Netskope e il GDPR, la compliance e la sicurezza tre anni dopo

La mancata gestione di servizi cloud non approvati può esporre l'organizzazione a seri rischi dal punto di vista legale, della continuità e della reputazione.

GDPR

Neil Thacker, CISO EMEA di Netskope, ci parla di sicurezza e compliance a tre anni esatti dall’entrata in vigore del GDPR, il Regolamento Generale sulla Protezione dei Dati.

Ad oggi, osserviamo ancora il continuo problema dell’uso di applicazioni e servizi cloud non gestiti nel rispetto del regolamento. Una delle sfide di conformità più sottovalutate che le organizzazioni devono affrontare ai sensi del GDPR è il fatto che molti – se non la maggior parte – record di dati personali, per i quali l’organizzazione è legalmente responsabile, vengono elaborati utilizzando applicazioni e servizi cloud che non sono forniti dall’azienda o resi visibili all’IT o al team di sicurezza.

I dati personali non strutturati

Inoltre, i dati personali non strutturati vengono creati dai dipendenti, spesso senza supervisione, utilizzando applicazioni di produttività o collaborazione. Questi dati sono pervasivi su dispositivi mobili e condivisi con altri tramite applicazioni non gestite e posizioni di archiviazione cloud che sono al di fuori del controllo diretto dell’organizzazione.

L’esplosione di dati alimentata dalla pandemia nel 2020 e una tendenza Work-From-Anywhere (WFA) che coinvolge l’utilizzo di Bring Your Own Device (BYOD) ha solo esacerbato questo problema.

La responsabilità legale dell’organizzazione

Tuttavia, ai sensi del regolamento GDPR è sempre responsabilità legale dell’organizzazione proteggere tali dati da perdita, alterazione o elaborazione non autorizzata, anche se i lavoratori utilizzano servizi cloud che non sono pre-approvati o controllati dall’organizzazione.

Ciò significa che le organizzazioni devono sapere quali record di dati personali vengono elaborati dagli utenti dei servizi cloud, devono identificare le applicazioni cloud utilizzate dalla forza lavoro dell’organizzazione, devono impedire che i dati personali vengano archiviati o elaborati in servizi cloud non gestiti e devono continuare a proteggere i dati personali se archiviati o elaborati nei servizi cloud.

I servizi cloud non approvati

La mancata gestione di servizi cloud non approvati può esporre l’organizzazione a seri rischi, sia da un punto di vista legale che da un punto di vista della continuità aziendale e della reputazione. CIO e CISO devono quindi prestare molta attenzione a questo problema e attuare misure per portare tali servizi cloud sotto la visibilità e il controllo dell’organizzazione.

Framework e piattaforme affidabili, come Secure Access Service Edge (SASE), aiutano non solo a rendere la strategia cloud di un’organizzazione a prova di futuro, ma lo fanno con sicurezza, privacy e conformità alle normative, come il GDPR, in prima linea.