Come spiegato da Federprivacy, quello della privacy e della protezione dei dati è un ambito davvero complesso; la normativa europea General Data Protection Regulation (GDPR) entrata in vigore a maggio 2018, garantisce ai cittadini europei diritti molto estesi sui dati personali che le imprese archiviano e utilizzano, mettendo ancora più pressione sulle aziende che sono tenute a pagare multe salate in caso di non conformità.
Il GDPR ha introdotto anche una nuova figura professionale di cui le aziende devono fornirsi, il responsabile della protezione dei dati, ovvero il DPO, acronimo di Data Protection Officer.
Difficile se non impossibile improvvisarsi responsabile della protezione dati, in quanto servono competenze specifiche e conoscenza specialistica della materia; il DPO è infatti una figura professionale con particolari competenze cross in campo informatico e giuridico, ma anche di valutazione del rischio e di analisi dei processi.
Per una corretta e adeguata gestione dei dati, il DPO deve avere a disposizione tecnologie avanzate, moderne, in grado di dare visibilità completa sui dati della propria azienda.
Le aziende dispongono infatti di dati personali su dipendenti, clienti, fornitori e altre entità, che possono essere distribuiti in vari datacenter, piuttosto che in Cloud. Purtroppo, queste infrastrutture frammentate rendono la gestione e la protezione dei dati una sfida davvero complessa. Oltre a essere tedioso, un puzzle di soluzioni puntuali può complicare la conformità al GDPR.
Una piattaforma moderna, centralizzata, che automatizza la protezione, permette di raggiungere i necessari livelli di sicurezza, con un tempo di ripartenza (RTO) in caso di necessità vicino allo zero e con punti di ripristino immutabili e inattaccabili anche da Ransomware.
Uno dei principi chiave del GDPR è definito Security by Design, ovvero le soluzioni tecnologiche utilizzate devono essere sviluppate tenendo conto della sicurezza sin dall’inizio.
Il GDPR identifica la cifratura come un modo per ridurre i rischi di data breach o perdita di dati; la cifratura deve essere end-to-end, ovvero deve essere applicata in fase di creazione dei dati stessi e mantenuta fino alla loro eventuale cancellazione o expiration, indipendentemente dalla posizione fisica.
La sicurezza si riferisce anche alla protezione da minacce interne, provenienti dai dipendenti. Per allinearsi a questa richiesta, il personale aziendale deve poter accedere solo ad alcune tipologie di dati, garantendo che ogni utente entri in contatto solo con quelli che gli competono, mitigando il rischio derivante da errore umano o attacco esterno. La sicurezza fornita dall’accesso su vari livelli e basato su ruoli, permette un controllo granulare sull’accesso ai dati e garantisce privacy e integrità degli stessi, limitando l’accesso alle sole persone autorizzate.
Integrare quindi svariate e complesse soluzioni puntuali all’interno di una singola piattaforma che offre una gestione dei dati semplice e moderna, sia in datacenter che in Cloud, è la soluzione migliore per aiutare il DPO ad adeguarsi alla complessa normativa.
Cristian Meloni, Country Manager, Rubrik Italia
