14 / 53
UNA STRATEGIA
DI SICUREZZA COMPLETA
PER AFFRONTARE
LE SFIDE DEL GDPR
A cura di Giovanni Napoli, Enterprise EMEA security Architect Team Lead, di RSA Security
Il GDPR nasce dalla volontà di unifi-
care la legislazione sulla protezione
dei dati dell’Unione Europea che, a
sua volta, unifica i processi e gli ob-
blighi legali che riguardano qualsiasi
organizzazione che intrattiene rapporti
commerciali con ogni stato europeo.
L’ambito di applicazione del GDPR,
tuttavia, tende sostanzialmente ad au-
mentare gli obblighi per le organizza-
zioni che processano i dati personali
dei cittadini dell’UE. Le sanzioni per la
mancata conformità sono consistenti,
il che porta il concetto di protezione
dei dati come rischio di business di-
rettamente sul tavolo dei consigli di
amministrazione. L’obiettivo fondamentale della riforma
è proteggere meglio i diritti dei cittadini europei rispet-
to ai loro dati personali, indipendentemente da dove
l’organizzazione risieda o operi. Da questo punto di
vista il GDPR è destinato a diventare la prima legge di
protezione dei dati globale. La grande domanda che,
quindi, si apre per il mondo aziendale è la seguente:
“In che modo tutto ciò influirà sulla strategia di sicurezza
informatica della singola azienda?”
L’impatto del GDPR sulla strategia delle identità
Le identità rappresentino uno tra i vettori di minaccia più
significativi per le aziende: il 63% delle violazioni di-
chiarate nel 2015 derivava dalla compromissione delle
credenziali e l’81% delle violazioni correlate all’hacking
ha sfruttato password rubate o deboli (Rapporto Verizon
Data Breach Investigations 2017). Questi dati evidenzia-
no la necessità di meccanismi di autenticazione più forti
che combinino la facilità di utilizzo con le esigenze di
sicurezza e conformità alle specifiche necessità aziendali
e normative di riferimento. La creazione di un solido pro-
gramma di Identity and Access Management (IAM) e di
Identity Governance è fondamentale per ridurre i rischi
legati all’identità che possono essere
sfruttati dagli hacker per infiltrarsi nella
rete aziendale.
Una tale soluzione può aiutare l’azien-
da ad affrontare tre sfide fondamenta-
li nella protezione delle informazioni
sensibili e personali: che gli utenti e
operatori siano veramente quelli che
devono essere; che venga loro garan-
tito il corretto livello di accesso; che
tale accesso sia conforme alle policy
aziendali e che venga verificato nel
tempo e regolarmente. Come prima
cosa, le organizzazioni devono fornire
un accesso facile ma sicuro affinché
gli utenti possano accedere alle infor-
mazioni di cui hanno bisogno (indipendentemente dal
fatto che l’applicazione sia on premise in azienda o in
cloud) e assicurare che le identità in gioco siano quelle
che dicono di essere.
In secondo luogo, devono garantire agli utenti il profilo
appropriato di accesso per poter svolgere il proprio lavoro,
aspetto che comporta la richiesta, revisione, concessione
e revoca dei privilegi di accesso dell’utente, utilizzando
processi automatizzati che consentano ai vari responsa-
bili in azienda di prendere le proprie decisioni in merito
a chi deve accedere a che cosa e per quanto tempo.
Infine, poter dimostrare la continua conformità sarà fonda-
mentale dal punto di vista del GDPR. L’unione di queste
tre componenti offre visibilità e controllo, in modo che
l’organizzazione possa mantenere la conformità anche
con il trascorrere del tempo, adeguandosi e adattandosi
in funzione delle diverse necessità da soddisfare.
Account compromessi, credenziali rubate o provisioning
mal gestito sono tutti aspetti che evidenziano delle de-
bolezze dal punto di vista della compliance al GDPR.
Le organizzazioni dovranno infatti dimostrare di adotta-
re un approccio proattivo alla gestione dell’accesso ai
dati personali. Davanti a una violazione, la capacità
Giovanni Napoli, Enterprise EMEA
security Architect Team Lead,
di RSA Security
SPECIALE GDPR