Gdpr un anno dopo: le dritte per le aziende
Il Gdpr, in vigore in Italia dal 25 maggio scorso, compie un anno e Fortinet, che offre soluzioni di cyber sicurezza integrate e automatizzate, lo festeggia condividendo alcuni consigli utili su come tutelare i dati personali degli utenti in una rete sempre più distribuita.
Il General Data Protection Regulation, che ha stabilito una definizione comune e più ampia dei dati personali rispetto a quello che era stato fatto in tutti i precedenti tentativi, include informazioni quali indirizzi Ip, dati biometrici e identificativi dei dispositivi mobili. E ancora, include anche altre tipologie di dati che potrebbero essere utilizzate per identificare un individuo, determinare la sua posizione o tracciare le sue attività. Caratteristiche a cui si ispira, tra l’altro, il nuovo California Consumer Privacy Act (Ccpa), che scatterà nello stato Usa a gennaio 2020 e che aggiunge elementi quali la geolocalizzazione, il browsing e la ricerca.
Inoltre, le organizzazioni che rientrano nel campo d’azione di queste regolamentazioni non solo hanno bisogno di ottenere un’approvazione esplicita da parte dei singoli per conservare e utilizzare i dati personali, ma devono anche poter esigere la rimozione dei dati personali.
PRIVACY DEI DATI E CLOUD. Oggi la rete è altamente distribuita, motivo per cui i dati potrebbero essere copiati più volte e diffusi praticamente ovunque. Ragion per cui le aziende devono implementare soluzioni di sicurezza in grado di coprire l’intero network al fine di centralizzare la visibilità e il controllo. Ciò permette loro di essere compliant alle normative in materia di protezione dei dati, identificare e segnalare le criticità e rimuovere su richiesta tutte le istanze relative ai personal data.
TRE STEP DA SEGUIRE. Primo, la sicurezza deve estendersi agli ambienti multi-cloud: gli standard per la compliance devono essere applicati con coerenza attraverso l’intera infrastruttura distribuita. Mentre le leggi sulla privacy possono far riferimento a una precisa area geografica, con il cloud è molto semplice superare questi limiti. È necessario tenere traccia di ogni istanza dei dati, specialmente quando ci si sposta all’interno di più applicazioni e flussi di lavoro. I dati tendono a moltiplicarsi e serve un modo per gestire la mole di informazioni. È altrettanto importante garantire una segmentazione coerente attraverso l’intera infrastruttura distribuita.
Secondo, è essenziale prevenire la perdita di dati: il monitoraggio e la gestione dei dati personali richiede l’implementazione di tecnologie di data loss protection. Tali soluzioni devono essere in grado di identificare, tracciare senza soluzione di continuità e avere un inventario di tutte le Pii (Personally Identifiable Information).
Terzo, il compliance reporting richiede una gestione centralizzata, che deve coprire l’intera infrastruttura distribuita. Come per altri requisiti, ciò richiede anche un’integrazione coerente in tutto il cloud e con l’infrastruttura di sicurezza on-premise. Per raggiungere questo obiettivo è necessaria l’implementazione di una soluzione centralizzata per il management.
LA FORZA DELLE STRATEGIE INTEGRATE E PROATTIVE. L’approccio migliore alla sicurezza informatica consiste nel bloccare un attacco prima ancora che abbia luogo e limitarne la portata una volta che la violazione sia avvenuta. Questo richiede che le aziende mettano in atto tecnologie e policy, come ad esempio: strumenti avanzati di prevenzione e rilevamento, soluzioni di sicurezza strettamente integrate che comunicano tra loro, controlli centralizzati che forniscono un singolo punto di visibilità.
