L’IMPORTANZA DI ATTIVARE LA CRITTOGRAFIA: COME RENDERE I NOSTRI DATI ILLEGGIBILI

/ / Compliance Consulting, Privacy
iso 27005 sicurezza delle informazioni

Non è mai superfluo ricordare l’importanza della crittografia (o cifratura) dei dati sui sistemi informatici.

Gli eventi rischiosi sono più o meno sempre gli stessi, come ad esempio:
-forzano la porta blindata degli uffici e fanno razzia dei PC
-spaccano il lunotto della macchina e portano via la borsa col PC portatile
-aprono lo zaino in metropolitana e rubano il tablet
-etc
Dopo qualche giorno è tutto in vendita online o nei mercatini come pezzi di ricambio. L’ignaro (o meno) compratore ha in mano i nostri dispositivi con sopra tutti i nostri dati.

Il rischio maggiore in caso di furto o smarrimento di un dispositivo (Server, PC, tablet, smartphone, chiavette usb, schede sd, NAS, etc) è che i dati sopra salvati (anche se è presente una password) possono essere accessibili e quindi letti anche da terzi, questo per:
• Assenza di protezione con password (come nella maggior parte dei casi purtroppo avviene con le chiavette USB)
• Password estremamente semplici e facilmente indovinabili
• Possibilità di bypassare le password utilizzando software appositi o sistemi differenti

A COSA SERVE LA CRITTOGRAFARE I DATI ?
In termini estremamente semplici, l’attivazione della crittografia sui sistemi trasforma i dati in informazioni illeggibili, se non con una chiave di decriptazione.
Questo fa sì che in caso di furto o smarrimento del dispositivo, nessuno sia in grado di accedere a quei dati se non in possesso della chiave di decriptazione.
L’unico modo per “sbloccare” i dati è inserire una password (che ovviamente deve essere robusta, altrimenti è totalmente inefficace).

COME SI ATTIVA LA CRITTOGRAFIA?
Per attivarla ci sono diverse tecniche che vi consigliamo di valutare attentamente con il vostro amministratore di sistema. Eccone qualcuna:
-Bitlocker di Windows 10;
-software specifici come Veracrypt
-Filevault per Apple MAC
Prima di attivarla ovviamente suggeriamo di effettuare gli opportuni backup, nel caso il processo dovesse in qualche modo non andare a buon fine.

COME LA CRITTOGRAFIA AGEVOLA LE ORGANIZZAZIONI DAL PUNTO DI VISTA DELLA COMPLIANCE ALLA NORMATIVA PRIVACY ?
In caso di furto/smarrimento di un dispositivo contenente dati personali, secondo quanto previsto dalla normativa privacy, occorre attivare la procedura di databreach con eventuale comunicazione della violazione dei dati all’Autorità Garante Privacy ed agli interessati (es clienti), con conseguente danno economico, di immagine e di reputazione potenzialmente anche molto elevato in funzione della quantità e del tipo di dati.
Laddove fosse attivata la cifratura, i dati sarebbero completamente inaccessibili, il che ridurrebbe estremamente il rischio per gli interessati nell’ambito della valutazione da effettuarsi.
E quindi ciò significherebbe che, per gli interessati potrebbe non esserci rischio.

A COSA PRESTARE ATTENZIONE NELL’ATTIVAZIONE DELLA CRITTOGRAFIA?
Ci sono degli aspetti che è importante considerare e valutare prima di attivare la crittografia. Vediamoli insieme:
– Possibile calo delle prestazioni del sistema
– Adeguata conservazione della password (nel caso di perdita della password non ci sarebbe più alcun modo di decrittografare i dati, che sarebbero persi per sempre)
– Esecuzione dei backup (l’attivazione della crittografia potrebbe influenzare i backup già effettuati nel senso che i “nuovi dati” crittografati potrebbero essere visti tutti come nuovi dati e ricopiati interamente nello spazio di backup saturando gli spazi, oppure alcuni sistemi di backup potrebbero non essere compatibili con la crittografia: occorre prima di muovere qualsiasi passo valutare attentamente la situazione con il proprio amministratore di sistema/tecnico informatico)
– Accesso e restore dei dati: bisogna essere certi che i supporti crittografati saranno poi leggibili.

COSA VI RACCOMANDIAMO ?
Alla luce di tutte le indicazioni sopra fornite, Vi raccomandiamo caldamente di confrontarvi con il vostro Amministratore di Sistema per valutare attentamente l’attivazione della crittografia, quale misura oggi più che mai da ritenersi adeguata per proteggere i dati.
Vi suggeriamo di partire dal predisporre una tabellina in cui esplicitare tutti i sistemi aziendali che utilizzate e per ciascuno le misure ed il livello di protezione, avendo cura di mappare attentamente anche tutti i supporti removibili (es chiavette USB, sono quelli più soggetti a furti/smarrimenti). Già solo dalla predisposizione di tale mappatura, potreste rendervi conto di quanto sia necessaria ed opportuna la crittografia.