Luca Maiocchi, Regional Director Italy, Proofpoint, ci spiega come trovare l’equilibrio tra compliance e sicurezza in vista del GDPR.
I professionisti IT e della sicurezza sono sempre più preoccupati del possibile impatto negativo sui programmi di security di normative di compliance sempre più rigide, come il prossimo EU General Data Protection Regulation (EU GDPR). Ma rispondere alle normative e adottare best practice in tema di cybersecurity non devono per forza essere attività che vanno in contrasto tra loro. Di seguito, andremo ad esplorare le differenze tra conformità e sicurezza, oltre che a indicare come i team di security possono sfruttare a loro vantaggio le normative di compliance.
La compliance non garantisce sicurezza
Solo perché un’azienda è a norma, non vuol dire che sia per forza anche sicura. Le normative puntano a cambiare il comportamento delle aziende applicando regole per la gestione di tipologie specifiche di dati, transazioni o processi. Ad esempio, la normativa Payment Card Industry Data Security Standards (PCI DSS) punta ad aiutare le istituzioni finanziarie a “proteggere i loro sistemi di pagamento dal furto di dati relativi ai possessori di carte”, mentre la nuova EU GDPR intende “proteggere e potenziare la data privacy di tutti i cittadini EU, e ridisegnare il modo in cui le organizzazioni nella regione affrontano la riservatezza dei dati.”
Ogni area di business è differente, e presenta una serie specifica di rischi e attività di controllo legate alla cybersecurity che i team interni saranno chiamati ad affrontare. La spinta migliore per ogni programma di sicurezza, idealmente, dovrebbe essere l’implementazione di best practice, framework e standard di security. Ma il mondo reale è soggetto alla conformità, e le normative spesso finiscono per passare in primo piano. Perché? Ecco tre tra i motivi principali:
- Impatto sul business – Non essere in grado di rispettare le normative porta con sé un impatto sul business decisamente reale, oltre che quantificabile – i regolatori hanno la facoltà di assegnare multe e sanzioni che possono penalizzare in concreto la capacità di operare delle aziende. Inoltre, secondo il GDPR, le organizzazioni che riscontrano una violazione di dati personali in ambito EU dovranno renderla nota alla loro Data Protection Authority. La comunicazione pubblica di violazioni (e di mancata conformità) può danneggiare la brand reputation di un’azienda e, in ultima analisi, il suo fatturato. Si tratta di un costo diretto, ovvero una situazione del tutto differente rispetto ad altre minacce di cybersecurity applicate al business, dove il rischio percepito di un impatto sul business è basso e l’impatto potenziale non può essere quantificato.
- Coinvolgimento del business – Di fronte a sanzioni importanti e alla possibile interruzione delle attività, non è una sorpresa che il management e i consigli di amministrazione stiano dando priorità ai requisiti normativi. Il board comprende i rischi di una mancata conformità, e allo stesso modo ha chiaro cosa debba essere fatto per prevenire multe potenziali. Al business interessa la certificazione ISO27001? Interessano le best practice di sicurezza? Probabilmente no. Interessa invece conformarsi al GDPR e ad altre normative simili? Con ogni probabilità sì.
- Budget – La conformità spinge a definire le priorità di business e, parallelamente, porta con sé investimenti sostanziali sui processi di controllo necessari a fare sì che l’organizzazione possa essere dichiarata conforme. Dato che l’impatto potenziale di una mancata conformità è quantificabile, ed il board di un’azienda è ormai impegnato e consapevole in tema di normative, diventa molto più probabile che il business possa allocare risorse su progetti che intendono risolvere falle normative.
Fare leva sulla compliance per innalzare il livello di sicurezza.
I professionisti IT e della sicurezza possono sfruttare le normative per far crescere la necessità di best practice di sicurezza: includere i requisiti normativi in un più ampio scenario dei rischi relativi alla cybersecurity renderà il business maggiormente consapevole rispetto agli altri rischi che potrebbero colpire le attività. Ad esempio, i team di sicurezza possono fare leva sul GDPR per promuovere altre best practice legate alla data security all’interno dell’organizzazione, andando oltre l’ambito stesso di protezione dei dati dei residenti nella EU.
Le normative rappresentano un’opportunità importante per i team IT e di sicurezza per catturare l’attenzione dei loro board, incrementare la necessità percepita di buone pratiche di sicurezza e garantire i budget necessari per definire e implementare nuove roadmap e strategie di cybersecurity. Insieme alla compliance, la cybersecurity diventa una priorità assoluta nella lista sempre crescente di obiettivi che il business si trova ad affrontare.