Articoli

Il Garante privacy presenta la relazione 2019: ancora troppe vulnerabilità informatiche

GDPR e tutela degli interessati: quali regole per garantire la protezione dati?

Lo scorso 23 giugno, l’Autorità Garante per la protezione dei dati personali ha presentato la Relazione annuale sull’attività svolta nel corso del 2019.

Nel complesso, le attività consultive e di vigilanza dell’Autorità di controllo si sono incentrate innanzitutto sulle importanti novità introdotte dal GDPR. Al contempo, sono state esaminate le più rilevanti questioni connesse alla tutela dei diritti fondamentali nel mondo digitale, quali ad esempio:

  • Le implicazioni etiche della tecnologia;
  • L’economia fondata sui dati e la monetizzazione delle informazioni personali, i Big data e le grandi piattaforme;
  • L’intelligenza artificiale e le problematiche poste dagli algoritmi;
  • La sicurezza dei sistemi e la protezione dello spazio cibernetico;
  • La pervasività delle diverse forme di controllo e sorveglianza, nonché il ricorso sempre più diffuso ai dati biometrici;
  • Le fake news, l’Internet delle cose e il revenge porn.

 

Tra i molteplici temi trattati, l’Autorità ha rilevato forti ed elevate criticità sul fronte della cybersecurity: in particolare, la proliferazione di attacchi informatici nel corso del 2019 sarebbe causata dalla scarsa attenzione in ordine alla predisposizione delle più opportune misure di sicurezza. Tale carenza risulta presente non solo nel contesto delle pubbliche amministrazioni, ma anche delle imprese e delle piattaforme on line.

Le tipologie di violazione dei dati personali più frequenti hanno riguardato:

  • Attacchi informatici volti all’acquisizione di dati personali (quali credenziali di accesso, dati relativi a strumenti di pagamento, dati di contatto);
  • Accesso non autorizzato a caselle di posta elettronica (ordinaria e certificata);
  • Perdita o indisponibilità di dati personali causata da malware di tipo ransomware;
  • Smarrimento o furto di dispositivi digitali o documenti cartacei contenenti dati personali;
  • Comunicazione o diffusione accidentale di dati personali.

 

L’eccessiva vulnerabilità dei sistemi pubblici e privati sarebbe confermata dal cospicuo numero di data breach notificati nel 2019 al Garante da parte di soggetti pubblici e privati, che ammontano a ben 1443.

Per tali ragioni, il Garante ha fornito indicazioni su come difendersi dai software dannosi, in particolare dai ransomware, i programmi informatici che rendono il dispositivo elettronico (pc, tablet, smartphone, smart tv per poi chiedere un riscatto ostaggio dell’hacker, che richiede poi alla vittima una ricompensa in denaro considerevole per ripristinare i dati e i documenti.

Secondo il Garante, l’attenzione riposta sulla sicurezza dovrebbe essere massima, dal momento che costituisce una minaccia particolarmente pericolosa nell’epoca del Covid-19, che ha portato molte più persone e per molto più tempo ad essere connesse online.

 

La necessità di formazione in materia di GDPR e professioni digitali: Hedya propone i percorsi formativi innovativi

La recente posizione adottata dall’Autorità di controllo per la protezione dati dimostra che per poter operare correttamente sul web e nei luoghi di lavoro, occorre una buona conoscenza dei principi e delle novità introdotte dal GDPR.

Per tali ragioni, Hedya propone gli innovativi percorsi di formazione:

 

Inoltre, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

 

Si segnalano, per i percorsi formativi e di aggiornamento:

 

 

/da

PA e Smart working, avviata la consultazione pubblica per favorire la Transizione al digitale

Consultazione pubblica sullo smart working: la transizione al digitale è la regola?

 

Con la Legge n. 27 del 24 aprile 2020 e il D.P.C.M. del 26 aprile 2020 si è operata una rivoluzione dell’agire pubblico: per un verso, le Pubbliche amministrazioni sono state invitate a facilitare la transizione al digitale delle attività amministrative, anche attraverso la dematerializzazione dei procedimenti; per altro verso, si è definito il lavoro agile come modalità ordinaria di svolgimento della prestazione lavorativa nelle pubbliche amministrazioni fino alla cessazione dello stato di emergenza epidemiologica.

Per supportare la transizione al digitale, il Ministro per la pubblica amministrazione ha adottato la direttiva n. 3/2020, con cui sono state fornite più precise indicazioni per lo smart working nel settore pubblico.

Al fine di valutare i vantaggi e le criticità desumibili dalle prime sperimentazioni di lavoro agile, il Ministro per la Pubblica Amministrazione ha promosso una consultazione pubblica, per raccogliere informazioni sulle esperienze in corso nelle amministrazioni.

In particolare, la consultazione terminerà il 30 giugno 2020, e procederà dapprima all’ascolto di due categorie di destinatari distinti e prioritari, quali:

  • i dirigenti pubblici, in quanto figura direttamente coinvolta nell’attuazione dello smart working dal punto di vista dell’organizzazione del lavoro e, più in generale, di promotori dei fattori abilitanti (revisione delle modalità organizzative, digitalizzazione dei processi);
  • i dipendenti, in qualità di “lavoratori agili” e, più in generale, di principali portatori di interesse rispetto ai processi di cambiamento indotti dallo smart working.

 

Gli obiettivi principali della consultazione consistono nel rilevare:

  • Le opinioni e le valutazioni dei dirigenti delle pubbliche amministrazioni, nonché tutte le osservazioni utili per accompagnare, sostenere e promuovere la diffusione dello smart working;
  • Le opinioni e le valutazioni dei dipendenti che hanno prestato la propria attività lavorativa in modalità agile prima e durante l’emergenza COVID-19. In secondo luogo, verranno valutati il grado di soddisfazione, la rispondenza dell’esperienza realizzata rispetto alle proprie aspettative, i punti di forza alle eventuali criticità e i margini di miglioramento di cui tener conto ai fini di una ottimale applicazione futura dello smart working nelle amministrazioni pubbliche;
  • Le aspettative e le eventuali indicazioni di tutti riguardo al “lavoro agile del futuro” e quindi al “futuro del lavoro pubblico”.

 

 

 

La necessità di formazione in materia di Smart working e Sicurezza: Hedya propone i percorsi formativi innovativi

Il tema cruciale per garantire la transizione al digitale è sicuramente quello legato alle competenze digitali nella PA, che costituisce il fattore abilitante per qualsiasi corretta e adeguata governance dell’innovazione. Le recenti misure adottate a livello nazionale confermano che per poter operare correttamente, occorre un’adeguata preparazione in materia di sicurezza, privacy e tutela dei lavoratori. Accanto alla predisposizione di tali misure tecnico – organizzative, con la Direttiva 3/2020 il Ministro per la Pubblica amministrazione considera fondamentale il ricorso all’attività formativa come strumento di accompagnamento del proprio personale nel processo di trasformazione digitale dell’amministrazione e di diffusione della capacità di lavorare in modalità agile per il raggiungimento degli obiettivi assegnati.

 

Per tali ragioni, Hedya propone gli innovativi percorsi di formazione:

 

 

Il percorso è rivolto:

  • a tutti coloro che all’interno delle Pubbliche Amministrazioni sono coinvolti, a vario titolo, nei processi di trasformazione alla modalità digitale;
  • a tutti coloro che sono stati nominati e che svolgono attualmente il ruolo di Responsabile per la Transizione al Digitale.

 

Inoltre, Hedya supporta le Pubbliche Amministrazioni attraverso servizi di consulenza mirati, in materia di digitalizzazione, sui temi più critici connessi agli obblighi e agli adempimenti prescritti dalla legge.

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

 

/da

Conservazione documenti digitali, parere Garante all’AgID: aumentare la protezione dei dati personali contenuti nei documenti informatici

Documento informatico: il Garante richiede maggiore protezione dei dati personali contenuti nei documenti informatici

 

Con il Parere del 21 maggio 2020, il Garante per la protezione dei dati personali si è nuovamente pronunciato in materia di Conservazione dei documenti informatici: in linea con quanto già rilevato in un precedente Provvedimento, lo schema di “Linee Guida sulla formazione, gestione e conservazione dei documenti informatici” deve assicurare la centralità del GDPR. Come già descritto nel precedente post, infatti, la protezione dei dati personali contenuti nei documenti informatici deve essere costantemente garantita.

Nel recente parere, pertanto, il Garante ha ribadito la necessità:

  • Di apprestare più elevati standard di sicurezza;
  • Di favorire maggiore coordinamento tra Responsabile della Conservazione, Responsabile per la Transizione al Digitale (RTD) e Responsabile per la Protezione dati (DPO).

 

In particolare, secondo il Garante il Conservatore riveste il ruolo di responsabile del trattamento: pertanto, le Linee guida dovranno rimarcare gli obblighi del conservatore in materia di restituzione dei dati al produttore (titolare del trattamento). Proprio per tali ragioni, inoltre, è importante che nel processo di cessazione venga coinvolto anche il Responsabile per la protezione dei dati (Dpo).

Nel complesso, dunque, le indicazioni fornite dal Garante consentiranno di aumentare la protezione dei dati personali contenuti nei documenti informatici, garantendo la sicurezza del trattamento, anche attraverso una più chiara attribuzione dei compiti e una corretta ripartizione delle responsabilità.

 

Il Garante, pertanto, ha evidenziato la necessità di alcuni ulteriori perfezionamenti, volti a renderlo pienamente conforme ai principi e alle garanzie in materia di protezione dei dati personali.

Al contempo, per attuare il piano della sicurezza del sistema di gestione informatica dei documenti, nell’ambito del piano generale della sicurezza ed in coerenza con quanto previsto dal Piano Triennale per l’Informatica nella Pubblica Amministrazione vigente, il Garante ha richiesto di apprestare una forte coordinazione e collaborazione tra:

  • Responsabile della gestione documentale;
  • Responsabile della sicurezza;
  • Responsabile della conservazione;
  • Responsabile dell’ufficio per la Transizione al Digitale (RTD);
  • Responsabile per la Protezione dati (DPO).

In particolare, il responsabile della conservazione, di concerto con il responsabile della sicurezza e con il responsabile della transizione digitale, acquisito il parere del responsabile della protezione dei dati personali, provvede a predisporre, nell’ambito del piano generale della sicurezza, il piano della sicurezza del sistema di conservazione, mettendo in atto opportune misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio in materia di protezione dei dati personali, ai sensi dell’art. 32 del GDPR.

 

 

Come assicurare la collaborazione tra le varie figure professionali? Hedya propone un percorso formativo innovativo sulle “Nuove Professioni Digitali”

 

Le posizioni del Garante evidenziano la necessità di percorsi formativi integrati, che coinvolgano le varie figure professionali.

 

Per tali ragioni, Hedya propone il percorso formativo innovativoLe Nuove Professioni Digitali”. Se il Codice dell’Amministrazione Digitale (D.Lgs. 82/2005 o semplicemente CAD) e la normativa collegata (Linee Guida AgID) ci presentano il Responsabile Transizione al Digitale e Responsabile della Conservazione Documentale, il Regolamento Europeo 2016/679 (GDPR) schiera in campo il Responsabile per la protezione dei dati personali e l’Amministratore di sistema.  Si tratta di nuove figure professionali, la cui formazione deve necessariamente essere di natura trasversale, che convivono della nuova P.A. Digitale e che ne guidano il cambiamento.

 

Per garantire adeguata formazione specialistica, Hedya propone un percorso formativo per tutti coloro che vogliano intraprendere un percorso professionale di elevata specializzazione, finalizzato all’acquisizione delle conoscenze preliminari di natura giuridica, organizzativa e tecnologica tipiche del ruolo di Responsabile della Conservazione dei documenti informatici. Il Responsabile della Conservazione rappresenta dunque una figura con formazione specialistica che ha il compito di definire e attuare, in piena autonomia decisionale, le politiche in merito alla progettazione e alla gestione dei sistemi informatici di conservazione e archiviazione documentale.

I contenuti del corso mirano, pertanto, ad illustrare le vigenti disposizioni in materia di:

  • Dematerializzazione;
  • Digitalizzazione;
  • Conservazione e Archiviazione di documenti informatici;

 

Ulteriori informazioni sono disponibili qui.

 

/da

Il settore aereo non è “Immune” al rischio cyber: Easyjet, a rischio più di 9 milioni di passeggeri

Settore aereo a rischio Data breach: quali criticità?

 

A seguito del recente attacco hacker subito dalla compagnia aerea Easyjet, il settore aereo si conferma non esente dagli attacchi cyber. Sin dal 2018, infatti, l’aviazione londinese è stata oggetto di attacchi informatici attraverso la diffusione del cryptolocker WannaCry, che aveva paralizzato l’aviazione e il corretto servizio della British Airways.

L’episodio risultò particolarmente eclatante, in quanto rappresentava un incidente di sicurezza causato da un’errata percezione umana della soglia del rischio cyber, che si è tradotta nella mancata predisposizione di misure tecniche ed organizzative idonee ad assicurare adeguati standard di sicurezza.

Il caso British Airways ha dimostrato che il sistema IT costituisce un tassello fondamentale nella strategia organizzativa aziendale, che non può pertanto essere marginalizzato. Adeguare i propri sistemi IT implica dotarsi di architetture applicative aggiornate ed efficaci, al fine di evitare compromissioni della sicurezza.

L’importanza della sicurezza IT è confermata dal recente attacco che ha interessato la compagnia aerea Easyjet: lo scorso gennaio, in particolare, sono stati sottratti i contatti mail e altre informazioni di viaggio di 9 milioni di passeggeri; oltre a questi dati, l’indagine ha anche rilevato che sono stati consultati i dati della carta di credito di 2.208 clienti.

Come specificato in un Comunicato pubblicato sul sito web della compagnia, la società ha informato il Centro Nazionale della Sicurezza Informatica del Regno Unito, nonché l’Ufficio del Commissario per l’informazione (ICO) del Regno Unito.

La compagnia ha infine assicurato pubblicamente di aver già preso i provvedimenti adeguate per contattare tutti questi clienti ed è stata offerta assistenza. Non vi sarebbero prove che le informazioni personali di qualsiasi natura, compresi i dati della carta di credito siano state utilizzate in modo improprio.

 

 

La necessità di percorsi formativi adeguati e di servizi di consulenza mirati: le proposte di Hedya

Le recenti misure adottate a livello nazionale confermano che per poter operare correttamente, una ottima conoscenza dei principi e delle novità introdotte dal GDPR, nonché delle più importanti applicazioni pratiche, costituisce un requisito essenziale, benché non unico: occorrono, altresì, costanti aggiornamenti ed approfondimenti mirati sulle prassi applicative.

Per tali ragioni, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

 

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

 

 

/da

Indennità Covid-19 nel mirino hacker: clonato il portale INPS

L’Inps nel mirino malware: quali condotte adottate dagli hacker?

Come abbiamo esaminato nei precedenti post, nel corso degli ultimi mesi si sono verificati numerosi attacchi malevoli, che hanno sfruttato il timore del contagio e lo stato di necessità economica della popolazione.

Da ultimo, infatti, il portale dell’Inps è stato oggetto di un importante data breach, classificato dal Garante per la protezione dei dati personali come un episodio a rischio “elevato” per i diritti e le libertà dei soggetti coinvolti.

La popolarità e la centralità che l’Inps ha assunto nel corso degli ultimi due mesi, in ragione delle massicce richieste di sussidi economici, hanno costituito gli indispensabili presupposti per il lancio di una nuova campagna malevola. Al fine di indurre i contribuenti in inganno, è stato predisposto un portale che richiamava graficamente ed intuitivamente il sito dell’Istituto di previdenza; l’unica più spiccata differenza con il sito ufficiale consiste nel dominio della pagina fake, creato in data 25 maggio 2020 e registrato come “inps-it[.]top”.

In particolare, sfruttando la richiesta di indennità Covid-19, gli hacker hanno esposto una pagina clone del sito INPS sul dominio fake, proponendo in download una sedicente “domanda per la nuova indennità COVID-19”: il file, in realtà, restituisce un file APK malevolo per utenti Android (con Build$VERSION.SDK_INT < 26). Il malware così veicolato è dunque destinato esclusivamente agli utenti Android.

Dalla prima analisi svolta da Cert-AgID, si è verificato che il download della domanda determina l’installazione sul dispositivo del file “acrobatreader.apk”, contenente un malware di tipo TrojanBanker. Come esaminato nei precedenti post, una volta installati, i Banking Troyan possono osservare e tracciare le azioni compiute dall’utente: in tal caso, il malware propone le istruzioni per abilitare il servizio di accessibilità, al fine di sfruttare le legittime funzioni di tale servizio e quindi consentire al malware un accesso più ampio alle API di sistema per dialogare con altre app presenti sul dispositivo, al fine di carpire password ovvero informazioni bancarie e della carta di credito.

L’attività fraudolenta così realizzata si aggiunge alla nota campagna di phishing dello scorso aprile, causata ai danni degli utenti Inps.

Le minacce informatiche costituiscono una costante sfida nel trattamento dati. Esse richiedono, in capo al Titolare del trattamento, il rispetto dei principi e delle regole imposte dal GDPR, in particolare:

  • La sicurezza del trattamento, come previsto dall’art. 32 GDPR;
  • L’implementazione di misure che garantiscano la privacy by default e by design;
  • Il rispetto dei diritti dell’interessato;

 

Si ricorda, inoltre, che il primo fattore di vulnerabilità dei sistemi – ivi compreso quello relativo alla data protection – è costituito dall’errore umano, causato da un’errata valutazione o da una scarsa percezione del problema e delle criticità conseguibili.

Tra questi, rientra anche il download di installer che, fraudolentemente, si spacciano per applicazioni molto conosciute: questi, in realtà, contengono varie minacce, come quelle adware “advertising supported software” (software sovvenzionato da pubblicità).  Si tratta software che adoperano metodologie subdole, che possono determinare il trasferimento su un altro programma, al fine di provocarne con l’inganno l’installazione su PC, tablet o dispositivo mobile.

 

 

L’importanza della formazione e della consulenza specialistica come fattore di prevenzione

 

Le nuove minacce congeniate dai cyber- criminali espongono gli operatori economici e le Pubbliche amministrazioni a nuove criticità e preoccupazioni. In questi casi, l’assenza di formazione ed informazione su tali aspetti costituiscono i primi fattori di vulnerabilità del sistema organizzativo aziendale e pubblico.

Per tali ragioni, Hedya presenta gli innovativi percorsi di formazione:

I percorsi formativi sono rivolti al personale di enti pubblici e privati, a tutti i datori di lavoro e liberi professionisti interessati alla materia.

 

Inoltre, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

 

Si segnalano, per i percorsi formativi e di aggiornamento:

 

 

 

/da

Navigare in sicurezza: la Polizia Postale fornisce una breve guida

Garantire la sicurezza: indicazioni dalla Polizia Postale

Il tema della sicurezza costituisce un tassello fondamentale nello sviluppo dello smart working e per la corretta realizzazione dell’Amministrazione Digitale.

Nel corso degli ultimi due mesi, infatti, si sono susseguite molteplici misure per garantire la continuità della prestazione lavorativa (il D.P.C.M. del 26 aprile 2020 ha definito il lavoro agile come modalità ordinaria di svolgimento della prestazione lavorativa nelle pubbliche amministrazioni fino alla cessazione dello stato di emergenza epidemiologica) e infondere maggiore consapevolezza nell’uso dei dispositivi personali.

Come evidenziato nei precedenti post, per supportare la transizione al digitale nella PA, il Ministro per la pubblica amministrazione ha adottato la direttiva n. 3/2020, mentre l’AgID ha enucleato una serie di Raccomandazioni sulla base delle misure minime di sicurezza informatica per le pubbliche amministrazioni fissate dalla circolare  17 marzo 2017, n. 1/2017.

Di recente, inoltre, anche la Polizia Postale ha pubblicato una guida esemplificativa per l’utilizzo più consapevole della rete. La Polizia Postale ha rilevato che il principale veicolo di diffusione dei virus é la posta elettronica, a causa dei fuorvianti e pericolosi link o file allegati ai messaggi di posta elettronica.
Nella Guida si chiarisce, infatti, che un virus può trasmettersi unicamente tramite file eseguibili (programmi con estensione exe,com,drv e dll) o contenenti una parte di codice che viene eseguita.(Es. documenti in formato word che contengono macro).

In particolare, sono state fornite alcune utili indicazioni per prevenire attacchi indesiderati:

  • Utilizzare i firewall;
  • Utilizzare un software di tipo antivirus e aggiornarlo regolarmente;
  • Non aprire gli allegati ai messaggi di posta elettronica se non dopo averli esaminati con un antivirus;
  • Non eseguire programmi prima di averli analizzati con un antivirus;
  • Effettuare copie di backup;
  • Non fornire nelle chat i propri dati personali;
  • Sceglier una password sicura e non comuicarla a nessuno;
  • Ultilizzare, per le comunicazioni riservate, software di cifratura.

 

 

L’importanza della formazione e della consulenza specialistica come fattore di prevenzione

 

Le nuove minacce congeniate dai cyber- criminali espongono gli operatori economici e le Pubbliche amministrazioni a nuove criticità e preoccupazioni. In questi casi, l’assenza di formazione ed informazione su tali aspetti costituiscono i primi fattori di vulnerabilità del sistema organizzativo aziendale e pubblico.

Per tali ragioni, Hedya presenta gli innovativi percorsi di formazione:

I percorsi formativi sono rivolti al personale di enti pubblici e privati, a tutti i datori di lavoro e liberi professionisti interessati alla materia.

 

Inoltre, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

 

Si segnalano, per i percorsi formativi e di aggiornamento:

 

 

 

/da

Nuove Linee Guida AgID sul Procurement ICT: la sicurezza ICT passa per la formazione

Sicurezza nel Procurement ICT: quali regole?

Il tema della sicurezza costituisce un tassello imprescindibile per la corretta realizzazione dell’Amministrazione Digitale: la sicurezza informatica rappresenta un elemento necessario per garantire la disponibilità, l’integrità e la riservatezza delle informazioni del Sistema informativo della Pubblica amministrazione; più in generale, occorre realizzare un sistema amministrativo capace di ispirare fiducia nei cittadini, presupposto per la diffusione dei servizi digitali.

Per tali ragioni, l’AgID ha emanato lo scorso 20 maggio le Linee Guida sulla sicurezza nel Procurement ICT, che erano in consultazione dal 14 maggio al 13 giugno 2019, assieme alle “Linee guida per lo sviluppo e la definizione del modello nazionale di riferimento per i CERT regionali”.

Si tratta di un documento orientativo, destinato in misura prevalente a tutti coloro che all’interno delle pubbliche amministrazioni si occupano a vario titolo di acquisizione di strumenti informatici, come ad esempio dirigenti, funzionari, RUP delle gare pubbliche, responsabili della transizione al digitale, responsabili dell’organizzazione, pianificazione e sicurezza. Purtuttavia, le Linee Guida hanno un respiro molto ampio, offrendo altresì indicazioni utili per gli operatori di mercato che forniscono soluzioni Ict alle Pubbliche Amministrazioni.

Le Linee Guida propongono una serie di azioni per strutturare e formalizzare i futuri procedimenti di acquisizione: l’intento consiste nel minimizzare il rischio di trovarsi in situazioni inaspettate ed inattese, dovendo ricorrere a soluzioni estemporanee e, spesso, non adeguate ad eliminare il problema.

In particolare, il documento ha la finalità di:

  • illustrare in modo semplice la problematica della sicurezza nel procurement ICT;
  • formalizzare definizioni e concetti legati alla sicurezza nel procurement ICT, rendendoli coerenti con la norma e con il contesto della pubblica amministrazione;
  • presentare buone prassi, soluzioni già in uso, misure semplici da adottare (strumenti operativi, esempi pratici, riferimenti puntuali), per verificare il livello di sicurezza degli attuali processi di acquisizione ed eventualmente per migliorarne la qualità.

Dal punto di vista organizzativo, le Linee Guida richiamano la necessità di continua formazione e coordinamento tra le figure maggiormente coinvolte in tali processi, in particolare conseguendo competenze aggiornate di Procurement Management, Gestione Progetti, Asset Management, Change Management, Risk Management, Sicurezza e Protezione dei Dati.

Al contempo, l’AgID ritiene che la promozione della sicurezza costituisca un fattore essenziale: infatti, è essenziale che le amministrazioni mantengano al loro interno un adeguato livello di consapevolezza sulla tematica della sicurezza nel procurement ICT, anche attraverso l’inserimento di sessioni formative nella normale attività di formazione verso i dipendenti (ad esempio, nel calendario della formazione obbligatoria sulla sicurezza dei luoghi di lavoro e sulla privacy).

 

 

 

L’importanza della formazione e della consulenza specialistica come fattore di prevenzione

 

Le nuove minacce congeniate dai cyber- criminali espongono gli operatori economici e le Pubbliche amministrazioni a nuove criticità e preoccupazioni. In questi casi, l’assenza di formazione ed informazione su tali aspetti costituiscono i primi fattori di vulnerabilità del sistema organizzativo aziendale e pubblico.

Per tali ragioni, Hedya presenta gli innovativi percorsi di formazione:

I percorsi formativi sono rivolti al personale di enti pubblici e privati, a tutti i datori di lavoro e liberi professionisti interessati alla materia.

 

Inoltre, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

 

Si segnalano, per i percorsi formativi e di aggiornamento:

 

 

 

/da

Accessibilità siti web PA: adempimenti entro il 23 settembre e centralità del RTD

Accessibilità e Trasparenza per le PA: quali doveri per il Responsabile per la Transizione al digitale?

Il tema dell’accessibilità ICT nelle Pubbliche amministrazioni ha subito recenti innovazioni. In particolare, l’Italia ha recepito la Direttiva UE 2016/2102 con il Decreto legislativo n. 106 del 10 agosto 2018, che ha aggiornato e modificato la Legge 4/2004, per evitare discriminazioni agli utenti con disabilità.

Per tali ragioni, l’Agid ha emanato le Linee Guida sull’ accessibilità degli strumenti informatici, così come disposto dall’ art. 11 della L. 4/2004, al fine di definire correttamente:

  • i requisiti tecnici per l’accessibilità degli strumenti informatici, inclusi i siti web e le applicazioni mobili;
  • le metodologie tecniche per la verifica dell’accessibilità degli strumenti informatici;
  • il modello della dichiarazione di accessibilità;
  • la metodologia di monitoraggio e valutazione della conformità degli strumenti informatici alle prescrizioni in materia di accessibilità;
  • le circostanze in presenza delle quali si determina un onere sproporzionato.

 

Alla luce delle Linee Guida, le Pubbliche Amministrazioni saranno tenute a nuovi adempimenti. In particolare:

  • Entro il 23 Settembre 2020 tutti i siti web delle PA dovranno essere aggiornati in conformità al nuovo contesto normativo di riferimento;
  • Nella valutazione o acquisto di prodotti Ict, specialmente nel caso di portali internet e applicazioni mobili, deve ponderare e pretendere siano rispettati tutti i criteri e le norme vigenti in tema di accessibilità ed usabilità.

 

Tali adempimenti saranno oggetto di valutazione periodica da parte dell’Agid, che effettuerà il monitoraggio dei siti web e delle app su un campione rappresentativo, relazionando ogni 3 anni alla Commissione europea sui risultati del monitoraggio.

Le Linee guida per l’accessibilità dei prodotti ICT rende la figura del Responsabile per la transizione al digitale (RTD) essenziale e centrale. Infatti:

  • È necessaria la nomina del Responsabile per la Transizione Digitale e la pubblicazione della sua mail su IndicePA, al fine di poter ricevere le credenziali di accesso all’applicazione della dichiarazione;
  • Questi, sarà poi tenuto a pubblicare annualmente una dichiarazione di accessibilità per ogni sito web e applicazione mobile dell’amministrazione.

 

 

La necessità di formazione per garantire la Transizione al digitale: Hedya propone i percorsi formativi innovativi

Gli adempimenti richiesti dalle Linee Guida sull’accessibilità richiedono una maggiore comprensione dei soggetti che interagiscono nella creazione, gestione e mantenimento di siti web, contenuti e app mobili. Il tema cruciale per garantire la transizione al digitale è sicuramente quello legato alle competenze digitali nella PA, che costituisce il fattore abilitante per qualsiasi corretta e adeguata governance dell’innovazione. Le recenti misure adottate a livello nazionale confermano che per poter operare correttamente, occorre un’adeguata preparazione in materia di sicurezza, privacy e tutela dei lavoratori. Per tali ragioni, Hedya propone gli innovativi percorsi di formazione:

 

 

Il percorso è rivolto:

  • a tutti coloro che all’interno delle Pubbliche Amministrazioni sono coinvolti, a vario titolo, nei processi di trasformazione alla modalità digitale;
  • a tutti coloro che sono stati nominati e che svolgono attualmente il ruolo di Responsabile per la Transizione al Digitale.

 

Inoltre, Hedya supporta le Pubbliche Amministrazioni attraverso servizi di consulenza mirati, in materia di digitalizzazione, sui temi più critici connessi agli obblighi e agli adempimenti prescritti dalla legge.

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

 

/da

Smart working, da AgID le Raccomandazioni per garantire la cybersecurity

Smart working e cybersecurity: quali regole?

L’emergenza sanitaria ha indotto molti datori di lavoro ad introdurre forme di lavoro a distanza, secondo le modalità previste dalla legge n. 81/2017 sullo smart working. Per i dipendenti pubblici, in particolare, la direttiva n. 1/2020  del Dipartimento della Funzione Pubblica ha previsto l’utilizzabilità dei propri dispositivi per svolgere la prestazione lavorativa, purchè siano garantiti adeguati livelli di sicurezza e protezione della rete secondo le esigenze e le modalità definite dalle singole pubbliche amministrazioni.

Purtuttavia, l’utilizzo di dispositivi personali e non forniti dall’azienda, come visto nel precedente post, tende a far trascurare l’adozione di opportune misure di sicurezza, e si sottovalutano i piccoli rischi normalmente connessi alla navigazione in rete e accettati con ingenuità.

Per supportare i dipendenti pubblici nell’utilizzo più sicuro di pc, tablet e smartphone personali, il CertPA di AgID ha enucleato undici Raccomandazioni per supportare le PA e i lavoratori Pubblici e sostenerli nel contrastare eventuali attacchi informatici con comportamenti responsabili, anche quando utilizzano dotazioni personali.

Nello specifico, le Raccomandazioni sono state elaborate sulla base delle misure minime di sicurezza informatica per le pubbliche amministrazioni fissate dalla circolare  17 marzo 2017, n. 1/2017.

I dipendenti sono dunque tenuti ad osservare le seguenti Raccomandazioni:

  • Segui prioritariamente le policy e le raccomandazioni dettate dalla tua Amministrazione;
  • Utilizza i sistemi operativi per i quali attualmente è garantito il supporto;
  • Effettua costantemente gli aggiornamenti di sicurezza del tuo sistema operativo;
  • Assicurati che i software di protezione del tuo sistema operativo (Firewall, Antivirus, ecc) siano abilitati e costantemente aggiornati;
  • Assicurati che gli accessi al sistema operativo siano protetti da una password sicura e comunque conforme alle password policy emanate dalla tua Amministrazione;
  • Non installare software proveniente da fonti/repository non ufficiali;
  • Blocca l’accesso al sistema e/o configura la modalità di blocco automatico quando ti allontani dalla postazione di lavoro;
  • Non cliccare su link o allegati contenuti in email sospette;
  • Utilizza l’accesso a connessioni Wi-Fi adeguatamente protette;
  • Collegati a dispositivi mobili (pen-drive, hdd-esterno, etc) di cui conosci la provenienza (nuovi, già utilizzati, forniti dalla tua Amministrazione) ;
  • Effettua sempre il log-out dai servizi/portali utilizzati dopo che hai concluso la tua sessione lavorativa.

 

 

La necessità di formazione in materia di Smart working e Sicurezza: Hedya propone i percorsi formativi innovativi

Le recenti misure adottate a livello nazionale confermano che per poter operare correttamente, occorre un’adeguata preparazione in materia di sicurezza, privacy e tutela dei lavoratori. Per tali ragioni, Hedya propone gli innovativi percorsi di formazione:

I percorsi formativi sono rivolti al personale di enti pubblici e privati, a tutti i datori di lavoro e liberi professionisti interessati alla materia.

 

Inoltre, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

 

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

 

 

/da

La didattica online ai tempi del Covid-19: dal Garante le istruzioni per l’uso

Didattica online e privacy: quali tutele?

Il contesto emergenziale in cui versa il Paese ha imposto alle istituzioni scolastiche e universitarie l’esigenza di proseguire l’attività didattica con modalità innovative, ricorrendo a piattaforme e-learning per supportare forme di didattica a distanza, così da garantirne la continuità.

Tuttavia, i primi utilizzi hanno sollevato molteplici criticità, già menzionate nel precedente articolo.

Per rispondere alle principali questioni sollevate in materia di privacy, il Garante ha pubblicato un atto di indirizzo per scuole ed atenei.

In sintesi, le prime Linee di indirizzo fornite dal Garante precisano che:

  • Le scuole e le università che utilizzano sistemi di didattica a distanza non devono richiedere il consenso al trattamento dei dati di docenti, alunni, studenti, genitori, poiché il trattamento in questo caso è riconducibile alle funzioni istituzionalmente assegnate a scuole e atenei.
  • Nella scelta e nella regolamentazione degli strumenti più utili per la realizzazione della didattica a distanza, occorrerà preferire quegli strumenti che abbiano fin dalla progettazione e per impostazioni predefinite misure a protezione dei dati.
  • Non è necessaria la valutazione di impatto, prevista dal Regolamento europeo per i casi di rischi elevati, se il trattamento dei dati effettuato dalle istituzioni scolastiche e universitarie, per quanto relativo a minorenni e a lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi.
  • Il trattamento di dati svolto dalle piattaforme per conto della scuola o dell’università dovrà limitarsi a quanto strettamente necessario alla fornitura dei servizi richiesti ai fini della didattica on line e non per ulteriori finalità proprie del fornitore.
  • Inoltre, i gestori delle piattaforme non potranno condizionare la fruizione di questi servizi alla sottoscrizione di un contratto o alla prestazione del consenso (da parte dello studente o dei genitori) al trattamento dei dati per la fornitura di ulteriori servizi on line, non collegati all’attività didattica.

 

Le indicazioni del Garante si rivelano uno strumento utile per orientare le modalità didattiche di scuole e università. Tuttavia, non eliminano tutte le criticità connesse, ad esempio, alla registrazione delle lezioni, al controllo a distanza dei docenti e alla diffusione di contenuti non autorizzati in rete. Le istituzioni scolastiche ed universitarie, pertanto, non sono esonerate dal valutare tutti i possibili rischi dovendo, di converso, predisporre tutte le misure tecniche ed organizzative più idonee.

Per tali ragioni, risulta necessario applicare tutti i principi previsti dal GDPR, partendo anzitutto da quelli indicati all’articolo 5, come il principio di finalità, accountability e minimizzazione.

 

 

La necessità di percorsi formativi adeguati e di servizi di consulenza mirati: le proposte di Hedya

Le recenti misure adottate a livello nazionale confermano che per poter operare correttamente, una ottima conoscenza dei principi e delle novità introdotte dal GDPR, nonché delle più importanti applicazioni pratiche, costituisce un requisito essenziale, benché non unico: occorrono, altresì, costanti aggiornamenti ed approfondimenti mirati sulle prassi applicative.

Per tali ragioni, Hedya fornisce percorsi formativi e di aggiornamento, nonché servizi di consulenza.

Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

 

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

 

/da