Buongiorno, un piccolo ente pubblico che seguo con una rete LAN fatta da 5 pc ritiene di non doversi dotare di un qualsiasi firewall (hw o sw) perimetrale della propria rete LAN. Nelle mie ricerche (GDPR, Misure Minime, ecc.) non sono riuscito a trovare nessun riferimento che porti ad un obbligo effettivo. Mi aiutate a capire se c’è veramente o diventa implicito nelle valutazioni di rischio (ma quindi comunque soggettivo)? Grazie.
Salve Andrea,
direi che le Misure Minime di Sicurezza ICT per le PA (Misure minime di sicurezza ICT per le pubbliche amministrazioni|Agenzia per l'Italia digitale) si applicano a qualsiasi Ente pubblico, piccolo o grande che sia. Pur non essendo previste sanzioni, è bene ricordare che in caso di indagine del Garante della Privacy il non aver applicato misure di sicurezza a protezione dei dati personali potrebbe generare comunque sanzioni (che, in certi casi, la Corte dei Conti potrebbe far rivalere in capo al Dirigente).
Suggerirei di provvedere ad attuare quanto previsto e il contesto piccolo certamente aiuta sia nell’applicazione che nel contenimento dei relativi costi.
Buona fortuna!
Grazie MicPin!
Un collega del nostro SOC, mi ha consigliato di fare riferimento nello specifico ai punti 8.1.2 e 13.8.1 delle Misure minime di sicurezza ICT per le pubbliche amministrazioni|Agenzia per l’Italia digitale e di indicare di fare riferimento al DPO dell’Ente per ulteriori conferme\analisi. Se ci sono altri suggerimenti, ben vengano. Grazie.
Buongiorno Andrea, ritengo che se in passato fosse stato possibile normare il buon senso, oggi le misure minime prevedrebbero l’adozione obbligatoria di un firewall in qualsiasi caso di connessione internet, con interventi periodici di aggiornamento del firmware altrettanto obbligatori.
Buona giornata
nel gdpr difficilmente troverai espedienti tecnici…
I router forniti dagli ISP, riscrivendo gli indirizzi tramite NAT, forniscono già una certa protezione dall’accesso dall’esterno.
Le misure citate nel modulo d’implementazione recitano:
8 1 2 M Installare su tutti i dispositivi firewall ed IPS personali.
13 8 1 M Bloccare il traffico da e verso url presenti in una blacklist.
Sono essenziali anche altri punti. Per esempio controllare la posta, sia il malware allegato sia i link malevoli:
8 9 1 M Filtrare il contenuto dei messaggi di posta prima che questi raggiungano la casella del destinatario, prevedendo anche l’impiego di strumenti antispam.