Le aziende, sia piccole che grandi, non sono al corrente dei requisiti della nuova direttiva, non sanno come prepararsi, e non conoscono l’impatto della non-conformità sulla sicurezza dei dati e sul business. Sono le principali evidenze emerse da un nuovo sondaggio globale di Dell sulla nuova normativa General Data Protection Regulation (GDPR) dell’Unione Europea, che entrerà in vigore nel maggio 2018. Per chi non si adeguerà sono previste pesanti multi, potenziali breach e danni alla reputazione.
I risultati del sondaggio mostrano che l’82% dei professionisti responsabili per la sicurezza dei dati presso PMI e grandi aziende sono impensieriti dall’esigenza di conformità al GDPR e, nonostante la maggior parte si dichiari preoccupato, gli intervistati non ne hanno la necessaria consapevolezza, non sono preparati e non prevedono di esserlo per la data in cui il GDPR entrerà in vigore.
I risultati confermano inoltre che, nonostante le imprese si rendano conto che la non conformità al GDPR impatterà la sicurezza dei dati e il business, non sanno fino a che punto è necessario cambiare o di che entità di multe si tratti e di come questi cambiamenti influenzeranno gli affari. Il 79% dichiara di non essere a conoscenza delle multe che la propria azienda avrebbe dovuto pagare se la normativa GDPR fosse entrata in vigore nel 2016.
Ulteriori risultati mostrano che la maggior parte delle organizzazioni non si sente preparata per la conformità al GDPR.
Alcuni consigli per le aziende
Qui di seguito alcuni consigli e strategie per aiutare le aziende ad aderire alle discipline di sicurezza legate alla normativa GDPR di modo da proteggere le informazioni personali dei clienti ed evitare data breach, multe salate e perdita di reputazione che potrebbero risultare dalla non-conformità.
• Assumere un data protection officer (DPO). Requisito del GDPR, questa posizione può essere a tempo pieno, occupata da un dipendente con altre responsabilità o data in outsourcing. La buona notizia è che un DPO può essere anche acquisito sotto forma di servizio, quindi system integrator o reseller potrebbero offrirlo per aumentare il loro giro d’affari.
• Implementare una soluzione di access governance aziendale. La capacità di gestire gli accessi alle applicazioni che consentono di accedere ai dati personali dei cittadini UE – in particolare quelli non strutturati – rappresenta un elemento fondamentale della sicurezza dei dati e della conformità GDPR. La governance generalmente richiede una revisione periodica dei diritti di accesso da parte dei manager e l’attestato (o la ricertificazione) che i permessi siano allineati con i ruoli e non compromettono la sicurezza. La famiglia di soluzioni di Identity e Access Management One Identity offre questo livello di visibilità e controllo.
• Controllare la gestione degli accessi. Per soddisfare il GDPR dipendenti e fornitori devono disporre del permesso di accesso adeguato per svolgere il proprio lavoro e nulla di più. Le tecnologie di gestione di identità e accessi che facilitano questo tipo di controllo comprendono l’autenticazione a più fattori, accesso remoto sicuro, sicurezza adattiva/basata sui rischi, gestione granulare delle password e pieno controllo sulle credenziali e le attività degli utenti privilegiati.
• Proteggere il perimetro. Implementare firewall di prossima generazione per ridurre l’esposizione della rete ai rischi cyber, mitigare la minaccia di data leak che potrebbero condurre a data breach severamente puniti dal GDPR, e fornire le informazioni forensi necessarie per dimostrare la conformità ed effettuare azioni di remediation appropriate dopo un breach. I firewall di prossima generazione Dell SonicWALL proteggono da minacce emergenti e offrono deep packet inspection, decodifica in tempo reale e ispezione di sessioni SSL, sandboxing adattivo multi-engine e pieno controllo e visualizzazione delle applicazioni.
• Facilitare un accesso mobile sicuro. Favorire il flusso sicuro di dati permettendo ai dipendenti di accedere alle applicazioni e ai dati aziendali che necessitano nel modo che preferiscono e con i dispositivi prescelti. Potenziare la sicurezza dei dati (eliminando le restrizioni all’accesso) combinando componenti di identità, variabili di dispositivi e fattori temporali (tempo, luogo, ecc) per offrire un approccio adattivo basato sul rischio che garantisce il giusto accesso sempre, migliorando al tempo stesso la protezione dei dati e la conformità al GDPR.
• Garantire la sicurezza della posta. Per conformarsi ai requisiti del GDPR, ottenere pieno controllo e visibilità sull’attività email per mitigare le minacce di phishing e altri attacchi email-based a informazioni protette, abilitando però lo scambio sicuro e conforme di dati sensibili e confidenziali.