Il Regolamento Generale sulla Protezione dei Dati (European General Data Protection Regulation – GDPR) diventerà effettivo a maggio 2018. Alcune aziende potrebbero già essere pronte, ma altre dovranno iniziare una revisione completa in merito a come raccolgono, archiviano e usano i dati personali.
Ma gli esperti di sicurezza sostengono che vi sia una domanda fondamentale che le aziende dovrebbero farsi prima di prepararsi al GDPR: i dati personali sono una parte fondamentale della tua azienda?
Essere “data driven” è un argomento caldo per molte aziende oggigiorno, quindi c’è una buona probabilità che le imprese non possano o non vogliano fare a meno dei dati personali. E anche se la tua organizzazione può vivere senza quei dati, ciò potrebbe cambiare in futuro, quindi le aziende dovrebbero valutare le loro esigenze attuali e future prima di rispondere a questa domanda.
E’ possibile che le aziende che non vogliano o non abbiano bisogno dei dati personali possano evitare di raccoglierli, archiviarli e analizzarli. Ciò renderebbe la conformità molto più semplice da gestire.
Gli esperti di F-Secure dicono che potremmo vedere nascere “fornitori di conformità GDPR” – aziende specializzate nel gestire dati personali usando le procedure di conformità GDPR – in grado di aiutare le organizzazioni a processare i dati personali in futuro. Un simile sviluppo sarebbe simile a quello visto tra tutte quelle aziende che offrono servizi di ecommerce, che per risultare conformi con gli standard PCI DSS hanno dato in outsourcing i processi di pagamento a fornitori specializzati.
Ma non esistono al momento aziende specializzate nell’offrire servizi di conformità GDPR, il che significa che la maggior parte delle organizzazioni che usa dati personali deve prepararsi da sola. E con l’entrata in vigore del GDPR la responsabilità è dell’azienda che usa quei dati (sebbene i rischi economici potrebbero potenzialmente essere contrattualmente trasferiti a terzi).
Anche se può sembrare un peso indesiderato, Laura Noukka, Risk Management Consultant di F-Secure, sostiene che esiste una reale opportunità per quelle aziende che si considerano “data-driven”.
“Le aziende devono iniziare a prepararsi al GDPR,” spiega Noukka. “La buona notizia è che migliorando la gestione dei dati personali le aziende potranno contare su queste nuove capacità per guidare la crescita in futuro. Ma devono farlo in modo corretto, il che significa che devono fare degli investimenti per migliorare il modo in cui raccolgono e archiviano i dati personali, e come li proteggono.”
Quindi nonostante il GDPR sia sempre stato dipinto coma una combinazione di costi e di misure punitive, Noukka e altri esperti sostengono che il GDPR fornisce una buona guida su come le aziende possono gestire i dati personali in modo sicuro e responsabile.
La conformità GDPR non rappresenta un rischio – E’ un approccio alla gestione del rischio
Molto è stato scritto su come il GDPR penalizzerà le aziende che non sono conformi. Ma quelle penalità, secondo Noukka, sono solo una parte del rischio.
“Ci sono due tipi di rischi che il GDPR tutela: il rischio di una violazione di dati, e il rischio dell’abuso della privacy delle persone. Nel caso di una violazione di dati, hai perso il controllo dei tuoi dati e il rischio si materializza prima di tutto nella forma di costi operativi e di danno all’immagine dell’azienda. I rischi di un abuso dei diritti alla privacy (vd. la cancellazione dei dati) sono più gestibili con il GDPR, perché ti starai già prendendo cura dei dati e avrai il controllo della situazione.”
Samu Konttinen, CEO di F-Secure, citando “2016 Risk Barometer” di Allianz, ha dichiarato in un articolo all’inizio di quest’anno che gli incidenti di sicurezza informatica sono il terzo più alto rischio per le aziende. Il GDPR sostanzialmente obbliga le aziende a investire di più nella gestione di questi rischi. Ma da dove dovrebbero iniziare le aziende?
“Il GDPR è un buon punto di partenza per creare processi di gestione dei dati personali più solidi e sicuri. Non saranno infallibili, ma saranno sufficienti per migliorare il modo in cui le aziende si possono preparare e possono reagire a incidenti di sicurezza informatica. Essere conformi al GDPR renderà le aziende più resilienti contro i rischi posti dal moderno panorama di minacce informatiche,” ha spiegato Antti Vähä-Sipilä, Principal Consultant in F-Secure.
La conformità, come la sicurezza informatica in generale, richiede un impegno dalle aziende a fare di più che non comprare solamente nuovi prodotti di sicurezza. Qui di seguito trovi alcuni punti su cui le aziende devono focalizzarsi quando si preparano al GDPR.
Gli Architetti Enterprise giocheranno un ruolo chiave in progetti GDPR di successo
Prepararsi al GDPR significa cambiare il modo in cui i dati personali sono gestiti. Non solo dal punto di vista tecnico, ma anche rispetto a come le aziende gestiscono le informazioni poiché ci si muove attraverso differenti processi e differenti parti di un’azienda. Sono richiesti cambiamenti strutturali. Molti dipartimenti dovranno essere coinvolti, inclusi i reparti IT e legale. Ma coinvolgere gli Architetti Enterprise come driver del progetto di conformità GDPR, e non solo come “parti informate”, aiuterà ad assicurare che i nuovi processi e strutture siano affidabili, sostenibili ed economici, così come conformi con le regolamentazioni del GDPR.
La sicurezza dovrà affrontare le esigenze di privacy delle persone
Uno degli obiettivi fondamentali del GDPR è la protezione dei dati personali – dove il termine “protezione” deve essere considerato l’elemento chiave. Il concetto di protezione dei dati personali può guidare sia il lavoro a livello di architettura (accesso del soggetto, diritti dell’individuo, la capacità di rispondere a richieste sui dati, riduzione dei dati) che di sicurezza (obiettivo è costruire processi e sistemi con una minima superficie di attacco, capacità di rilevazione e risposta, ecc.).
Rispondere ad entrambe queste cose, permetterà alle aziende di gestire i vari rischi che provengono da una gestione scorretta dei dati personali, così come delle violazioni di dati.
Rilevazione dell’incidente e capacità di risposta diventeranno più importanti
Molte aziende investono nella protezione dei loro perimetri (per esempio, usando firewall e prodotti di protezione degli endpoint). Ma ciò non è sufficiente per il GDPR. Infatti, le capacità di rilevazione e risposta, così come il rafforzamento dell’infrastruttura di rete di base, ora giocano un ruolo egualmente importante nell’approccio alla sicurezza. Essere in grado di rilevare violazioni nel tuo perimetro, e gestire il danno che gli attaccanti possono causare, dovranno essere passi da rendere prioritari per raggiungere la conformità GDPR.
E ancora più importante, le capacità di rilevazione e risposta sono vitali per gestire gli incidenti di sicurezza come le violazioni di dati. Sebbene ci siano diversi modi per cui un’azienda può risultare non conforme al GDPR, i profili del rischio di violazioni di dati e altri tipi di non conformità sono differenti (come essere lenti nella risposta a richieste di accesso da parte di un soggetto). Dare priorità alle misure di sicurezza che prevengano le violazioni ha sicuramente senso per le aziende (perché previene anche una moltitudine di problemi, inclusa la non conformità).
La conformità GDPR significa essere pronti per quando le cose andranno male
Gli Architetti Enterprise possono aiutare a fornire una supervisione e ad assicurare consensi su come i processi vengono mantenuti e seguiti. Ma una componente chiave del GDPR è cosa accade quando questi processi “si rompono”, come in una violazione di dati. Dovresti prepararti a gestire una simile crisi nello stesso modo in cui ti prepari per altri disastri.
Ecco alcuni suggerimenti su processi che puoi implementare per assicurarti che sarai pronto quando le cose andrano male.
- Test periodici di Red Teaming aiuterebbero le organizzazioni a individuare le debolezze nella gestione dei processi e nelle procedure di gestione dei loro dati personali, così che possano essere risolte prima di una violazione.
- Una revisione regolare del piano di risposta agli incidenti dell’azienda. Con il GDPR, le aziende hanno 72 ore per comunicare una violazione una volta che è stata scoperta. Usare queste 72 ore in modo saggio può aiutare le aziende a mitigare i danni causati dagli incidenti di sicurezza e a far tornare tutto in funzione nel più breve tempo possibile. Ecco perché investire in capacità di rilevazione e avere un piano completo di IR (incident response) è indispensabile.
- Esercizi di gestione della crisi dovrebbero essere una procedura regolare. Esercizi table top su base regolare, dove un team di gestione della crisi deve affrontare un particolare scenario (come una violazione di dati) – così che possa mettere in pratica il proprio piano di risposta agli incidenti -, è sicuramente un buon esempio. Esercizi simili aiutano il team a mantenere alta la preparazione in caso di eventi che accadono in modo irregolare ma che potrebbero potenzialmente paralizzare un’azienda.
La conformità GDPR è un processo continuo, che non si risolve una volta per tutte
Molte persone discutono sulla conformità GDPR come di un processo che affronti una volta sola e che poi ti deve più interessare. Ma questo modo di pensare fa apparire il GDPR come una spesa più che come un’opportunità. E questa mentalità sminuirà i benefici che il GDPR offre.
Articolo tratto da “The Key GDPR Question: Do you Want to be Data Driven or Not?” di Adam Pilkey, Content Editor Corporate Communications F-Secure Corporation.
Categorie