Marco Rottigni, Senior Product Marketing Manager, EMEA di FireEye, ci guida attraverso le peculiarità normative e operative del GDPR.
Tutte le aziende che gestiscono dati di cittadini dell’Unione Europea – che comprendono società in tutto mondo – dovrebbero essere pronte a soddisfare i requisiti del Regolamento Generale sulla Protezione dei Dati Personali (GDPR) entro il 25 maggio 2018.
Questa regolamentazione ha importanti risvolti operativi, come il miglioramento nel rilevare i rischi e nuovi obblighi di risposta in caso di incidenti con violazioni dei dati; tutto ciò è fonte di preoccupazione e incertezza su gli impatti futuri delle disposizioni legislative.
Il GDPR è destinato a sostituire la direttiva 95/46/EC sulla protezione dei dati personali, adottata nel 1995 per regolamentare il trattamento dei dati personali all’interno dell’UE. Sebbene in passato molte aziende abbiano adottato procedure e processi di tutela della privacy coerenti con la precedente direttiva sulla protezione dei dati, il GDPR contiene nuove disposizioni per una maggior protezione dei soggetti e dati interessati nell’Unione Europea.
La realtà preoccupante per la maggior parte delle aziende è che, in caso di violazione del regolamento, saranno comminate significative sanzioni pecuniarie. Le sanzioni saranno comprese tra il 2 e il 4 % del fatturato globale annuo dell’azienda o fino a 20 milioni di euro. Considerata l’entità di questa potenziale punizione, molti membri del direttivo aziendale stanno da tempo considerando la conformità al GDPR una priorità strategica.
A quali requisiti dovrei pensare?
Il GDPR possiede sette requisiti chiave, di cui i primi sei sono costituiti da: (1) nomina di un Responsabile della protezione dei dati per controllare il rispetto interno di tale principio da parte delle varie funzioni aziendali, (2) esecuzione di valutazioni d’impatto sulla privacy in occasione di attività di trattamento dati ad alto rischio, (3) ricevimento del consenso della persona interessata in merito alle tipologie di dati raccolti e al loro utilizzo, (4) implementazione di trasferimenti transnazionali di dati secondo meccanismi che soddisfino i requisiti di conformità, (5) autorizzazione alla richiesta di cancellazione dei dati personali da parte della persona interessata e (6) possibilità di data portability per soggetti interessati a trasferire i propri dati personali da un sistema di trattamento elettronico ad un altro senza ostacoli da parte del responsabile del trattamento.
Sebbene questo regolamento ponga enfasi sulla conformità nel processo dei dati, esiste un settimo requisito la cui osservanza è imperativa: la notifica degli incidenti. Le aziende porranno ora particolare attenzione alle attività di identificazione e segnalazione di incidenti con violazione dei dati entro 72 ore dalla scoperta. Molti si stanno chiedendo se la propria azienda sia in grado di gestire questo processo e l’impatto che comporta entro i tempi definiti.
Il nuovo imperativo: essere pronti a rispondere all’incidente
“Durante una crisi, la prontezza organizzativa e di informazione nell’individuare e comunicare correttamente una violazione dei dati alle parti interessate (e alle autorità di regolamentazione) è un compito difficile di per sé. Se aggiungiamo l’obbligo di seguire processi precisi di risposta all’incidente nel rispetto di tempi di notifica stretti, la situazione diventa molto più difficile”.
Le principali aziende si stanno preparando a questo obiettivo eseguendo quello che definiamo un processo di preparazione all’Incident Response. Ciò può essere realizzato attraverso tre fasi: (1) valutazione e pianificazione, (2) implementazione e (3) collaudo e convalida.
Valutazione e pianificazione
Capire il panorama delle minacce informatiche e il profilo delle minacce esistenti è la chiave per costruire un piano forte. Il processo inizia utilizzando le informazioni sulle minacce per concentrarsi su quelle più rilevanti e probabili. Identificando gli aggressori, rendendosi conto del tipo di dati presi di mira e con la comprensione delle loro capacità.
Prosegue con la valutazione del programma di sicurezza attuale rispetto ai domini di sicurezza critici. Individuare quali domini di sicurezza sono di primaria importanza per la protezione della vostra azienda, priorizzando di conseguenza le attività per dominio.
In tal modo è possibile progettare ed eseguire un programma evolutivo, affrontando prima le aree a più alto rischio. Questo dovrebbe essere uno sforzo combinato tra i vari reparti aziendali tra cui Legal, PR e Information Governance, per assicurare che siano soddisfatte le esigenze a tutti i livelli aziendali e che sia stabilita una responsabilità condivisa.
Operatività
Avere le persone, i processi e la tecnologia giuste per rispondere all’effettiva violazione è l’aspetto principale di questo viaggio di preparazione.
È importante avere confronti dettagliati per capire se le capacità di rilevamento della vostra azienda (dal punto di vista di tecnologia, processi e competenze) saranno o meno in grado di rispettare le raccomandazioni del GDPR, come ad esempio essere allo “stato dell’arte”. Il modo migliore di procedere consiste nell’adottare scenari espliciti di violazione dei dati e i relativi schemi di azione per tutti i reparti coinvolti.
L’analisi degli allarmi servirà da guida metodica per il piano di rimedio. Effettuare il triage di tutti gli allarmi, etichettandoli come reali o come falsi positivi. In questo modo si attiveranno correttamente e direttamente tutti i protocolli di gestione di un incidente con violazione di dati; in caso contrario la violazione resterà male indirizzata, aumentando la probabilità di un altro tentativo da parte dell’attaccante.
È essenziale stabilire protocolli sia interni sia per l’escalation esterna di una violazione dei dati. Documentare formalmente e acquisire dimestichezza riguardo a chi notificare, come notificare e definire esattamente quali informazioni/prove devono essere portate a sostegno della notifica.
Test e validazione
Il GDPR richiederà alle organizzazioni di verificare, esaminare e valutare l’efficacia delle loro misure di sicurezza in vigore. È possibile esercitare il piano di risposta agli incidenti, validandone l’efficacia, conducendo esercitazioni simulate e da parte di un Red Team. Le esercitazioni simulate utilizzano scenari costruiti come l’accesso a record riservati e la rimozione dei dati sensibili della rete. I partecipanti attraversano il processo di scoperta, identificazione, priorizzazione e risoluzione dei problemi informatici, proprio come farebbero durante un vero e proprio attacco. Un Red Team mette alla prova la resilienza dei dati critici rispetto al furto simulando gli strumenti, le tattiche e le procedure che gli aggressori utilizzano nel mondo reale.
Anche le aziende che credono fermamente di possedere un programma di sicurezza sofisticato dovrebbero testare e convalidare le loro capacità, per confermare una Due Diligence al direttivo aziendale.