Akamai Technologies, Inc. la piattaforma di cloud delivery, avverte le organizzazioni europee che la mancata adozione di un approccio basato sull’analisi dei rischi per la gestione dei dati personali potrebbe condurre alla mancata conformità all’imminente regolamento generale sulla protezione dei dati (GDPR) – e quindi a multe salate.
A quasi tre mesi dall’entrata in vigore del GDPR, è importante che le aziende adottino appropriati protocolli di sicurezza e siano pronte a dimostrare di averli seguiti nel caso in cui dovessero verificarsi episodi di violazione dei dati. L’azienda – all’interno del proprio whitepaper “Protezione delle risorse web basata su prove: un elemento imprescindibile del regolamento GDPR” – sottolinea la necessità per le organizzazioni di iniziare a condurre un’accurata analisi dei propri sistemi per comprendere pienamente le principali vulnerabilità del proprio network e per garantirne la conformità alla regolamentazione. Tuttavia, ciò che si intende per “appropriate” misure di sicurezza lascia adito a varie interpretazioni.
In merito all’obbligo per le aziende di seguire le best practice del settore per proteggere i dati dei clienti e assicurare al Garante per la protezione dei dati personali (Data Protection Authority o DPA) tutte le informazioni necessarie, Gerhard Giese, Manager Enterprise Security Architects di Akamai Technologies, ha commentato:
“Le organizzazioni si trovano tra l’incudine e il martello. Benché il regolamento GDPR lasci adito a varie interpretazioni, le aziende devono agire subito, prima della sua entrata in vigore. La mancata produzione di prove sufficienti a dimostrare di aver implementato le misure appropriate per proteggere i dati personali elaborati e per mitigare i rischi associati alle attività di elaborazione dei dati potrebbe comportare sanzioni salate. Nel caso di violazione dei dati, è infatti responsabilità delle organizzazioni dimostrare che le misure implementate fossero appropriate. Non ci saranno più scuse”.
Nel caso in cui le aziende dovessero difendere la solidità dei propri sistemi di sicurezza basati sull’analisi dei possibili rischi, le loro argomentazioni potrebbero non essere sufficienti. Il fatto di non avvalersi delle ultime tecnologie o di affidarsi alle proprie conoscenze limitate sullo scenario delle minacce in continuo mutamento potrebbe, infatti, portare i garanti a chiedersi quanto fosse effettivamente “basato sui rischi” l’approccio dell’azienda.
“Molte organizzazioni utilizzano ancora tecnologie che non le proteggono efficacemente dai cyber attacchi – aprendo, ad esempio, vulnerabilità VPN consentendo accessi non necessari alla rete aziendale o scegliendo soluzioni di sicurezza semplicemente meno efficaci. Altre aziende sono limitate nella capacità di reagire ai problemi, impiegando più tempo del necessario per l’individuazione delle minacce o l’implementazione di soluzioni tali da proteggere le proprietà web da questi pericoli. Le aziende dovrebbero analizzare in modo approfondito le proprie soluzioni di sicurezza e chiedersi se esista un modo migliore per proteggere i dati personali da esse elaborati. Se esiste una soluzione semplice e pratica che non hanno implementato, devono valutare se possono realmente dichiarare di aver ridotto il rischio nel modo richiesto”, ha proseguito Giese.
Inoltre, la localizzazione sta complicando ulteriormente i requisiti di conformità, determinando l’obbligo per le aziende di rispettare i requisiti locali dei diversi Paesi. Man mano che i vari Paesi aggiornano le proprie leggi sulla privacy, le multinazionali devono agire di conseguenza. Sebbene esistano delle similitudini, le singole sfumature stanno rendendo più difficile per le aziende dimostrare la conformità con ciascuno dei singoli regolamenti.
Operazioni necessarie per garantire la conformità al GDPR
Si suggerisce quattro misure che le aziende possono iniziare fin da ora ad adottare per dimostrare al Garante per la protezione dei dati personali (Data Protection Authority o DPA) di aver implementato un adeguato approccio basato sui rischi relativamente alla protezione delle proprietà web:
- Imparare dagli errori altrui
Se un’azienda attende di essere attaccata prima di rispondere ad una nuova minaccia, è molto più difficile che riusca a difendersi con successo. I fornitori dei servizi di sicurezza che proteggono le aziende in tutto il mondo sono in grado di individuare le minacce tempestivamente in un punto e applicare quanto hanno appreso a tutti gli altri clienti prima che venga sferrato un attacco.
- Aggiornare e documentare le regole del Web Application Firewall
Nel caso di una violazione della sicurezza, il DPA richiederà le prove delle azioni intraprese per ridurre l’impatto di un eventuale attacco. Pertanto, per le proprietà web, è prioritario dimostrare che l’azienda abbia implementato un efficace Web Application Firewall, tenendolo costantemente aggiornato per rispondere allo scenario delle minacce in continuo mutamento.
- Controllare l’accesso da parte di terzi ai dati personali
Consentire a terzi di accedere ai network è una necessità aziendale; tuttavia, questo accesso può porre a rischio sia i dati personali sia la sicurezza generale. Pertanto, se le aziende vogliono essere in grado di provare ai DPA la validità delle proprie misure di mitigazione dei rischi, è fondamentale garantire l’implementazione di un sistema in grado di tracciare gli accessi alle reti e di mitigare il rischio di accessi non autorizzati.
- Alzare una barriera tra la rete e le potenziali minacce
Se la prima linea di difesa di un’azienda si trova lungo il perimetro della sua rete, la minaccia è già troppo vicina. Alzare una barriere tra l’infrastruttura di un’azienda e i potenziali autori di cyber attacchi, ad esempio avvalendosi di un Content Delivery Network, può aiutare a garantire che le minacce vengano rilevate prima che diventino un problema, nonché consentire all’organizzazione di gestire il traffico durante gli attacchi DoS (Denial of Service).