Recenti indagini tra cui quella di 451 Research è emerso che a pochi mesi dalla piena applicabilità del Regolamento Generale sulla Protezione dei Dati, le aziende non riescono a essere GDPR compliant, o quanto meno non soddisfano, in media le richieste di accesso ai dati e di portabilità entro i limiti di tempo richiesti. D’altra parte, a oggi, da parte delle aziende il segno più visibile del GDPR è stata la lunga serie di email che chiedevano di controllare la propria policy sulla privacy dei dati rivista e/o di dichiarare esplicitamente il consenso per continuare a ricevere informazioni. Un interessante effetto collaterale è il numero di siti Web non UE che hanno deciso di bloccare i contenuti ai lettori basati nell’Unione. È il caso, per esempio, di alcuni siti di informazione americani quali quelli del gruppo Tronc (Baltimore Sun, Chicago Tribune, Los Angeles Times, New York Daily News eccetera) dove ancora oggi si trova la scritta “Sfortunatamente il nostro sito al momento non è raggiungibile nella maggior parte dei Paesi europei. Ci stiamo occupando del problema…”.
Con Patrick Grillo, Senior Director of Solutions Marketing di Fortinet abbiamo fatto il punto su quel che è necessario fare in questo momento e, in prospettiva, su come aggiornare la propria dotazione tecnologica utile a proteggere privacy e dati aziendali.
ZeroUno: GDPR, cosa fare oggi? Quali sono gli obblighi imprescindibili per le organizzazioni?
Patrick Grillo: Per la maggior parte delle organizzazioni si tratta di correggere prima di tutto le carenze più ovvie. Questo significa assicurarsi che la parte più visibile dell’azienda, ovvero il proprio sito web, sia conforme alle normative. Se si tratta di un’organizzazione che utilizza i dati personali come parte delle proprie attività di marketing outbound, è imperativo che abbiano raggiunto la loro base di utenti per ottenere nuovamente il permesso a continuare a conservare e utilizzare i loro dati personali. Dietro le quinte, tuttavia, ogni organizzazione deve fare il punto sul processo e le procedure di raccolta dei dati e lavorare sul compito molto più difficile di identificare e organizzare i dati personali in proprio possesso. Possiamo supporre (e sperare per un momento) che i nuovi dati, ovvero i dati ottenuti dopo il 25 maggio 2018, siano trattati in modo appropriato. Considerando una serie di fattori, tra cui il tipo di sistemi IT di legacy ancora in uso e/o la strategia cloud dell’organizzazione, questo processo potrebbe essere significativo.
ZeroUno: Quanto conta l’aspetto sicurezza degli ambienti IT e, nello specifico, le soluzioni di difesa adottate dalle aziende? Qual è l’approccio più corretto da adottare?
Grillo: La maggior parte delle organizzazioni, e certamente le grandi imprese, i fornitori di servizi e le istituzioni governative dispongono già di tecnologie di network security, tendono a fare affidamento sulle funzionalità esistenti mentre affrontano altri aspetti della conformità GDPR.
Il problema di questo approccio è se le loro attuali capacità sono in grado di soddisfare la sfida sia di impedire che gli attacchi diventino una violazione dei dati, sia di riuscire a coprire la finestra di reporting di 72 ore. Poiché le organizzazioni hanno maggiori probabilità di essere multate per una violazione dei dati rispetto a qualsiasi altra forma di non conformità, le aziende dovrebbero esaminare le loro attuali capacità molto più da vicino, identificando quelle aree che richiedono attenzione e sviluppando un piano completo per affrontare questi problemi.
Ma, ancor più importante, le organizzazioni dovrebbero sfruttare il GDPR come opportunità per avviare una revisione molto più ampia delle proprie funzionalità di cybersecurity con un approccio più olistico rispetto a uno che considera solo prodotti/tecnologie/fornitori di cui si dispone o di cui si ha bisogno.
In questo contesto caratterizzato da un controllo e una regolamentazione maggiori e da un panorama delle minacce che è aumentato sia in termini di volume che di complessità, le organizzazioni devono avere assoluta fiducia che la propria infrastruttura di network security sia in grado di proteggere in modo completo la rete. Ciò significa bloccare il maggior numero possibile di attacchi, indipendentemente da dove si verificano, e rilevare rapidamente eventuali intrusioni in grado di superare la prima linea di difesa. Una volta rilevato, l’organizzazione dovrebbe essere in grado di rispondere all’intrusione per ridurre al minimo eventuali danni. In questo modo saranno maggiormente in grado di determinare se la segnalazione dell’incidente all’autorità di protezione dei dati di riferimento sia giustificata o meno.
Tuttavia, non esiste una tecnologia che possa fare tutto questo. Le organizzazioni che rivedono le proprie capacità operative alla luce degli stringenti requisiti del GDPR dovrebbero cogliere l’occasione per guardare oltre ciò che il GDPR richiede. In particolare, le organizzazioni dovrebbero considerare se la loro attuale posizione di network security è in grado di supportare appieno i loro attuali requisiti di business e quelli futuri. La conformità GDPR è un processo continuo che dovrà essere costantemente valutato e adeguato nel tempo.
