Il General Data Protection Regulation menziona, più di una volta, quali tecniche di protezione mezzi e tecnologie sono necessarie per salvaguardare i dati personali dei cittadini europei. La norma, entrata in vigore lo scorso maggio, non specifica però quale tecnologia di sicurezza bisogna adottare per difendere le informazioni e non ricorrere nelle sanzioni previste dalla legge.
Controller e processore
Questo perché un documento, pur aggiornabile, non potrà mai stare al passo con le minacce e le conseguenti risposte implementate dalle compagnie. Quello che è certo è che la valutazione dell'adeguatezza dipende da nuove figure individuate dalle singole organizzazioni.
Sotto Il GDPR, la protezione viene suddivisa tra due livelli distinti:
- il controller,
- il processore.
Un imprenditore (o un manager) che ottiene le informazioni private di un cliente, e decide come usarle, è il controller; mentre il dipendente che si occupa di seguire le direttive del controller è il processore.
Al fine di prevenire qualsiasi uso improprio dei dati, sono necessari protocolli robusti e una conoscenza di questi da parte di tutti gli individui interessati alla manipolazione dei contenuti sensibili.
La via migliore per essere compliance con il GDPR è una: creare un layer di difesa che permetta non solo di contrastare gli attacchi, ma che funga anche come forma di prevenzione verso tutte quelle procedure non legacy che rischiano di fare danni come, se non più, di un data breach. È evidente che non c'è modo di eliminare per sempre il pericolo di cyber threat, dunque l'unica cosa che resta da fare è rafforzare il perimetro, senza isolarlo, seguendo alcune strade peculiari: controlli preventivi, processi di analisi, misure correttive. Se integrate nei sistemi di gestione IT, queste consentono di dormire sogni relativamente tranquilli, rispettando il GDPR.
Valenza multipla
La maggior parte delle soluzioni di cybersecurity può oggi dar seguito a operazioni di sicurezza su uno o più livelli. Per esempio, quelle incentrate sulla difesa degli endpoint impediscono l'accesso non autorizzato, ma allo stesso tempo monitorano costantemente l'utilizzo dei software e possono rilevare comportamenti anomali, oltre a bloccare determinate attività.
L’importante è superare il vecchio modello, che poneva l’attenzione su un solo aspetto, lasciando scoperte altre modalità di violazione. Pensiamo all’adozione di firewall, ai soli antivirus o alla gestione delle patch. Non si può più procedere in questo modo ma occorre approcciare la tematica con una governance estesa.
I paradigmi della next-gen
Parliamo allora di:
- Security Incident ed Event Management (SIEM),
- Intrusion Detection e Prevention Systems (IDS/IPS),
- Web Application Firewall (WAF).
Concetti di nuova generazione il cui focus è anche sull'utente, inteso come figura cardine di un meccanismo che si basa sicuramente sull’automazione dei controlli, ma anche sul monitoraggio dell’atteggiamento individuale. Ecco allora:
- l'autenticazione a più fattori (MFA),
- il Single Sign-on (SSO),
- il Privilege Access Management (PAM),
- l’User Behaviour Analysis (UBA),
Formazione e controllo
Urge quindi una certa maturità informatica, sia a scopo aziendale sia normativo. Questo breve elenco delle possibili misure che aiutano a consolidare l’IT ai requisiti del GDPR non è affatto esaustivo. Il panorama cambia di continuo e va di pari passo con le nuove analisi che le agenzie e gli esperti rilasciano periodicamente nei loro bollettini. Quanto abbiamo oggi è un contesto di sicurezza ancora imperfetto, dove la privacy è a rischio continuo. Se non è utile seguire la teoria della Grande Muraglia, in cui si spinge per una chiusura totale dei confini con il rischio di scontrarsi con una concreta involuzione, bisogna farsi carico delle incognite, per partire da queste e costruire fondamenta più solide, poggiate sui paradigmi di una tecnologia moderna, pronta e consapevole.