Le imprese devono iniziare a muoversi in questa direzione: il 25 maggio 2018 si avvicina!

gdpr

A cura di Antonio Madoglio, SE Manager, Fortinet Italia

Il processo di digitalizzazione e globalizzazione della nostra economia si basa sempre più su controllo e trattamento dei dati personali. Se da un lato questo aspetto apre la porta a nuove opportunità di business, è altrettanto vero che l’importanza della protezione dei dati personali sta diventando un argomento al centro del dibattito pubblico, nonché una fonte di preoccupazione per gli addetti ai lavori. Il General Data Protection Regulation (GDPR) dell’Unione Europea intende dare una risposta a tutto ciò. Riconoscendo il valore di questi dati, il regolamento prevede un costo per la loro raccolta, archiviazione e utilizzo, demandando alle aziende la responsabilità della loro protezione con l’obbligo di restituirne controllo e titolarità ai privati. Con requisiti severi, obblighi e notevoli penalità in caso di inadempienze, sia gli sforzi legati alla compliance che i rischi in caso di mancata conformità aumenteranno notevolmente una volta che il GDPR sarà entrato in vigore. Le conseguenze a livello aziendale saranno numerose e riguarderanno il workflow del trattamento dei dati, la struttura organizzativa, i processi di business e, ovviamente, le tecnologie di sicurezza IT.

DIRITTI DEGLI INDIVIDUI

Il GDPR definisce i diritti degli individui in relazione alla protezione dei dati. La prima sfida legata alla conformità al regolamento è quindi data dal controllo, e ove necessario dalle opportune modifiche, delle modalità con cui l’azienda raccoglie, archivia e tratta le informazioni personali nel rispetto di questi diritti.  Solo il semplice fatto che un’azienda possa localizzare con precisione tutte le istanze dei dati personali di un individuo sull’intera infrastruttura rappresenta già gran parte di questa sfida.

RESPONSABILITÀ E GOVERNANCE

L’azienda deve poi essere in grado di dimostrare la conformità mediante appropriate misure di governance, che devono includere documentazione dettagliata, logging e valutazione continua dei rischi. Esiste poi un’aspettativa di “protezione dei dati già in fase di progetto e di default”, nel senso che la sicurezza per quanto possibile, dovrebbe essere considerata parte integrante di tutti i sistemi sin dal principio – già in fase di progettazione – piuttosto che essere aggiunta in modo retroattivo. Poiché vengono scoperte di continuo nuove vulnerabilità, le tecnologie di sicurezza e le pratiche di protezione dei dati che vengono attualmente considerate conformi, potrebbero necessitare di un aggiornamento per esserlo anche in futuro. A tal fine le aziende avranno bisogno di meccanismi ben oliati per far sì che i loro sforzi riescano a stare al passo con gli sviluppi tecnologici e le nuove minacce.

SICUREZZA DI RETE: LE SFIDE

Stare al passo con il panorama delle minacce in evoluzione rappresenta una sfida anche senza la specifica richiesta del GDPR che sostanzialmente impone alle aziende di dotarsi di difese allo “Stato dell’arte”.  Le enormi entrate del cyber-crime, per non parlare del suo potenziale in termini di terrorismo sovvenzionato dagli stati, garantisce un livello tale di risorse e di innovazione che risulta difficilmente raggiungibile da una singola azienda o addirittura da un governo nazionale. Parte del problema deriva dal modo in cui la sicurezza informatica si è evoluta, con la scoperta di nuovi vettori di attacco che ha fatto sì che sorgesse l’esigenza di aggiungere di continuo ulteriori soluzioni di sicurezza a quelle esistenti. Sebbene ognuna di queste sia in grado di svolgere il compito richiesto, lo fa tendenzialmente in modo isolato, con un’interazione pressoché pari a zero con il resto dell’infrastruttura. Questo aspetto non solo è difficile da gestire, ma può facilmente portare a lacune e mancanza di coordinamento nella risposta a nuove minacce – soprattutto in un ambiente multi-vendor.

Una soluzione realmente allo “stato dell’arte” non solo deve essere in grado di avere la meglio sulle sfide sopra descritte, ma anche sapersi adattare ai cambiamenti tecnologici e alla continua evoluzione del panorama delle minacce.

NOTIFICARE VIOLAZIONI ENTRO 72 ORE

La problematica principale legata alla richiesta di notifica di un breach come imposto dal GDPR è rappresentata dall’individuazione sia del momento in cui questo si è verificato, che degli asset messi potenzialmente a rischio. Nel 2016, il tempo medio trascorso prima che le aziende si rendessero conto dell’esistenza di un breach è stato di quasi cinque mesi. Anche se la finestra di notifica di 72 ore prevista dal GDPR comincia dal momento della rilevazione – e non da quello dell’intrusione – è lo stesso fondamentale riuscire a ridurre i tempi di detection, poiché l’impatto finanziario di una violazione è strettamente correlato a quanto tempo l’hacker ha a disposizione per agire indisturbato nella rete.

Dal momento che è chiaramente impossibile rilevare l’irrilevabile, i responsabili della sicurezza IT dovrebbero esserne consci e prepararsi per l’inevitabile intrusione occasionale, cercando di ridurre al minimo tale tipologia di evento e accelerarne l’individuazione affidandosi a tutti i mezzi possibili e, anche nel caso non si fosse incontrato uno specifico profilo di attacco in precedenza, ciò non dovrebbe costituire un problema in fase di osservazione. Con la giusta combinazione di analisi del traffico distribuito e threat intelligence, unitamente a tecnologie quali la sandboxing, gli attacchi in precedenza invisibili possono ancora essere bloccati. La sfida per queste tecniche di rilevazione avanzata è quella di riuscire a distinguere i segnali che contano davvero da tutto il resto.

CONCLUSIONI:

Sebbene la conformità al GDPR non possa essere ottenuta solo attraverso la tecnologia, l’offerta di una sicurezza di rete “allo stato dell’arte” rappresenta chiaramente un primo passo indispensabile. Per ridurre l’esposizione alle conseguenze potenzialmente devastanti di un grave data breach, è quindi necessario ridurre al minimo sia il numero di intrusioni sulla rete che il tempo necessario per rilevarle.

A tal fine è fondamentale affidarsi a un nuovo approccio alla security, che preveda che tutte le componenti chiave dell’infrastruttura di sicurezza siano intrecciate in un tessuto (fabric) senza soluzione di continuità. Una sicurezza “fatta ad arte” (“security is an art” (RFC 3631)).