FireEye delinea il probabile impatto della nuova legislazione euopea in ambito sicurezza (GDPR e NIS) sulle aziende: sarà un’opportunità o un problema?
La legislazione europea in arrivo avrà un impatto sostanziale sulle security practice nei prossimi anni. Il GDPR (General Data Protection Regulation) e il NIS (Network and Information Security) giocheranno un ruolo fondamentale in questo processo, rafforzando gli obblighi per le aziende e delineando specifiche conseguenze in caso di inosservanze.
Nessuna delle due direttive però è una normativa specifica sulla sicurezza, anche se entrambe parlano di implementare processi security allo stato dell’arte ed adeguati ai rischi di una violazione. Scopriamo qualcosa di più su queste norme grazie ai consigli di FireEye.
- Una legislazione globale. Il GDPR non è solamente un altro regolamento sulla sicurezza dei dati: si tratta di una parte completa della legislazione sulla protezione dei dati dell’Unione Europea (UE) che imporrà nuovi obblighi significativi per la gestione dei dati personali in modo da facilitare il business. Lo scopo è quello di consolidare e semplificare le norme relative al trattamento di informazioni su clienti e prospect, tra cui la libera circolazione dei dati attraverso e tra le organizzazioni. La non compliance potrebbe costituire una minaccia significativa per la reputazione di un’organizzazione.
- Notifica obbligatoria della violazione. Un tema chiave è il concetto di notifica obbligatoria della violazione. In base a questa disposizione, le organizzazioni che gestiscono dati personali di cittadini europei che sono state violate sono obbligate ad inviare una notifica alla Supervisory Authority nazionale entro un periodo di 72 ore. Le aziende necessitano, così, di una profonda visibilità delle attività del network per reagire correttamente.
- Attenzione alla notifica. Nel processo di notifica di una violazione all’organismo di vigilanza, le aziende dovranno dichiarare le specifiche dell’incidente, incluse le cause fondamentali e le conseguenze materiali, come la perdita o il danneggiamento di dati. Una revisione accurata dell’attività di sistema è quindi un presupposto di compliance, per poter dimostrare alle autorità quello che è accaduto, quando, dove, come e perché.
- Le conseguenze e i nuovi approcci. Le autorità di vigilanza qualificheranno come scarse (imponendo ammende più elevate) le organizzazioni che non sono in grado di dare notifica di un’infrazione. In aggiunta al tradizionale approccio di prevenzione, maggiore enfasi è attribuita alla rilevazione di violazioni; questo rappresenta un cambiamento fondamentale nella pratica comune nelle Security Operations.
- I costi. Questi nuovi requisiti mettono un peso aggiuntivo su security operations già gravose. Molte aziende, in particolare quelle in settori meno regolamentati, troveranno i nuovi requisiti quasi alieni e costosi da attuare. Gli investimenti vanno fatti in sicurezza al fine di ottenere la compliance. Questo investimento può anche essere allineato con obiettivi di business più ampi che richiedono una base di sicurezza, come sostenere programmi di trasformazione digitale.
- Le opportunità e IoT. Molte aziende stanno esaminando le opportunità derivanti da IoT, ma sono anche preoccupate dalle implicazioni di sicurezza. Un approccio più conforme alla sicurezza potrebbe essere utilizzato per creare un’architettura che supporti IoT pur assicurando adesione alle nuove regole. Ci sono diversi modi in cui la security compliance può essere posizionata come un abilitatore per l’innovazione, e anche per generare vantaggi competitivi.
Marco Rottigni, Senior Systems Engineer, FireEye
Le nuove norme sulla sicurezza dell’Unione Europea sono state implementate per buone ragioni e, sebbene molte aziende si lamentano del costo della compliance, potranno acquisire l’opportunità (e il bilancio disponibile) per migliorare le proprie pratiche di sicurezza esistenti e le infrastrutture tecnologiche per migliorare la posizione globale di sicurezza dell’organizzazione.
