Home Prodotti Sicurezza Gdpr e cybersecurity, consigli per gli ultimi mesi

Gdpr e cybersecurity, consigli per gli ultimi mesi

Il GDPR sostituirà la Direttiva Europea sulla Protezione dei Dati il 25 maggio 2018 e sarà la principale normativa vigente in merito a come le aziende devono trattare e proteggere i dati personali dei cittadini europei.

Gabriel Leperlier, Verizon Business

L’obiettivo del GDPR è migliorare e armonizzare le leggi sulla privacy in tutta Europa, semplificando il rispetto di queste normative per le aziende multinazionali, eliminando il mosaico di leggi specifiche per ogni paese che, attualmente, sono in essere sotto questa Direttiva.

Le aziende europee stanno mettendo in pratica una serie di accorgimenti per rispettare questa scadenza.

Tieniti aggiornato con tutti i nostri articoli sul GDPR

Abbiamo intervistato Gabriel Leperlier, Head of Continental Europe Advisory Services GRC/PCI di Verizon Enterprise Solutions per capire come affrontare questi mesi che mancano all’entrata in vigore del regolamento.

1 Quali freni ancora agiscono verso il Gdpr e come li si supera?

Molte aziende colgono solamente l’aspetto legale del GDPR – che, a causa delle procedure legali, richiede molto tempo per progredire. In questo contesto, le riflessioni sulla cybersecurity non vengono considerate durante lo sviluppo strategico, e spesso la sicurezza viene quindi relegata ad un’appendice in conclusione dei procedimenti legali e non viene applicata, mentre dovrebbe rappresentare una priorità.

Si tratta in questo caso di un errore madornale, dato che il GDPR richiede che i dati vengano protetti in modo automatico e a partire dalle fasi di progettazione, diventando quindi una pratica normale. Coinvolgere fin dalle fasi iniziali un consulente in ambito PCI DSS significa basarsi su una strategia più metodica, seguendo questi step: analisi; sintesi degli obiettivi; analisi del gap e risk assessment; soluzione e verifica finale.

Uno degli obiettivi principali del GDPR è ridurre al minimo la possibilità che i dati siano compromessi, e migliorare il modo in cui i dati vengono protetti durante le fasi di processazione e di archiviazione. Secondo la nostra visione, questo tipo di progetto è un Progetto di Sicurezza Informatica.

2 Parliamo di Risk Assessment, lo si può automatizzare?

Possibilmente il risk assessment non dovrebbe essere automatizzato. Naturalmente le aziende possono utilizzare strumenti che semplifichino questi processi, ma è importante ricevere regolarmente input da tutti gli stakeholder coinvolti. Di seguito alcuni punti da chiarire, e il procedimento, che è più efficace e produttivo se condotto da un consulente professionale in carne e ossa:

  • Quali sono le nostre vulnerabilità?
  • Quali possono essere le minacce specifiche per la nostra attività?
  • Quali sono i rischi che ci riguardano?
  • Quali sono le difese/Standard di sicurezza IT che applichiamo per abbattere i rischi?
  • In cosa consiste quindi il rischio residuo?
  • Infine, e punto più importante, il nostro Board of Directors ha accettato formalmente il rischio residuo?

3 Come va gestita la Breach response entro 72 ore?

Per organizzare una risposta efficace ad una violazione nell’arco di 72 ore, consigliamo alle aziende di:

  • Attuare un piano di Incident Response organizzato, con procedure di risposta operativa per gestire qualsiasi tipo di incidente
  • Basarsi su un piano di comunicazione specifico, con dipendenti formati regolarmente.
  • Essendo quasi impossibile appoggiarsi ad un team di analisi forensi interno, assicuratevi di avere un fornitore che, in caso di attacco sospetto o conclamato sarà in grado di supportarvi.

4 Che vantaggi danno gli standard di sicurezza per le carte di credito PCI-DSS?

Sia i PCI DSS che il GDPR puntano a migliorare il modo in cui le aziende proteggono i dati dei clienti di cui sono in possesso, ma con strategie diverse. Il GDPR ha obiettivi molto più ampi rispetto ai PCI DSS, perché tutela molte più tipologie di dato e definisce inoltre i diritti individuali – come ad esempio il diritto alla cancellazione, che conferisce il diritto a richiedere la cancellazione dei propri dati personali. Ma non definisce precisamente in che modo le organizzazioni possono raggiungere questo obiettivo.

I PCI DSS, come standard normativi, in questo possono essere d’aiuto. Nonostante si rivolgano solo ai dati delle carte di credito, i principi su cui si basano possono essere applicati anche ad altri tipi di dato. Nel corso dei 13 anni della loro esistenza, i PCI DSS si sono evoluti in modo significativo, e, ad oggi, forniscono linee guida dettagliate – non solo riguardo i controlli di sicurezza che le aziende dovrebbero applicare, ma anche su come gestirli.

Le aziende con programmi PCI DSS efficaci saranno già certe che i principi base di sicurezza vengano applicati per proteggere i dati delle proprie carte di credito. Questi programmi comprendono:

  • Archiviazione dei dati strettamente necessari, e mai più a lungo di quanto non sia richiesto.
  • Limitare l’accesso ai dati necessari a svolgere una determinata funzione.
  • Testare i sistemi di sicurezza, per individuarne ogni singola vulnerabilità.
  • Mantenere e comunicare le politiche di sicurezza.

La guida dettagliata del PCI Security Council può essere d’aiuto nel soddisfare questi requisiti, e potrebbe supportare le aziende verso l’applicazione del GDPR, per quanto concerne i dati di pagamento. Inoltre, potrebbe fornire un orientamento efficace per sviluppare controlli e processi per altre forme di dati che consentono l’identificazione personale.

5 Si può fare sviluppo di business mettendo a fattore comune l’investimento fatto nella GDPR compliance?

Non passa giorno in cui non si verifichi una violazione di dati in qualche angolo del mondo, e che vengano rubati dati personali. I dati possono essere considerati come una vera e propria valuta, e le aziende devono garantire che la sicurezza sia sempre la loro priorità assoluta.

Le aziende dovrebbero essere al corrente di dove vengono archiviati i loro dati, di chi vi ha accesso, e di che tipo di informazioni si tratta, e, in seguito, stabilire o mantenere i controlli di sicurezza più adeguati, a seconda dei rischi inerenti al contesto in cui operano. La sicurezza dovrebbe essere un compito normale, non un argomento di cui ci si preoccupa solo una volta all’anno. Se migliora il livello di sicurezza, infatti, automaticamente si abbassa la percentuale di rischio di incidenti in futuro, e, in caso questo si verifichi, esisteranno già i processi adatti a reagire velocemente e a minimizzare la perdita di fiducia nel brand, che potrebbe essere una delle possibili conseguenze.