GDPR E CYBERSECURITY
CONSIDERAZIONI
Il GDPR, in vigore da aprile 2016 e operativo da maggio 2018, impone alle aziende un profondo cambiamento, basato su un percorso articolato su tre pilastri: People Security, Data Security e Software Security. I veri dubbi permangono sulle aziende, senza dimenticare il labirintico settore pubblico per il quale ci vuole un ragionamento a parte (anche se non molto distante dall’attuale in trattazione).
Trascorso poco più di un anno dall’entrata in vigore del nuovo Regolamento, ancora oggi non si riesce a capire quanto fossero realmente pronte le aziende, quali sfide hanno dovuto affrontare e che tipo d’investimenti hanno iniziato a ‘mettere sul campo’, non trascurando il fatto che è divenuto ancora più obbligatorio garantire nei piani di sicurezza informatica aziendale una cybersecurity in conformità con quanto stabilito dal GDPR.
Il livello di preparazione alle sfide introdotte dal GDPR, ovviamente varia da azienda ad azienda, a seconda non solo della dimensione, ma anche del livello culturale maturato rispetto ai temi della cybersecurity e protezione dei dati.
In generale, per le imprese micro, piccole e medie, la sicurezza dei dati non è tra le priorità, preferendo canalizzare sforzi e risorse sulla crescita del business, la vendita di prodotti e servizi, insomma, a far crescere la reddittività. Tuttavia la sicurezza è uno di quegli aspetti cui non ci si può sottrarre, soprattutto dopo la grande rivoluzione introdotta dal digitale.
Nel 2016 ci sono stati oltre 4 miliardi di record (riguardanti database aziendali) ‘bucati’ da minacce e attacchi che riguardavano prevalentemente dati personali e credenziali di accesso delle persone [report ricavato da Verizon Data Breach Investigations Report, 2017 – ndr].
Il lato positivo di questo scenario è che l’aumento di minacce e attacchi innalza l’esigenza di protezione e accelera i percorsi di compliance (conformità).
Le aziende di livello ‘enterprise’ sono più abituate non solo a fronteggiare gli impatti normativi ma anche a pianificare strategie e investimenti, forse perché hanno compreso meglio e in anticipo che la compliance e, in generale i percorsi di sicurezza, riguardano processi e persone prima ancora della tecnologia.
Considerazioni che con il GDPR assumono ancora più rilevanza data l’esplicita introduzione della data protection quale diritto fondamentale dell’uomo: in altre parole, “Chiunque appartenga a uno stato europeo o abbia a che fare con persone e aziende che vivono in paesi europei, deve avere processi e tecnologie adeguate per la protezione dei suoi dati”.
Tecnicamente questo significa che le aziende di tutto il mondo devono rafforzare i propri sistemi di sicurezza pensando il più possibile ai dati degli utenti e non ai sistemi aziendali.
V’è un altro aspetto.
Solitamente le imprese (principalmente quelle di grandi dimensioni) hanno adottato più livelli di sicurezza per ‘circondare’ i database, dal firewall ai sistemi anti-intrusione fino alle tecnologie di segmentazione della Rete e di data loss prevention (approccio grazie al quale è possibile controllare i dati in base ai contenuti indipendentemente da dove il dato risieda o transiti), con l’intento di bloccare accessi diretti ai dati aziendali, considerando che di fronte a minacce sempre più artefatte e a un numero di persone sempre più ampio che accede ai database (amministratori, tester, sviluppatori, partner, e altre figure informatiche), bisogna concentrare gli sforzi proprio sulla protezione di questi ultimi, ancor di più oggi che gli ambienti IT aziendali vanno verso l’hybrid cloud (le cosiddette nuvolette dove tutto e tutti vogliono conservare i propri dati).
In tutto questo se si vuole essere preparati e pronti alla sfida dando maggior vigore al GDPR, quattro possono essere le soluzioni da adottare in differenti aree tecnologiche: discovery (gestione del dato); enforcement (sicurezza); foundation (hardware, software e memorizzazione dati); enrichment (application, data integration, analytics o più semplicemente applicazioni software, processi da attuare su dati provenienti da diverse sorgenti informative per fornire all’utente una visione unificata di quei dati, processo di raccolta e analisi di grandi volumi di dati – big data).
Nel particolare, considerando i processi di cyber security, opportuno diventa focalizzarsi sulla sicurezza, proponendo soluzioni di:
a) people security, con soluzioni che vanno dall’identificazione e gestione dell’accesso a sistemi e/o applicazioni, passando per sistemi di governance, conformità e autenticazione e autorizzazione, per cui ogni singola risorsa aziendale, correttamente incaricata al trattamento del dati, dispone di un proprio nome utente e una password di accesso rendono univoca l’identificazione;
2) software security, messa in sicurezza dei sistemi, delle applicazioni e degli ambienti IT attraverso audit, riaggiornamenti e riconfigurazioni di programmi applicativi, utilizzando ‘banalmente’ sistemi firewall e anti-intrusione performanti e predisponendo policy di utilizzo asset aziendali da seguire;
3) data security, minimizzare, pseudonimizzare e/o crittografare il dato ottenuto diventa sostanzialmente il pilastro tecnologico più importante, per evitare che il dato sia più volte acquisito e organizzando e strutturando il dato secondo procedure che permettono di evitare un utilizzo improprio e/o la perdita dello stesso.
A cura di G. e V. GIORDANO