Il CEO di F-Secure, Samu Konttinen, ha parlato del Regolamento Generale sulla Protezione dei Dati dell’UE in un post su Linkedin offrendo ai C-Level 5 consigli su come prepararsi.
C’è una data che segna l’inizio di un’intera nuova era nel business in Europa, e sta avvicinandosi rapidamente — 25 Maggio 2018. Quel giorno, il Regolamento Generale sulla Protezione dei Dati (GDPR) emanato dall’Unione Europea entrerà in vigore a tutti gli effetti.
Si è parlato molto del GDPR, e la maggior parte delle aziende si è già preparata in qualche modo. Molte hanno ricevuto suggerimenti da società legali sui requisiti e le implicazioni del regolamento, e hanno soluzioni di cyber security world-class in essere. Se da un lato questa è un’eccellente base di partenza, ci sono alcuni aspetti su questo argomento che richiedono ancora un’attenzione maggiore.
Samu Konttinen ha detto la sua offrendo ad altri C-level 5 consigli su come prepararsi al GDPR.
“Prima di tutto, proteggere i dati dei clienti richiede un approccio a 360 gradi. Per essere conforme ai requisiti del GDPR, un’organizzazione ha bisogno di conoscere dove questi dati personali vengono processati, qual è il ciclo di vita di questi dati dal momento della raccolta fino all’eliminazione, e come i dati vengono processati a ogni stadio del ciclo di vita. Ciò richiede sia soluzioni tecniche che processi e formazione. Inoltre, il GDPR enfatizza l’importanza della progettazione delle applicazioni business, dei servizi, reti e database con la privacy in mente, il che richiede specifiche competenze tecniche di sicurezza informatica. La sicurezza non deve essere considerata come qualcosa che va aggiunta, ma qualcosa che si interseca con i vari aspetti del business di un’organizzazione.
Secondariamente, in media una violazione rimane nascosta per mesi – o persino anni. Il fatto di dover obbligatoriamente riportare la violazione di dati personali entro 72 ore è una responsabilità che ogni azienda dovrebbe abbracciare. In pratica ciò significa che le aziende devono prendersi il rischio delle violazioni seriamente, investire in capacità di rilevazione e risposta degli incidenti 24/7, e accertarsi che siano in essere procedure per la comunicazione di violazioni interne. Ciò richiede una combinazione di intelligence umana e delle macchine per eliminare i falsi positivi, e fare in modo che attacchi reali vengano comunicati nei tempi corretti. Oggi è possibile rilevare quasi tutti gli attacchi in meno di 30 minuti.
Gli incidenti di sicurezza sono il terzo rischio più grosso a livello globale, secondo Allianz Risk Barometer 2016. Prima di catastrofi naturali, che la maggior parte delle aziende hanno già pesantemente assicurato. Una violazione è qualcosa di molto diverso da un incendio o un terremoto, e ciò che puoi fare è adottare quelle precauzioni che ti salveranno sia dai disastri informatici che dalla GDPR:
- Considera di investire in un Privacy Impact Assessment completo che combini informazioni di livello tecnico e di gestione in una visione olistica sulle competenze sulla privacy della tua azienda.
- Adotta un approccio proattivo per prevenire, rilevare e rispondere agli incidenti. Questo richiede sia una grande tecnologia che sforzi umani – 24/7.
- Sviluppa delle tue linee guida per affrontare un incidente di sicurezza. Nessuno lo farà per te.
- Impegnati ad eseguire un’analisi attenta dell’incidente per ogni violazione (o violazioni simili) si dovesse verificare.
- Considera di avere un’assicurazione contro gli attacchi informatici. Oltre alle implicazioni legali, e a significative sanzioni, il vero effetto che una violazione può avere sul tuo business può assumere varie forme.
Le elezioni presidenziali, così come il caso della violazione Sony di qualche tempo prima, dovrebbe aver messo in allerta sul fatto che la sicurezza informatica non è più una piccola nota nella storia – ma è al centro della politica mondiale, del commercio e del futuro. Tutti noi – governi, aziende e individui – non possiamo più negarlo. Oggi ognuno è un potenziale bersaglio, sia per attacchi di massa opportunistici o per attacchi mirati, su misura. Essere preparati è l’unica soluzione.”
Leggi anche “10 myths about the european GDPR your business should know”
Immagine di Giampaolo Squarcina flickr
Categorie