General Data Protection Regulation: la compliance a tutela del business

Il tema della Privacy Compliance – sintetizzabile come l’insieme degli adempimenti atti a tutelare le informazioni personali – torna periodicamente ad attirare l’attenzione del pubblico.

Lo scorso 27 aprile, dopo anni di apparente staticità normativa, il Parlamento Europeo ha approvato il nuovo Regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation), il quale prevede l’obbligo di attuare misure di sicurezza adeguate in funzione del rischio associato alle operazioni di trattamento dei dati effettuate e, per la prima volta, introduce sanzioni molto severe nei confronti dei responsabili del trattamento (o degli incaricati del trattamento) che violano le norme.

Anche se la sua completa adozione dovrà avvenire entro il 25 maggio 2018, la piena comprensione della normativa, l’adeguamento dei processi aziendali e la corretta adozione delle tecnologie impiegabili a tutela del patrimonio informativo richiederanno un impegno temporale non trascurabile.

È in questo scenario che aziende come Par-Tec, system integrator specializzato nella progettazione di soluzioni personalizzate, hanno avviato apposite campagne di sensibilizzazione destinate trasversalmente a tutti i mercati, dal Telco al Finance.

“Dopo un iter legislativo durato più di 4 anni e comprendente circa 4mila emendamenti, il nuovo Regolamento va a rimpiazzare l’oramai obsoleta direttiva del ‘95” spiega Michelangelo Uberti, Marketing Analyst di Par-Tec. “Il principale limite di questa direttiva riguardava il recepimento piuttosto libero da parte dei singoli Stati. Da questo punto di vista, l’Italia è il Paese che nel corso del tempo ha costruito il più robusto impianto normativo, imponendo ad esempio una serie di vincoli tecnologici che gli operatori telefonici dovevano applicare per proteggere i dati sensibili dei propri abbonati. Questo caos normativo, unito alle mutate esigenze dei cittadini europei, ha convinto l’Unione Europea a definire una linea guida comune – cioè valida per tutti gli Stati membri – che dettagliasse i criteri di conformità, le modalità di controllo e soprattutto le sanzioni da applicare in caso di violazione”.
A differenza delle svariate normative nate per soddisfare le esigenze di specifici mercati verticali, il Regolamento si rivolge a tutti gli enti pubblici e le imprese private che trattano dati classificati (sensibili, biometrici, sanitari, giudiziari, etc.) e/o che raccolgono grandi quantità di dati personali. “Spesso” – continua Uberti – “si tratta di organizzazioni che per loro natura non dispongono delle competenze richieste per redigere dei complessi piani di sicurezza e soprattutto per applicare le misure richieste per evitare delle violazioni dei dati. È a queste organizzazioni che Par-Tec, forte di oltre 15 anni di esperienza in ambito IT Security, offre i suoi servizi di consulenza tecnica e organizzativa. Ad oggi supportiamo attivamente numerosi enti pubblici ed imprese private nell’implementazione di soluzioni all’avanguardia, integrando anche le tecnologie di vendor specializzati come Sophos e Balabit”.

Il Regolamento non dettaglia tutte le singole misure di sicurezza informatiche da adottare ma è possibile individuare una serie di tecnologie che contribuiscano a limitare i danni derivanti da un eventuale data breach. In aggiunta alle misure di sicurezza oramai consolidate – es. identity manager, log collector, firewall, antivirus, etc. – è opportuno adottare degli strumenti specifici per il monitoraggio degli accessi privilegiati, la cifratura dei dati e la gestione delle informazioni in mobilità.

È naturale chiedersi il perché dell’esplicito riferimento alle tecnologie per la cifratura. “La risposta può sembrare banale” – ci spiega Uberti – “ma l’unico modo per far sì che un dato rimanga privato è renderlo leggibile esclusivamente ai soggetti interessati. Il che non equivale a limitare l’accesso alle risorse, ad esempio mediante le classiche access list delle cartelle condivise o dei repository aziendali. I file, una volta ottenuti, possono essere facilmente condivisi in modo improprio via mailbox personali o tramite Dropbox.

Pensiamo inoltre a tutti i dati contenuti su pendrive, notebook o smartphone che quotidianamente vengono persi o rubati: nel migliore dei casi i dati andranno soltanto persi, in quello peggiore diventeranno pubblici, con tutte le conseguenze del caso (es. danni finanziari diretti, danni alla reputazione, etc). È quindi fondamentale assicurarsi che l’accesso ad una risorsa o la condivisione di un file – siano esse azioni malevole o involontarie – non consentano comunque di divulgare un’informazione classificata: l’unico modo per ottenere ciò è introdurre delle tecnologie per la cifratura dei file e la gestione del ciclo di vita delle chiavi utilizzate per la cifratura.”.

Gli esperti del settore sono concordi nell’affermare che occorre vivere la compliance non come un obbligo amministrativo, ma come un’opportunità per mettere in sicurezza i sistemi ed i dati.

Sito web: www.par-tec.it

A cura di Michelangelo Uberti, Marketing Communications Manager e Marketing Analyst