Consapevole di come la non conformità alla normativa GDPR possa comportare per la aziende una perdita di tempo, denaro e risorse, oltre a sanzioni salate, Akamai Technologies torna a ribadire l’importanza di adottare appropriati protocolli di sicurezza.
In ottemperanza all’imminente regolamento generale sulla protezione dei dati, le aziende dovranno, infatti, sia adottare protocolli di sicurezza appropriati sia dimostrare di averli seguiti nel caso in cui dovessero verificarsi episodi di violazione dei dati.
In tal senso, sempre Akamai – all’interno del proprio whitepaper “Protezione delle risorse web basata su prove: un elemento imprescindibile del regolamento GDPR” – ha sottolineato la necessità per le organizzazioni di iniziare a condurre un’accurata analisi dei propri sistemi per comprendere pienamente le principali vulnerabilità del proprio network e per garantirne la conformità alla regolamentazione.
Tuttavia, ciò che si intende per “appropriate” misure di sicurezza lascia adito a varie interpretazioni, tanto che nel caso in cui le aziende dovessero difendere la solidità dei propri sistemi di sicurezza basati sull’analisi dei possibili rischi, le loro argomentazioni potrebbero non essere sufficienti. Il fatto di non avvalersi delle ultime tecnologie o di affidarsi alle proprie conoscenze limitate sullo scenario delle minacce in continuo mutamento potrebbe, infatti, portare i garanti a chiedersi quanto fosse effettivamente “basato sui rischi” l’approccio dell’azienda.
Inoltre, la localizzazione sta complicando ulteriormente i requisiti di conformità, determinando l’obbligo per le aziende di rispettare i requisiti locali dei diversi Paesi. Man mano che i vari Paesi aggiornano le proprie leggi sulla privacy, le multinazionali devono agire di conseguenza. Sebbene esistano delle similitudini, le singole sfumature stanno rendendo più difficile per le aziende dimostrare la conformità con ciascuno dei singoli regolamenti.
4 step per garantire la conformità al GDPR
Akamai suggerisce quattro misure che le aziende possono iniziare fin da ora ad adottare per dimostrare al Garante per la protezione dei dati personali (Data Protection Authority o DPA) di aver implementato un adeguato approccio basato sui rischi relativamente alla protezione delle proprietà web:
1. Imparare dagli errori altrui
Se un’azienda attende di essere attaccata prima di rispondere ad una nuova minaccia, è molto più difficile che riusca a difendersi con successo. I fornitori dei servizi di sicurezza che proteggono le aziende in tutto il mondo sono in grado di individuare le minacce tempestivamente in un punto e applicare quanto hanno appreso a tutti gli altri clienti prima che venga sferrato un attacco.
2. Aggiornare e documentare le regole del Web Application Firewall
Nel caso di una violazione della sicurezza, il DPA richiederà le prove delle azioni intraprese per ridurre l'impatto di un eventuale attacco. Pertanto, per le proprietà web, è prioritario dimostrare che l'azienda abbia implementato un efficace Web Application Firewall, tenendolo costantemente aggiornato per rispondere allo scenario delle minacce in continuo mutamento.
3. Controllare l’accesso da parte di terzi ai dati personali
Consentire a terzi di accedere ai network è una necessità aziendale; tuttavia, questo accesso può porre a rischio sia i dati personali sia la sicurezza generale. Pertanto, se le aziende vogliono essere in grado di provare ai DPA la validità delle proprie misure di mitigazione dei rischi, è fondamentale garantire l’implementazione di un sistema in grado di tracciare gli accessi alle reti e di mitigare il rischio di accessi non autorizzati.
4. Alzare una barriera tra la rete e le potenziali minacce
Se la prima linea di difesa di un'azienda si trova lungo il perimetro della sua rete, la minaccia è già troppo vicina. Alzare una barriere tra l'infrastruttura di un'azienda e i potenziali autori di cyber attacchi, ad esempio avvalendosi di un Content Delivery Network, può aiutare a garantire che le minacce vengano rilevate prima che diventino un problema, nonché consentire all'organizzazione di gestire il traffico durante gli attacchi DoS (Denial of Service).
