Consulenza GDPR

Consulenza GDPR

SEC4U, attraverso la propria web application UIDAPO e le attività sistemistiche e di Ethical Hacking fornite, è di supporto alle organizzazioni che hanno la necessità di adeguarsi a quanto richiesto dal Regolamento generale per la protezione dei dati (GDPR).

UIDAPO
CEH-logo
ecppt_silver

SEC4U collabora attivamente con alcuni consulenti privacy specializzati in ambito GDPR e propone una serie di attività per aiutare le organizzazioni ad intraprendere e soprattutto a portare a termine questo percorso di adeguamento, controllando ogni aspetto aziendale sotto diversi punti di vista (tecnologico, normativo, procedurale, umano).

Questo percorso coinvolge principalmente due aspetti, quello normativo e quello tecnologico. Di seguito vengono riportate le attività proposte.

  • incontro preliminare in azienda per una prima attività di audit che servirà al consulente privacy per raccogliere le diverse informazioni legate alla consulenza normativa ed a SEC4U al fine di raccogliere tutte le informazioni necessarie a creare una fotografia puntuale dell’organizzazione. Il servizio proposto è quello del VAPT Light, che comprende:
    ◦ scansione degli host presenti nell’organizzazione. Per ogni host individuato vengono verificati i seguenti fattori:
    ▪ tipologia del device
    ▪ versione del sistema operativo, se individuata
    ▪ tipologia di traffico generato (cifrato, in chiaro…)
    ▪ evidenza del traffico anomalo, se rilevato
    ▪ presenza di credenziali di default
    ▪ servizi esposti e per ogni servizio esposto:
    ▪ presenza vulnerabilità riconosciute
    ▪ se concesso, eventuale exploit delle vulnerabilità
    ◦ verifica, se presente,del router che fornisce connettività internet all’organizzazione. Del router, nel caso in cui il cliente sia d’accordo nel fornire a SEC4U le credenziali di autenticazione, viene verificata la configurazione dal punto di vista della security (es. aggiornamento firmware necessario, interfaccia di manutenzione remota abilitata con accesso illimitato, eventuali reti wireless configurate in modo non appropriato, utenti di default configurati…);
    ◦ verifica, se presente, del firewall dell’organizzazione. Del firewall, nel caso in cui il cliente sia d’accordo nel fornire a SEC4U le credenziali di autenticazione, viene verificata la configurazione dal punto di vista della security (es. aggiornamento software necessario, servizi di manutenzione remota esposti, utenti di default configurati…) e la correttezza logica delle ACL (Access Control List) configurate;
    ◦ controllo del dominio aziendale, del quale viene verificata l’eventuale esposizione di account dello stesso in database contenenti credenziali oggetto di data breach. Viene data evidenza degli account che risultano compromessi, in modo tale da permettere al cliente una tempestiva strategia di remediation
    ◦ verifica delle risorse (es. web server, dispositivi della Internet of Things…) dell’organizzazione esposte pubblicamente (raggiungibili attraverso internet)
    ◦ generazione, a fronte degli host rilevati, della mappa dell’infrastruttura di rete dell’organizzazione
  • valutazione della qualità della policy di backup esistente e che la stessa sia in linea con la regola del “3-2-1 backup”.

La regola presuppone che:

  • si posseggano almeno tre copie dei dati;
  • si conservino le copie su due supporti diversi;
  • si conservi una copia del backup off-site.
  • viene effettuata una verifica di base del sito istituzionale dell’organizzazione, identificandone la piattaforma di gestione dello stesso e le eventuali vulnerabilità presenti, la presenza di un’informativa privacy e di una policy dei cookie.
  • a fronte delle verifiche effettuate, vengono elencate le misure di sicurezza da adottare.
  • viene proposta un’attività di formazione in ambito normativo, personalizzata sulle esigenze dell’organizzazione.
  • viene proposta un’attività di formazione in ambito Cyber Security, personalizzata sulle esigenze dell’organizzazione. SEC4U può proporre diverse metodologie di formazione, basate sulla classica formazione frontale oppure gestite con tecniche più interattive e divertenti.
  • se ritenuta necessaria, avviene la creazione del registro dei trattamenti e individuazione dei ruoli necessari da parte del consulente privacy ed utilizzando il modulo GDPR della web application UIDAPO.
  • se ritenuta necessaria, avviene la valutazione d’impatto dei trattamenti (DPIA) da parte del consulente privacy.
  • viene formulato un preventivo riportante l’adozione delle misure di rimedio consigliate.

Se ritieni utile approfondire con noi la tematica di conformità al GDPR contattaci all’indirizzo team@sec4u.co