Regole d’oro per proteggere la rete aziendale

Sicurezza informatica

Sicurezza informatica: la definizione

La sicurezza informatica è un insieme di strategie, strumenti, comportamenti e regole atte a prevenire questo tipo di situazioni e di garantire l’integrità, la disponibilità e la riservatezza dei dati.
Virus, malware, spam sono purtroppo termini che tutti noi conosciamo perché spesso si sentono nelle cronache e non ne sono immuni né le grandi istituzioni (come nel caso Wikileaks) né le aziende di qualsiasi dimensione.
E’ famoso il caso del virus cryptolocker, che penetra nei computer e cripta tutti i file presenti al suo interno, chiedendo un riscatto in denaro per decodificarli e averli nuovamente disponibili.

Quando si entra in tema sicurezza aziendale e prevenzione, tuttavia, la tendenza è di non prestare l’attenzione che meriterebbe: è facile pensare che queste problematiche possano capitare ad altri, considerando la propria realtà come “immune”. Purtroppo non è così!
Secondo una recente indagine dell’istituto di sicurezza americano, in tutto il mondo sono registrati 120.000 di attacchi al giorno, con incrementi annuali di circa il 50%.
Questi attacchi provocano danni stimati in circa 2,7 miliardi di dollari e pensare di esserne esclusi a prescindere è un grosso rischio.
Per fortuna esistono delle misure pratiche che permettono di contrastare una parte di queste problematiche. 

Misure pratiche per aumentare la sicurezza informatica

La sicurezza informatica inizia da chi vive l’azienda: adottare comportamenti responsabili è il primo passo per cercare di mettere al riparo i propri dati.
Ecco alcune semplici pratiche da attuare fin da subito per diminuire il rischio di virus e hacker. 

Aggiornare i sistemi operativi

I sistemi operativi, ovvero quei programmi che permettono ai computer di lavorare, sono purtroppo la causa di tanti problemi di sicurezza.
Microsoft e Apple (i principali vendor di sistemi operativi) rilevano spesso delle falle di sicurezza – i cosiddetti “bugs” – che potrebbero permettere a un hacker di prendere il controllo della macchina.
Periodicamente rilasciano dei pacchetti di aggiornamento per rimediare a queste falle.
E’ quindi necessario aggiornare il sistema operativo ed eventualmente sostituirli quando non sono più supportati (come nel casi di Windows XP e Vista, 7, 8.1).

 
Installare antivirus professionali

Quando si tratta di installare un antivirus, molti optano per quelli gratuiti, scelta si rivela spesso disastrosa.
Gli antivirus gratuiti non garantiscono una sicurezza informatica completa, perché mancano di funzionalità importanti come firewall, content filtering e antispam che sono in grado di rilevare e gestire minacce di ogni tipo.
Gli antivirus professionali possiedono tutte queste caratteristiche, a fronte di costi vantaggiosi.
E’ più conveniente affrontare un piccolo investimento in termini di prevenzione e sicurezza informatica, che rischiare costi estremamente maggiori per ripristinare un sistema danneggiato. 

Usare delle password sicure

Per quanto riguarda il tema password, per comodità o pigrizia spesso si tende a utilizzarne di semplici o addirittura eliminarle, lasciando computer, server e apparati di rete sprovvisti.
Questo è un grosso errore: esistono dei software usati da hackers, che permettono di scansionare internet alla ricerca di computer con password inefficaci o nulle.
A quel punto prenderne il controllo si rivela un gioco da ragazzi e la macchina diventa un cosiddetto “sistema zombie” per sferrare qualsiasi tipo di attacco senza essere scoperto.
Scegliere password sicure è un ottimo modo per tenere alla larga hacker malintenzionati che, piuttosto che perdere tempo a cercare di forzarle, continuano nella ricerca di altri PC da compromettere. 

Affidarsi a professionisti

Infine, non da ultimo, è importante affidare la sicurezza della rete ad esperti del settore che fanno questo di mestiere e conoscono tutte le procedure e gli strumenti per garantire il massimo della sicurezza informatica.
Stipulare un contratto di assistenza informatica con ALEXIS ROMERO significa avere un partner con tecnici preparati e certificati che possono aiutare a prevenire problemi alla rete.?

Non dimenticare di proteggere i tuoi dati!

Contattaci per il tuo espazione di backup programmato in cloud solo con un costo aggiuntivo di 300 euro anno sul tuo contratto assistenza metti in sicurezza i tuoi dati aziendali

Backup su NAS, Cloud, OneDrive Business Alexis Romero, Backup di database SQL Server e MySQL
Backup incrementale di macchine virtuali VMware ESXi, vCenter, ESXi Free
Backup di Hyper-V
Backup di Exchange 2010, 2013, 2016, 2019

Tutto Tra fatturazione elettronica e GDPR

CHE COS’È IL GDPR?

GDPR è il Regolamento sulla sicurezza dei dati che si adatta all’evoluzione digitale. La Digital Transformation, il Cloud computing e l’Internet of Things sono tra i fattori responsabili di un incremento esponenziale dei dati presenti su scala globale. Si stima, infatti, che negli ultimi due anni sono stati prodotti il 90% dei dati presenti in Internet. Questa mole di dati, che prende il nome di “Big Data”, necessita di particolare attenzione per quanto riguarda la Sicurezza e la Privacy.

La Commissione Europea ha sancito un Regolamento con il quale adempire a questa necessità: GDPR UE 2016/679, acronimo di General Data Protection Regulation. Questo Regolamento ha i seguenti obiettivi:
  1. Rendere più omogenea la protezione dei dati personali di cittadini e residenti dell’Unione Europea, sia all’interno che all’esterno dei confini dell’Unione europea.
  2. Affrontare il tema dell’esportazione dei dati personali al di fuori dell’Unione Europea.
  3. Ottimizzare il controllo dei dati personali dei cittadini residenti nell’Unione Europea, adattando la normativa in base al contesto che riguarda gli affari internazionali nella quale si trova il titolare del trattamento degli stessi.
  4. differenza dell’attuale direttiva, è ammissibile che il titolare del trattamento sia una società, azienda, impresa od ente con sede legale fuori dall’UE.
Ridurre gli attacchi informatici che mirano al danneggiamento, di qualsivoglia natura, dei Dati personali dei cittadini di cui al punto 3.

REGOLAMENTO UFFICIALE GDPR

GDPR è stato pubblicato sulla Gazzetta Ufficiale Europea il 4 maggio 2016 ed entrato in vigore il 25 maggio dello stesso anno. Dal 25 maggio 2018, inizierà ad avere efficacia, andando a sostituire la direttiva sulla protezione dei dati (ufficialmente Direttiva 95/46/EC) istituita nel 1995, e abrogando le norme che risulteranno incompatibili con il Codice per la protezione dei dati personali (dlgs.n. 196/2003) attualmente in vigore.

Per soddisfare i requisiti del GDPR, quello che viene richiesto ai titolari del trattamento è di dimostrare di aver adottato le misure di sicurezza idonee circa il trattamento dei dati. Per poterlo dimostrare, bisogna produrre un documento scritto e/o cartaceo costituito da:

modulo tecnologico: nel quale dover dimostrare di aver implementato tutte le funzionalità tecniche necessarie, come:

Abbattere le vulnerabilità dell’infrastruttura informatica, implementando tecnologie come:
  • Firewall
  • End point
  • Crittografia dei dati personali

Formazione degli IT manager, dei manager e del personale, i quali devono essere a conoscenza del Regolamento GDPR e delle modalità di utilizzo dei dati personali.

modulo legale: nel quale dover dimostrare un adeguamento legale in linea con quanto espresso dal GDPR, affrontando temi come:

Privacy by default: La quantità di dati personali utilizzati deve essere ridotto al minimo indispensabile per poter raggiungere le finalità previste nel periodo di tempo necessario a tali fini.
Privacy by design: Ponendo la privacy dell’interessato al trattamento al centro del progetto in questione. In questo modo, si cerca di prevenire eventuali rischi di incorre a danni all’interessato, che si riflettono poi sull’azienda stessa, in termini economici e di immagine.

Questo documento prende il nome di Assessment, in cui il titolare del trattamento include la valutazione complessiva della situazione corrente in materia di protezione dei dati personali, nei punti espressi dal GDPR.

Tra fatturazione elettronica e GDPR: i dubbi del Garante e le risposte dell’Agenzia delle Entrate

Abbiamo accolto il 2019 con una grande novità: la fatturazione elettronica. Facciamo chiarezza sull’argomento più discusso durante il primo mese dell’anno.
Si tratta di un processo digitale che gestisce le fatture nel corso dell’intero ciclo di vita che le caratterizza: iniziando dalla generazione, passando per l’emissione e ricezione, giungendo sino alla conservazione dei documenti per circa 10 anni. L’obbligo di fatturazione elettronica è stato esteso, a partire dal 1° Gennaio 2019, non solo alle cessioni di beni e prestazioni di servizi B2B tra operatori IVA, ma anche alle B2C, effettuate verso un consumatore finale. Sono stati fatti molti progetti, giunti ad una conclusione senza interpellare un importante protagonista: il Garante Privacy. Possiamo annunciare che egli ha emanato una serie di provvedimenti, i quali sembrerebbero non condividere il disegno originario del progetto. Scopriamo insieme il suo parere e gli sviluppi della vicenda, fino ad ora!

 

Che cosa ne pensa il Garante?

Sicuramente dal punto di vista ecologico e della prevenzione dell’evasione fiscale, l’introduzione della fatturazione elettronica è certamente un’ottima mossa. Essa permette infatti di risparmiare notevoli quantità di carta e di controllare tutti, specialmente i furbetti che di tasse non ne vogliono sentire parlare neanche lontanamente. Come tutte le cose ci sono pregi e difetti: il nuovo obbligo infatti presenta un rischio elevato per i diritti e le libertà degli interessati, comportando un “trattamento sistematico, generalizzato e di dettaglio di dati personali su larga scala, potenzialmente relativo ad ogni aspetto della vita quotidiana dell’intera popolazione, sproporzionato rispetto all’obiettivo di interesse pubblico, pur legittimo, perseguito”.

Con questa premessa abbiamo scardinato quanto precedentemente annunciato: il dissenso del Garante quando si parla di fatturazione elettronica si riconduce ad una serie di criticità in ordine alla compatibilità con la normativa in materia di protezione dei dati personali.

Esse sono state rilevate dallo stesso nel provvedimento del 15 Novembre 2018, n. 481: anzitutto viene segnalata la mancata consultazione del Garante nella fase di progettazione della misura, seguita dall’indicazione dell’aspetto principale oggetto di opposizione, dato dalla natura dei dati raccolti e archiviati dall’Agenzia.

 

Da che cosa deriva questa presa di posizione?

Capire la posizione del Garante è ancora più semplice se si pensa che la fattura vera e propria in formato XML, oltre che contenere dati prettamente fiscali, riporta anche dati di dettaglio, volti ad individuare beni, servizi ceduti, fidelizzazioni, abitudini di consumo, nonché categorie di dati particolari e giudiziari, rilevabili da fatture elettroniche emesse da operatori sanitari o del settore giudiziario. Aggravio ulteriore è la mancata adozione di misure di garanzia da parte dell’Agenzia dell’Entrate, volte ad assicurare il rispetto dei principi di limitazione delle finalità, minimizzazione e riservatezza sanciti dall’articolo 5 del GDPR.

Peraltro, la memorizzazione sul portale dell’Agenzia di tutte le fatture elettroniche in formato XML e con esse di tutti i dati non obbligatori di natura non fiscale, ostacola ulteriormente le prescrizioni del Regolamento europeo 679/2016. L’Autorità Garante ha messo in luce, a novembre 2018, la scarsa sicurezza dei canali di trasmissione utilizzati, motivo per cui occorre pertanto prevedere anche nell’ambito del Sistema d’Interscambio (SDI), l’utilizzo di connessioni sicure, idonee a garantire un livello di sicurezza adeguato al rischio, in conformità a quanto sancito dall’art. 32 del GDPR.

A tali aspetti si è aggiunta la mancata cifratura del file XML della fattura, la mancata indicazione delle finalità di conservazione e di controllo perseguite dall’Agenzia nell’app Fatturae ed infine il ruolo ambiguo assunto dall’Agenzia dell’Entrate in relazione al trattamento dei dati personali nell’erogazione del servizio gratuito di conservazione delle fatture. Sulla base di tali criticità il Garante ha imposto di rivedere il progetto originario, rendendolo conforme a quanto stabilito dal Regolamento europeo relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali.

 

Dopo il NO del Garante sono comparse le soluzioni dell’Agenzia

Con la nota del 17 dicembre 2018 l’Agenzia dell’Entrate è corsa ai ripari, illustrando le iniziative che intende adottare in relazione alle criticità evidenziate dal Garante. Per quanto concerne la sproporzionata memorizzazione di tutti i dati contenuti all’interno del file XML, è stato proposto di memorizzare l’intero file e renderlo disponibile ai fini della consultazione e download solo nel caso in cui l’operatore economico ovvero il consumatore finale abbia espressamente fornito il suo consenso per il servizio di consultazione, disponibile dal 3 maggio 2019. Nella nota in esame l’Agenzia rassicura circa la natura dei dati memorizzati, escludendo i campi relativi alle descrizioni.  Riguardo il trattamento dei dati a fini di controllo, si riserva di comunicare all’Autorità le modalità di trattamento di tali dati. La necessità di memorizzarli emerge per evitare eventuali disservizi. Al fine di rendere sicuro il processo di fatturazione l’Agenzia si impegna ad attivare un canale cifrato basato su protocollo SFTP (Secure File Transfer Protocol), un protocollo di rete per i trasferimenti di file, utile a tutti i soggetti che a partire dal 5 giugno 2018 hanno presentato una richiesta di accreditamento allo SDI.  Al contrario, in merito alla mancata adozione di misure di protezione crittografica dei file XML delle fatture elettroniche, si afferma che l’applicazione al file XML della fattura di algoritmi di cifratura non risulterebbe compatibile con un modello in cui la fattura deve essere leggibile. Nella medesima nota si sottopongono all’attenzione del Garante alcuni miglioramenti delle applicazioni nell’ambito dei servizi online della fatturazione elettronica, nonché una valutazione d’impatto sulla protezione dei dati trattati. Non si sono fatte attendere risposte da parte dell’Autorità Garante che sul punto ha già sollevato obiezioni nel provvedimento n. 511 del 20 dicembre 2018 e ha fornito suggerimenti all’Agenzia per adempiere correttamente agli obblighi di legge in ambito privacy.

Il confronto tra le due Autorità non sembrerebbe concluso considerata la strada ancora lunga che l’Agenzia dovrà percorrere per essere compliance al GDPR. Entro il 15 Aprile 2019 dovrà essere presentata una nuova valutazione d’impatto relativa al trattamento dei dati relativi al processo di fatturazione elettronic

MAIL PHISHING


Monitoraggio di rete


Quando si parla di monitoraggio di rete molte persone pensano che sia giusto bello da vedere: spie verdi tutto ok, giallo problemi piccoli e rosso problemi grossi.

In realtà, come in tutte le cose, il monitoraggio di rete potrebbe essere fondamentale per trasformare il tuo reparto IT da “reattivo” a “proattivo”, con notevoli risparmi di tempo, denaro e un generale miglioramento di prestazioni e affidabilità.

Vediamo assieme il perchè.

Monitoraggio di rete: l’approccio reattivo.
Immagina questa situazione: la tua azienda ha diverse piccole sedi, collegate tra loro magari con delle antenne. Improvvisamente arriva la chiamata di una delle sedi periferiche con la solita frase “Qui non funziona più niente”.
Tu sai benissimo che possono essere tanti i motivi di questa cosa. Presumibilmente potrebbe essere andata giù un’antenna, o magari il PC che la controlla, o semplicemente un modem che deve essere riavviato.
Sei nella tipica situazione di reazione: reagisci cioè ad un evento. Ci vuole tempo, devi interrompere subito quello che stavi facendo, non puoi pianificare nulla. Per aziende anche di medie dimensioni è devastante lavorare in questo modo.

Attivando un monitoraggio di rete saresti in grado di tenere sotto controllo (appunto monitorare) ogni singolo nodo della tua rete. Questo ti permetterebbe di sapere immediatamente (attraverso il sistema di notifiche sempre attivo) cosa succede e soprattutto dove.

Sei sempre in “reazione” ad ogni singola rottura
Sempre in balia degli eventi.
Ecco perché l’approccio reattivo è sempre perdente. Perdi tempo, perdi soldi e anche la salute.

Essere proattivi grazie al monitoraggio di rete

Ora immagina di presentarti in un ufficio e dire ad una persona specifica “Ti sostituiamo un pezzo del tuo PC per evitare che ti si rompa del tutto”.
Pensa: potresti valutare (e quindi schedulare, pianificare) la sostituzione di un server perché vedi che continua ad avere errori nella ram. Potresti anche andare dalla proprietà e dire: dobbiamo pianificare un investimento perchè c’è un server che continua a dare errori e non possiamo permetterci di perderlo.
Ovviamente avrai già implementato backup aggiuntivi e ti sarai “preparato” all’evenienza. Capisci la differenza? Quanti soldi potrebbe farti risparmiare il monitoraggio di rete? 
Dai dispositivi periferici al controllo dei singoli servizi del server, dal monitoraggio di postazioni remote a quello di antenne, wifi etc. Tu avrai il controllo e tu potrai organizzarti al meglio per evitare disastri.


Monitoraggio di rete: la soluzione Di ALEXIS ROMERO

La nostra soluzione è molto pratica: possiamo interrogare dispositivi (nel caso di hardware periferico) oppure installare dei piccoli client, molto leggeri, direttamente sulla macchina (pc o server poco importa) da monitorare.
Questo ci garantisce di poter controllare ogni nodo di rete anche a livello di servizio.
Delle consolle di gestione (semplici da usare) e un sistema di notifiche anche attraverso APP (quindi direttamente su cellulare) completano il giro e permettono di avere una soluzione completa di monitoraggi di rete.