necessario, modificare le regole aziendali del proprio sistema informativo per consentire il telelavoro (ad esempio, modificare le regole di autorizzazione, accesso all'amministratore remoto, ecc.), prendere in considerazione i rischi connessi e, se necessario, adottare misure per mantenere il livello di sicurezza;
  • Equipaggiare tutte le postazioni di lavoro dei tuoi dipendenti con almeno un firewall, un software antivirus e uno strumento per bloccare l'accesso a siti dannosi. Se i dipendenti possono utilizzare le proprie attrezzature, fornire orientamenti per proteggerle (cfr. "Misure di sicurezza per BYOD");
  • Impostare una VPN per evitare l'esposizione diretta dei tuoi servizi a Internet tutte le volte che è possibile. Se possibile, abilitare l'autenticazione VPN con due fattori;
  • Fornire ai dipendenti un elenco di strumenti di comunicazione e collaborazione appropriati per il lavoro a distanza, che garantiscano la riservatezza degli scambi e dei dati condivisi. Scegliere gli strumenti in proprio controllo e garantire che almeno forniscano autenticazione e crittografia all'avanguardia per le comunicazioni e che i dati in transito non siano riutilizzati per altri scopi (miglioramento del prodotto, pubblicità, ecc.). Alcuni software di consumo possono trasmettere i dati dell'utente a terzi ed è quindi particolarmente inadatto all'uso aziendale.
     

Misure di sicurezza per BYOD (Porta il tuo dispositivo)

Con lo sviluppo del BYOD, soprattutto nelle PMI, il confine tra vita professionale e vita personale sta scomparendo. Anche se il BYOD non rappresenta, di per sé, un trattamento di dati personali, è comunque necessario garantire la sicurezza dei dati.

L'acronimo "BYOD" sta per "Bring Your Own Device (porta il tuo dispositivo)" e si riferisce all'uso di apparecchiature personali in un contesto professionale. Ad esempio, un dipendente che utilizza apparecchiature personali come computer, tablet o uno smartphone per connettersi alla rete aziendale.

La possibilità di utilizzare strumenti personali è principalmente una questione di scelta del datore di lavoro e di legislazione nazionale. Il GDPR richiede che il livello di sicurezza dei dati personali trattati sia lo stesso, indipendentemente dall'attrezzatura utilizzata. I datori di lavoro sono responsabili della sicurezza dei dati personali della loro azienda, anche quando sono memorizzati su terminali sui quali non hanno alcun controllo fisico o legale, ma per i quali hanno autorizzato l'accesso alle risorse informatiche dell'azienda.

I rischi contro i quali è essenziale proteggere la tua impresa/organizzazione vanno da un attacco una tantum alla disponibilità, all'integrità e alla riservatezza dei dati fino al caso che il sistema informativo dell'azienda sia completamente compromesso (intrusione, virus, ecc.).

Esempio di elenco di controllo

Un esempio di come potrebbe essere una lista di controllo per migliorare il livello di sicurezza in atto nella tua impresa/organizzazione:

  • Informare ed formare regolarmente i gestori dei dati sui rischi connessi alla privacy
  • Definire una politica interna e darle forza vincolante
  • Implementare la protezione dei dati fin dalla progettazione e per impostazione predefinita
  • Assicurarsi che i dati trattati siano adeguati, pertinenti e limitati a quanto necessario (minimizzazione dei dati)
  • Attuare una politica di classificazione delle informazioni per i dati riservati
  • Inserire un'indicazione specifica sui documenti contenenti dati particolari (sensibili)
  • Condurre sessioni di formazione e sensibilizzazione sulla sicurezza delle informazioni, insieme a promemoria periodici.
  • Firmare un accordo di riservatezza con i dipendenti o includere clausole specifiche di riservatezza 
  • Fornire il blocco automatico della sessione, firewall e antivirus aggiornati, archiviazione di backup agli utenti
  • Limitare il collegamento fisico (usb stick, dischi rigidi esterni, ecc.) all'essenziale
  • Proteggere i locali dell'azienda (ad es. allarmi antintrusione, rilevatori di fumo, chiavi protette, locali distinti in base al rischio, autorizzazioni per l'accesso ad aree specifiche, sistema antincendio dedicato)
  • Fornire un identificatore univoco agli utenti
  • Richiedere l'autenticazione per accedere alle strutture informatiche
  • Gestire le autorizzazioni (ad esempio profili separati in base alle esigenze, identificatore univoco, password complesse)
  • Emanare una politica di sicurezza sul telelavoro
  • Rimuovere le autorizzazioni di accesso obsolete
  • Effettuare un riesame periodico delle autorizzazioni
  • Pseudonimizzare o anonimizzare i dati per limitare la reidentificazione delle persone
  • Crittografare i dati per impedire accessi non autorizzati
  • Installare una VPN per il telelavoro
  • Assicurarsi di proteggere i dispositivi personali utilizzati per il lavoro (BYOD)