Lizzie Cohen-Laloum, Senior Vice President EMEA Sales di F5 Networks, mette a fuoco i principali meccanismi di security in vista dell’entrata in vigore del regolamento GDPR.
Il rilascio del regolamento generale sulla protezione dei dati (GDPR) segna un passaggio fondamentale nell’evoluzione dell’elaborazione dei dati e rende necessario verificare se siamo effettivamente pronti a un mercato unico della sicurezza informatica, nel quale le aziende sono il principale controllore della conformità dei dati e del loro processing.
Il mondo digitale è la nuova economia che giuda il mercato e i consumi. I dati personali e aziendali si trovano al centro di questo fenomeno che vede il cloud computing, i servizi web mobile e lo sviluppo intelligente trasformare rapidamente il panorama di business.
Secondo la Commissione europea, attualmente 2 miliardi di persone sono connesse a Internet e questo numero è destinato a breve a superare i 3 miliardi. Per molti imprenditori, tutto questo si traduce in grandi opportunità commerciali, ma presenta anche rischi e sfide impegnative, in particolare, la maggiore esposizione a brecce di sicurezza che possono compromettere seriamente la redditività e ripercuotersi sulla reputazione del brand. Alla complessità di questo scenario si aggiunge l’aspetto più temuto da chi guida l’azienda: poter comprendere effettivamente quali sono i dati all’interno delle proprie reti perché sono proprio i dati che non si padroneggiano a essere quelli più esposti agli attacchi.
Save the date e save the data!
La data ormai è certa: 25 maggio 2018. A partire da essa le aziende che vorranno fare affari in Europa o entrare in contatto con i clienti europei dovranno rispettare il GDPR, che diventerà lo standard per tutti i paesi dell’Unione, quale regolamento condiviso che non richiede alcuna legge nazionale per la sua attuazione. Il GDPR introdurrà nuovi obblighi e responsabilità, rafforzerà i diritti dei consumatori e porrà restrizioni rispetto ai flussi internazionali dei dati, portando, in ultimo, le organizzazioni a ripensare la gestione dei dati personali, i confini dell’azienda e le responsabilità del management.
Se la fiducia è da sempre un requisito fondamentale nel mondo degli affari, quando il commercio avviene su Internet lo è ancora di più, dato che le parti coinvolte in realtà non si incontrano mai.
Il GDPR richiede, quindi, un approccio basato sul rischio, che implica l’implementazione di procedure sicure e controlli per proteggere le informazioni sensibili.
Molte aziende ritengono che le sanzioni saranno inevitabili e si preparano di fatto a diventare i primi candidati della non-conformità. Sono pronte però ad affrontare multe che possono raggiungere il 4% del fatturato complessivo o penali fino ai 20 milioni di euro?
La compliance può essere vissuta come una pratica noiosa e costosa, un’inutile perdita di tempo e molti temono che un numero sempre più elevato di norme e regolamenti non sia latro che una limitazione per il business. Non è però questo il caso del GDPR, che oggi è ampiamente considerato un abilitatore per il commercio, perché permetterà alle organizzazioni di aprirsi a nuovi mercati promuovendo la propria compliance e i forti controlli di sicurezza come elemento di differenziazione.
Il nuovo regolamento sulla privacy introdurrà, inoltre, principi importanti con l’obiettivo ultimo di proteggere i dati vitali dei cittadini europei in un contesto in cui questi dati diventano sempre più difficili da monitorare e tracciare rispetto all’enorme varietà di dispositivi e comportamenti mobile.
Come parte del GDPR, le aziende dovranno comunicare al regolatore entro 72 ore di aver riscontrato una violazione, indipendentemente dal fatto che questa abbia colpito i dipendenti o i clienti. La comunicazione dovrà essere completa, descrivere la natura della violazione, il numero di set di dati che sono stati compromessi, le informazioni di contatto dei direttori responsabili per i dati e le misure che l’azienda intende adottare per affrontare la situazione.
Comprendere i dati per poterli proteggere
Comprendere i dati ed essere in grado di controllarli, analizzarli, contestualizzarli e monitorare il loro flusso è la base per gestire correttamente le informazioni personali e aziendali. Dalla banca al venditore al dettaglio, i dati non sono mai statici, si evolvono in modo agile, spostandosi tra le diverse piattaforme e fornendo conoscenza e statistiche che rappresentano la linfa vitale dell’intelligenza commerciale.
Per molte aziende oggi è difficile stabilire chi è responsabile dei dati e sarà necessario assumere un esperto esterno per gestire questa importante area di business nominando un chief data protection officer in grado di garantire la conformità.
Le aziende dovranno essere pronte a scalare e proteggere le loro operazioni e le infrastrutture. Per evitare le criticità maggiori sarà necessario proteggere i dati del cliente accessibili dai dispositivi mobile, fondamentale, ad esempio, quando si verifica un furto e le informazioni devono essere cancellate in base ai comandi emessi da remoto. Allo stesso modo, le aziende che cercano di memorizzare i dati nel cloud avranno sempre più bisogno di mantenere la proprietà e il controllo dei dati centralizzato, occupandosi della gestione delle policy e cercando soluzioni di crittografia che garantiscano che solo l’azienda che detiene il controllo possa sbloccare i file richiesti.
IL GDPR come spinta all’economia digitale
Il mercato della sicurezza informatica è uno dei settori che cresce più rapidamente nel mondo e l’Unione Europea sta assumendo un ruolo di guida per lo sviluppo di una cultura della sicurezza dei dati solida, che consenta di attuare misure consistenti in caso di mancato rispetto.
L’idea di un mercato unico europeo della sicurezza informatica rappresenta, quindi, un buon punto di partenza. Si tratta di un progetto nato nell’ottica di colmare le lacune che esistono nei settori commerciali digitali non regolamentati in cui operiamo. In questo contesto, soluzioni e servizi di sicurezza innovativi, come quelli proposti da F5, possono essere un aiuto importante nella protezione dei dati che risiedono sulle applicazioni business-critical.
Nel mercato unico della sicurezza informatica il cyber-cittadino europeo responsabile dovrà essere preparato e conforme per poter essere, come obiettivo ultimo, anche sicuro.