Con l’entrata in vigore ufficiale della General Data Protection Regulation, meglio nota come GDPR, che si avvicina sempre più (maggio 2018), è fondamentale che le aziende in Europa siano maggiormente consapevoli delle implicazioni che questa normativa avrà sul loro intero business, e non solamente sui team di sicurezza. Non solo, le stesse aziende devono avere chiaro cosa possono fare già oggi per essere conformi ed evitare le pesanti sanzioni associate a una mancata compliance. Con meno di sei mesi rimasti per prepararsi, cresce la pressione a rivedere, modificare e testare i propri sistemi, per essere sicuri che la propria organizzazione abbia la visibilità necessaria, oltre a un set completo di controlli e di processi. Sono diverse le modalità con cui le aziende possono prepararsi al meglio alla prossima scadenza di maggio.

Comprendere la normativa

Il GDPR si differenzia in modo significativo dalla direttiva precedente del 1995 sulla Data Protection, con l’indicazione di una serie di misure molto più rigorose per proteggere i dati personali dei cittadini che risiedono nella UE. Ne ha anche esteso il raggio d’azione, a comprendere aziende basate al di fuori dell’Unione Europea, se queste offrono beni o servizi a cittadini UE o tengono in qualche modo traccia dei loro comportamenti all’interno della UE. Questo accresce in modo esponenziale il numero delle aziende che devono comprendere esattamente le implicazioni di questa normativa. La sicurezza dai dati è il pilastro fondamentale del GDPR; trattare in modo sicuro i dati personali ed essere pronti ad agire nel momento in cui si verifichi un data breach porta con sé la conseguenza che i tradizionali sistemi di sicurezza semplicemente non sono più all’altezza. Sono sistemi basati su prodotti specifici abbinati tra loro, che si sono già mostrati non in grado di prevenire i livelli crescenti di volume, automazione e sofisticatezza degli attacchi cyber moderni. Le organizzazioni devono prendere in considerazione approcci e tecnologie più moderne quando decidono di mitigare i rischi associati alla necessità di garantire protezione ai dati.
La necessità di un approccio più esteso alla cybersecurity non è mai stata maggiore, dato che questa nuova normativa innalza significativamente il livello della responsabilità aziendale. Guardare alle tecnologie di sicurezza in modo nuovo può aiutare a dirigere gli sforzi legati alla conformità normativa in tema di protezione dei dati e sicurezza delle organizzazioni, aiutando nella protezione dei dati personali a livello applicativo, di rete e di endpoint oltre che nel cloud. Può anche contribuire a comprendere quali dati verrebbero compromessi in caso di breach, ma soprattutto, possono aiutare le organizzazioni a prevenire l’eventualità stessa di un data breach di successo.

Identificare i dati personali nell’ambito del proprio business

Partiamo dall’inizio. Prima ancora di potersi assicurare che i processi di raccolta, gestione e trattamento dei dati personali siano in linea con le indicazioni del GDPR, è necessario comprendere come questi dati vengano attualmente utilizzati all’interno dell’organizzazione. Ogni azienda raccoglie una grande quantità di dati personali, semplicemente con le proprie attività quotidiane. Se questo porta valore al business, presenta anche una componente di rischio. Se un qualsiasi dato personale legato a cittadini UE viene perso, rubato o compromesso, nella maggior parte dei casi si rende necessaria una notificazione.

La sicurezza dei dati è un elemento centrale per il GDPR, perché non è possibile proteggere dati personali senza mantenerli in sicurezza. E’ importante comprendere come le informazioni personali sono trattate all’interno della propria aziende, oltre a quali sono le applicazioni che i dipendenti usano per questo trattamento. Solo così è possibile avere un quadro più chiaro dei processi di controllo necessari a proteggere e rendere sicuri questi dati.
Il GDPR richiede alle aziende di assicurarsi che le proprie funzioni di sicurezza siano “allo stato dell’arte” [Articolo 32]. I responsabili della cybersecurity devono prendersi il tempo di verificare che questo trovi applicazione nella loro organizzazione e, se così non fosse, devono capire come agire perché lo diventi. Data la complessità dei network moderni, è necessario che tutto ciò si realizzi a livello di applicazioni, cloud, reti ed endpoint.
Un buon punto di partenza è rappresentato dai sistemi legacy, che dovrebbero essere esaminati con attenzione per capire se riflettano lo stato dell’arte. Senza dimenticare che con il GDPR spetta alle aziende l’onere di adottare e implementare le tecnologie adatte ad affrontare un panorama di minacce moderno e straordinariamente dinamico. Il GDPR può essere utilizzato per mettere in ordine il proprio sistema informatico, verificando che sia adatto e adeguato non solamente oggi, ma che abbia la capacità e la flessibilità per potersi adattare alle minacce future.

Dare priorità alle persone

E’ necessario assicurarsi che l’intero team IT abbia le competenze necessarie a comprendere e soddisfare i requisiti indicati dalla normativa. Lo scenario delle minacce continua a evolvere, con un ritmo che certo non accenna a diminuire. Per questo, è necessario un team che abbia le capacità e le competenze per mantenere e sostenete un ecosistema di cybersecurity in grado di evolvere e adattarsi, lavorando allo stesso ritmo – se non superiore – a quello degli hacker. Qui, la problematica principale nasce dal fatto che molte aziende sono carenti di personale esperto di cybersecurity, e trovare e mantenere competenze di questo tipo diventerà sempre più difficile.
Se si individuano carenze a livello di conoscenze o capacità, è consigliabile valutare quanto le soluzioni tecnologiche di sicurezza possano fornire i livelli di automazione e informazione necessari per fare la differenza.
Il GDPR avrà un effetto reale su ogni azienda, e per questo è necessario che ognuno sia coinvolto. Dall’ufficio legale ai team commerciali, da chi si occupa di marketing fino ai tecnici: è fondamentale che il concetto di protezione e confidenzialità dei dati venga applicato concretamente per l’intera organizzazione. Il coinvolgimento dello staff su test e simulazioni legate alla cybersecurity può aiutare le persone a comprendere meglio il loro ruolo nel mantenimento della compliance a livello globale.

Dedicarsi alla prevenzione

Secondo il recente studio Cost of Data Breach Study, condotto dal Ponemon Institute a giugno 2016, il costo medio complessivo di un data breach è pari a 4 milioni di dollari. Considerando che il 48% di tutti i data breach nel 2016 è stato causato da cybercriminali, attacchi del genere possono avere un impatto significativo sul conto economico di un’azienda, oltre che danneggiarne la reputazione, con il rischio correlato di perdere clienti. Una recente ricerca di Palo Alto Networks, mostra come un professionista della sicurezza IT in Europa si trovi ad affrontare in media tre incidenti legati alla cybersecurity ogni mese: di questi, uno su tre ha un impatto sul business. Per questo motivo, cercare di evitare in partenza che ciò succeda è l’unica strategia sensata. Il GDPR non lascia spazio a un approccio reattivo.
Un data breach può derivare da un attacco attivo o da un leak interno. In entrambi i casi, una cybersecurity efficace parte dalla definizione e adozione di una solida strategia preventiva di sicurezza. Mantenere funzionalità avanzate di cybersecurity significa che le aziende devono comprendere le minacce esistenti, ma anche le misure di sicurezza che le possono contrastare e prevenire.
Il GDPR prevede la necessità per le aziende di dover dimostrare di essere conformi ai requisiti di sicurezza indicati. In questo caso, è possibile dimostrare che si stanno effettivamente adottando le misure migliori rispetti ai rischi che ci si trova ad affrontare? E’ possibile mostrare di aver scelto l’eccellenza? Quali processi, metriche e tecnologie esistono all’interno dell’organizzazione che possono provare questo approccio? Esistono quantità enormi di informazioni e ricerche sulle minacce, che possono essere usate per combatterle con efficacia. E’ necessario assicurarsi che gli utenti abbiano accesso solo alle applicazioni di cui necessitano per ridurre la superficie di attacco.

Rigoroso ma non impossibile

Il GDPR è senza dubbio una normativa rigorosa, ma rispettarlo ed essere conformi non è un compito impossibile. E’ fondamentale che l’importanza di prevenire breach di dati personali – uno dei pilastri del GDPR – venga compresa e condivisa all’interno dell’organizzazione, perché non sarà possibile rispettarne lo spirito senza un supporto esteso da parte di tutti i team interni. E’ necessario proteggere i dati personali su ogni livello – applicazioni, cloud, rete ed endpoint – altrimenti non sarà possibile evitare breach.
Il GDPR si applica a ogni azienda che gestisca o tratti dati personali relativi a cittadini UE, e la forza della legislazione rende la conformità un tema rilevante anche e soprattutto per i consigli di amministrazione. In caso di mancata compliance, c’è la possibilità di ricevere sanzioni molto pesanti. Seguendo i punti sopra indicati, ci si può preparare agli aspetti principali della nuova legge prima che questa entri in vigore, il prossimo maggio.

di Mauro Palmigiani, Country General Manager Italy, Greece & Malta, Palo Alto Networks