Semplifica la conformità GDPR, riduci la superficie di attacco

Il GDPR presenta una sfida complessa, creando nuove regole per le società e nuovi diritti per gli individui i cui dati sono raccolti e trattati da tali società. Più dati ha un’organizzazione, più difficile sarà affrontare questa sfida.

Il GDPR è stato promulgato in risposta alla crescita esponenziale dei dati negli ultimi due decenni e alla crescente frequenza e gravità delle violazioni dei dati, quindi sarebbe ovvio che la legge imponga un onere maggiore alle organizzazioni che gestiscono enormi quantità di informazioni. Anche se può sembrare un passo nella direzione sbagliata, la riduzione della quantità di dati raccolti e memorizzati può ridurre le probabilità di dover affrontare le sanzioni pecuniarie e la perdita di fiducia dei consumatori che ne deriverebbe a seguito di una violazione della sicurezza.

Spostare i dati fuori dalla giurisdizione dell’UE, come ha fatto Facebook, è improbabile che sia una buona soluzione a lungo termine. Il GDPR è stato menzionato frequentemente durante le udienze del Congresso di aprile su Facebook e Cambridge Analytica, segnalando che una versione americana del GDPR potrebbe presto essere in lavorazione. La mossa migliore consiste nell’affrontare direttamente la minaccia, limitando la quantità di dati che vengono controllati, esponendo il minor numero di dati possibile al furto o all’abuso e proteggendo i dati sensibili con la massima sicurezza possibile.

Mantieni i dati sensibili al loro posto

I dati strutturati rappresenteranno una sfida relativamente minore per quanto riguarda la conformità GDPR. Un tipico database aziendale viene gestito attivamente da un team di amministratori, che utilizzano strumenti progettati esattamente per il tipo di attività necessarie ai sensi del GDPR – report sui tipi e quantità di dati che un’organizzazione mantiene ed eliminazione dei dati relativi a individui specifici. Finché un database è adeguatamente protetto (inclusa la crittografia a livello di campo per i dati sensibili), è improbabile che crei spiacevoli sorprese per l’organizzazione che lo possiede.

I dati non strutturati, dati memorizzati nei file, sono una questione diversa. Una volta che i dati vengono estratti da un database e salvati in un file, diventano molto più difficili da gestire. I dipendenti spesso salvano i file in posizioni inappropriate, li condividono con utenti non autorizzati e non riescono a proteggerli da furti o abusi. Molte delle più imbarazzanti e costose violazioni dei dati negli ultimi anni hanno riguardato file compromessi da impiegati disattenti.

Il modo migliore per gestire il rischio di dati sensibili su computer dei dipendenti, file server e account cloud è in primo luogo quello di rimuovere i dati che non dovrebbero essere presenti e crittografare i dati che rimangono. Le organizzazioni possono farlo utilizzando Smartcrypt per scansionare desktop, laptop alla ricerca di file contenenti informazioni sensibili e proteggere (o eliminare) tali file in base a politiche predefinite.

Aggiorna la tua politica di conservazione dei dati

La conservazione dei dati è uno dei temi ricorrenti mentre le organizzazioni di tutto il mondo si preparano al GDPR.

Anche se le disposizioni del GDPR in materia di conservazione dei dati non sono significativamente diverse dall’attuale direttiva UE sulla protezione dei dati, le organizzazioni dovrebbero garantire che “il periodo di conservazione dei dati personali sia limitato allo stretto necessario” e stabilire un calendario per la cancellazione dei dati. La prospettiva di pesanti sanzioni per il GDPR sta cambiando il modo in cui molte aziende pensano alla conservazione.

Quando un’organizzazione continua a conservare informazioni obsolete, non solo aumenta il carico sulle risorse di archiviazione e di trasmissione, ma si pone anche come obiettivo più ampio per hacker, spie e malintenzionati. L’unica cosa peggiore del pagamento del 4% del fatturato annuale a un’autorità di vigilanza del GDPR sarebbe il pagamento del 4% per la gestione errata dei dati che non avevi nemmeno bisogno.

Il GDPR è un’opportunità ideale per le organizzazioni per riunire i propri team di legali, di sicurezza IT e altre parti interessate per rivedere e aggiornare le politiche di conservazione dei dati. Definendo criteri che determinano il periodo di conservazione dei diversi tipi di dati, le imprese possono garantire di conservare informazioni veramente critiche, liberandosi nel contempo dei dati non necessari che possono solo potenzialmente causare problemi.

Smartcrypt di PKWARE è l’unica piattaforma per la sicurezza dei dati che integra il rilevamento, la classificazione e la protezione dei dati in un unico flusso di lavoro. Con Smartcrypt è possibile trovare, proteggere e gestire dati sensibili in tutta l’organizzazione da un unico punto di controllo.

GUARDA COME SMARTCRYPT TI PUO’ AIUTARE A SODDISFARE GLI OBIETTIVI DI CONFORMITÀ DEL GDPR

Fonte: PKWare

Sei pronto per il GDPR?

Smartcrypt di PKWARE può aiutare la tua organizzazione a soddisfare i requisiti UE per la “Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita”.

(data protection by design and data protection by default)

Il nuovo regolamento generale europeo sulla protezione dei dati (GDPR) entrerà in vigore a maggio 2018, introducendo nuove tutele per gli individui e nuovi obblighi per le imprese che raccolgono, utilizzano o elaborano informazioni personali dei cittadini dell’Unione Europea. Date le pesanti multe che possono derivare dalle violazioni, la conformità al GDPR dovrebbe essere una priorità assoluta per ogni organizzazione che opera in Europa.

A differenza delle precedenti leggi europee sulla protezione dei dati, il GDPR si applica a tutte le imprese che raccolgono o elaborano informazioni personali di cittadini dell’Unione Europea, anche se la sede centrale dell’impresa è al di fuori dell’UE.

La legge prevede nuovi mandati significativi per i data controller (società che raccolgono informazioni personali sui cittadini dell’UE) e per i data processor (società che memorizzano, trasmettono o trattano i dati per conto dei data controller):

Le aziende devono ottenere il consenso attivo prima di raccogliere o elaborare i dati personali.
Gli interessati possono chiedere che i loro dati personali siano cancellati dal data base di un’impresa e possono richiedere copie dei loro dati.
Le aziende devono notificare alle autorità e alle persone interessate entro 72 ore la violazione dei dati, a meno che i dati compromessi non siano protetti mediante crittografia o misure analoghe.
Ogni azienda deve nominare un Data Protection Officer per controllare la conformità al GDPR.
Le aziende devono integrare la protezione dei dati nei loro prodotti e servizi ” by design and by default” (fin dalla progettazione e per impostazione predefinita”)

Le autorità di vigilanza avranno il potere di multare le organizzazioni fino al 4% del loro fatturato annuale per violazioni e potranno imporre obblighi di auditing e reporting più severi dopo una violazione.

Soddisfare i requisiti GDPR con Smartcrypt
Smartcrypt di PKWARE può aiutare le aziende e gli enti governativi a proteggere i dati sensibili e a soddisfare i severi standard di protezione dei dati del GDPR. Smartcrypt unisce il rilevamento, la classificazione e la protezione dei dati in un unico flusso di lavoro, consentendo il controllo a livello aziendale delle informazioni personali e di altre forme di dati sensibili.

A differenza di altre soluzioni di crittografia, Smartcrypt crittografa i dati sensibili nel momento in cui vengono creati o salvati. Una volta che la crittografia di Smartcrypt viene applicata rimane con i dati anche quando vengono copiati o spostati su altri dispositivi, file server o sistemi esterni. Le organizzazioni possono anche utilizzare Smartcrypt per spostare, mettere in quarantena, mascherare o eliminare dati sensibili in base agli obblighi di conformità e ai criteri di sicurezza.

Protezione dei dati fin dalla progettazione
Smartcrypt fornisce una crittografia forte, insieme a innovative funzionalità di rilevamento dei dati che identificano e proteggono i dati sui dispositivi dell’utente e nel luogo dove vengono memorizzati nella rete. Le organizzazioni possono utilizzare Smartcrypt per proteggere i propri dati sensibili e dimostrare la conformità al GDPR.

Requisito GPDR	Standard
Sicurezza del trattamento (articolo 32)	Le organizzazioni devono essere in grado di dimostrare di aver adottato le “misure tecniche o organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”, compresa la crittografia dei dati personali.
Comunicazione di una violazione dei dati personali all’interessato (articolo 34)	Le organizzazioni devono informare le autorità di controllo e le persone interessate entro 72 ore dalla violazione dei dati. Tuttavia, le organizzazioni sono esentate dall’obbligo di informare gli individui se i dati rubati solo protetti da cifrature.
Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita (articolo 25)	Le organizzazioni devono “adottare politiche interne e attuare misure che soddisfino in particolare i principi della protezione dei dati fin dalla progettazione e della protezione dei dati per impostazione predefinita”. Questi principi dovrebbero essere presi in considerazione in fase di “sviluppo, progettazione, selezione e utilizzo di applicazioni, servizi e prodotti”.
Diritto alla cancellazione (“diritto all’oblio”) (articolo 17)	Su richiesta di un cittadino dell’unione, il data controller “ha l’obbligo di cancellare i dati personali senza ingiustificato ritardo” a meno che non si applichino determinate condizioni speciali. Le organizzazioni sono inoltre obbligate a richiedere la rimozione delle informazioni dell’interessato a tutti i partner commerciali con cui hanno condiviso i dati.

Implementazione di Smartcrypt
Smartcrypt è stato progettato per offrire la massima flessibilità, consentendo alle organizzazioni di implementare soluzioni che soddisfano i loro requisiti di protezione dei dati. L’agente di Smartcrypt viene installato su ogni dispositivo che verrà utilizzato per accedere o memorizzare informazioni sensibili. L’agente monitora l’attività dei file e rileva i dati sensibili non appena vengono creati o salvati. Dopo il rilevamento delle informazioni sensibili, Smartcrypt interviene (tramite tag, crittografia, cancellazione o altre opzioni) in base alle policy di sicurezza dell’organizzazione.

La console di gestione web-based di Smartcrypt consente agli amministratori di creare e applicare policy di crittografia in tutta l’organizzazione. Inoltre, il development kit di Smartcrypt consente alle organizzazioni di creare una crittografia forte nelle proprie applicazioni proprietarie con sole poche nuove linee di codice.

A differenza delle soluzioni che aumentano le dimensioni dei file dopo la crittografia, Smartcrypt utilizza la tecnologia di compressione PKWARE per ridurre i volumi dei dati prima della crittografia, con conseguente riduzione dei costi per l’archiviazione e la trasmissione dei dati.

Vantaggi

Smartcrypt mette in sicurezza i dati, aiutando le organizzazioni a raggiungere i propri obiettivi di conformità e a proteggere le informazioni di importanza critica.
Soddisfa le norme GDPR per la protezione dei dati e semplifica gli obblighi di reporting.
Protegge le informazioni sensibili archiviate, in uso e in transito.
Elimina le conseguenze negative di una violazione dei dati.

Fonte: PKWARE

GDPR: la tua checklist per i prossimi 90 giorni

Dopo due anni di polemiche e confusione, l’era del GDPR sta per iniziare. A partire dal 25 maggio, l’innovativo regolamento europeo sulla protezione dei dati personali entrerà in vigore in tutti i 28 paesi membri dell’UE, cambiando radicalmente il modo in cui le aziende e le agenzie governative gestiscono i dati personali.

Da quando il regolamento è stato adottato dal Parlamento europeo all’inizio del 2016, le organizzazioni di tutto il mondo hanno lavorato per capire che cosa richiede la legge e in che modo verrà applicata. Sondaggi indicano che molte organizzazioni hanno ancora molto lavoro da fare. In un recente studio di Ernst e Young, ad esempio, il 40% delle aziende europee e l’87% delle aziende americane hanno risposto che non avevano ancora un piano di conformità GDPR.

Se la tua organizzazione si sta preparando per il GDPR, ora è il momento giusto per valutare in che modo la legge influirà sulla tua organizzazione e cosa dovrai fare per conformarti. I passaggi elencati qui possono aiutarti a stabilire la priorità delle tue attività GDPR e assicurarti che i tuoi dati siano una risorsa piuttosto che una responsabilità quando la legge diventerà effettiva.

Per ulteriori informazioni su specifiche disposizioni del GDPR e sui concetti fondamentali alla base dei regolamenti, leggi il white paper sul GDPR, Data Protection by Design.

Determina la tua posizione
Se lavori in Europa, dovrai essere conforme al GDPR. A differenza del patchwork delle leggi sulla privacy e sulla sicurezza dei dati che lo hanno preceduto, il GDPR si applicherà ugualmente a qualsiasi organizzazione che raccolga o elabori i dati personali dei cittadini dell’UE, indipendentemente dal fatto che l’organizzazione abbia sede nell’UE. Ciò include le società nel Regno Unito (che fa ancora parte dell’UE fino al completamento del processo Brexit), nonché nelle Americhe e altrove.

È anche importante sapere se la tua organizzazione è considerata un “Data Controller” (Titolare del trattamento) o un “Data Processor” (Responsabile del trattamento) ai sensi di legge. I Data Controller sono organizzazioni che prendono decisioni in merito a quali informazioni saranno raccolte dai cittadini dell’UE e in che modo verranno utilizzati i dati, mentre i Data Processor elaborano semplicemente i dati per conto dei Data Controller. Questa può essere un’analisi complicata per alcune organizzazioni, poiché una singola azienda può essere sia un data controller che data processor e può avere diverse relazioni tra controller e processor con diversi partner.

Nominare un DPO
Se la tua organizzazione è tenuta a nominare un Data Protection Officer e non l’ha ancora fatto, ora è il momento. Il DPO sarà responsabile di un’ampia gamma di attività correlate alla conformità GDPR, compresi audit interni, formazione dei dipendenti e comunicazioni con i soggetti interessati (i cittadini dell’UE i cui dati vengono raccolti o elaborati dalla propria organizzazione).

Il DPO sarà anche responsabile per il mantenimento del rapporto della vostra organizzazione con le autorità di vigilanza di GDPR che applicano la legge nei paesi in cui operate. Questo include report di routine e avvisi richiesti in caso di violazione dei dati.

Valuta le tue policy
Nel mondo post-GDPR, le organizzazioni dovranno procedere con attenzione durante la raccolta di dati su siti Web o attraverso altri canali. I Data Controller sono tenuti ad ottenere il permesso che è “liberamente dato, specifico, informato e non ambiguo” al fine di raccogliere o utilizzare le informazioni personali di qualcuno. La legge impone requisiti di consenso ancora più stringenti per la raccolta di dati sui minori e per la raccolta di informazioni sulla salute e altre forme di dati altamente sensibili.

Le organizzazioni dovranno anche disporre di un processo per ricevere e soddisfare richieste di persone che desiderano una copia dei propri dati personali o che desiderano esercitare il proprio “diritto all’oblio”.

Valuta i tuoi dati
L’unico modo per assicurarsi che la tua organizzazione soddisfi gli obblighi di conformità alla protezione dei dati è capire esattamente quali tipi di dati hai, dove si trovano i dati e come sono protetti. La conformità GDPR richiede un approccio incentrato sui dati per la sicurezza informatica, incorporando ciascuna delle seguenti attività:

Discovery: le informazioni personali, come qualsiasi dato, vengono spostati oltre la posizione prevista. In molte organizzazioni, i dati sensibili vengono estratti regolarmente dai database e salvati su desktop, file server e altre posizioni in cui gli amministratori della sicurezza hanno una visibilità limitata. Strumenti intelligenti per l’individuazione dei dati possono eseguire la scansione di queste posizioni e trovare informazioni sensibili che richiedono protezione o altra gestione speciale sotto il GDPR.
Classificazione: i file contenenti dati personali o altre informazioni sensibili devono essere contrassegnati con metadati che indicano il tipo delle informazioni contenute in ciascun file e il modo in cui il file deve essere consultato e gestito. I tag di classificazione rendono anche la segnalazione dei dati più semplice e accurata.
Protezione: sebbene il GDPR non richieda specificamente la crittografia per i dati personali, lo raccomanda vivamente e fornisce anche esenzioni per le organizzazioni che lo utilizzano. Nel caso di una violazione della sicurezza, ad esempio, un’organizzazione non è tenuta a inviare notifiche di violazione se i dati rubati erano protetti da una crittografia forte. A seconda delle esigenze di conformità di un’organizzazione, alcuni dati potrebbero anche essere protetti inviandoli in quarantena, con il mascheramento o la cancellazione.

Smartcrypt di PKWARE è l’unica piattaforma di sicurezza dei dati che integra rilevamento dei dati, classificazione e protezione in un unico flusso di lavoro. Con Smartcrypt puoi trovare, proteggere e gestire i dati sensibili dell’intera organizzazione da un unico punto di controllo.
Guarda come Smartcrypt può aiutarti a raggiungere gli obiettivi di conformità GDPR.

Rimani informato
Forse l’unica cosa certa del GDPR è che nessuno sa esattamente cosa succederà dopo il 25 maggio. Quante società usciranno dal mercato europeo invece di gestire i requisiti GDPR? Quante persone vorranno esercitare il loro diritto all’oblio? Con quale frequenza le autorità di vigilanza impongono la sanzione massima per non conformità?
Mentre ci avviciniamo alla data in cui entrarà in vigore la legge, osserviamo nuove indicazioni dal gruppo di lavoro GDPR dell’UE e dalle autorità di vigilanza con cui collaborerà la vostra organizzazione. Assicurati di controllare regolarmente le best practices in materia di protezione dei dati e i suggerimenti su come aumentare la fiducia dei clienti rispettando i tuoi obblighi di conformità.

Fonte: PKWare

L’era della crittografia è arrivata

Nella vita di ogni tecnologia importante c’è un punto di svolta, un momento in cui la tecnologia cessa di essere un prodotto di nicchia o un concetto emergente e diventa parte della vita di tutti i giorni. Per i telefoni cellulari, per fare un esempio, quel momento è arrivato quasi vent’anni fa. Per il cloud computing, era forse cinque anni fa. Per la crittografia, sta succedendo ora.

La crittografia, come concetto, è molto più antica dei telefoni cellulari, o del cloud computing, o di una dozzina di altre innovazioni che hanno ridisegnato il nostro mondo negli ultimi anni. Forme primitive di crittografia erano in uso secoli fa, e metodi relativamente avanzati erano stati sviluppati dalla seconda guerra mondiale. Anche la crittografia AES, la forma di crittografia dei dati più forte e più ampiamente accettata oggi, è vicina al suo 20° compleanno come standard ufficiale del governo degli Stati Uniti.
La crittografia è sempre esistita al di fuori della corrente principale dell’informatica pubblica e privata. È stata utilizzata per soddisfare specifiche esigenze funzionali o per soddisfare determinati requisiti normativi, ma raramente è stata vista come un elemento di sicurezza indispensabile come i firewall o la protezione antivirus.

Fino ad ora.
Con violazioni su larga scala dei dati che avvengono regolarmente e informazioni sempre più sensibili generate ogni giorno, la sicurezza dei dati è diventata una preoccupazione immediata per i consumatori, gli enti governativi e i consigli di amministrazione. La crittografia, se eseguita correttamente, è l’unica tecnologia che mantiene la promessa di proteggere i dati sensibili da hacker, spie e altre minacce a lungo termine.
Un’evoluzione verso la crittografia può essere vista nelle leggi, nei media e nelle relazioni di analisti e consulenti di cybersecurity. Diversi nuovi regolamenti, tra cui il GDPR Europeo e la legge sulla sicurezza informatica di New York per le società di servizi finanziari, richiedono specificamente l’uso della crittografia per proteggere le informazioni sensibili. Il più recente rapporto del Ponemon Institute sui trend globali di crittografia ha mostrato che quasi la metà delle aziende intervistate disponeva di strategie di crittografia a livello aziendale, rispetto al 15% di un decennio fa.
Queste tendenze continueranno sicuramente a crescere man mano che il costo di avere dati non crittografati, in dollari e in cattive pubbliche relazioni, continuerà ad aumentare.

La protezione continua è la risposta …
Oggi la maggior parte delle grandi organizzazioni utilizza una qualche forma di crittografia. Alcuni utilizzano la crittografia completa del disco come salvaguardia contro il furto fisico di unità o dispositivi. Altri utilizzano la crittografia trasparente dei dati (TDE) per limitare l’accesso ai database o utilizzano la crittografia a livello di rete per proteggere i dati mentre viaggiano all’interno dell’infrastruttura dell’organizzazione. Questi approcci sono buoni, ma non vanno molto lontano. Come la maggior parte degli altri tipi di crittografia, si rivolgono solo a determinati luoghi o casi e lasciano alcune lacune. Queste lacune, ovviamente, sono dove si verificano le violazioni.
La crittografia efficace è la Persistent Encryption che viaggia con i dati stessi, anziché proteggere i dati solo per un breve segmento del suo ciclo di vita. Quando le informazioni sono protette con la Persistent Encryption, possono essere condivise e copiate ovunque all’interno o all’esterno della rete di una società pur rimanendo inaccessibili agli utenti non autorizzati.
Il problema con la Persistent Encryption, almeno nel passato, era che era molto difficile da implementare e gestire. Le chiavi di crittografia erano difficili da condividere e modificare e il processo di crittografia richiedeva molte risorse. Quindi la maggior parte delle organizzazioni, anche quelle che volevano utilizzare la crittografia, dovevano accontentarsi di soluzioni incomplete.

… e ora è arrivato il momento
Quando si verifica una violazione dei dati, i clienti sono interessati solo al fatto che le proprie informazioni personali non sono state protette. Non vogliono sentire che la società che ha subito una violazione abbia altre priorità IT o che la crittografia non è stata facile da implementare, o anche che i dati sono stati crittografati da qualche altra parte nell’organizzazione. L’unica cosa che importa è che le informazioni finanziarie, i dati personali o altri dati sensibili sono stati lasciati in chiaro dove potrebbero essere persi o rubati.
Gli enti normativi governativi e i politici stanno avendo la stessa opinione. Nelle udienze del Senato dello scorso anno sulla violazione di Equifax, molte domande ruotavano attorno al fatto che Equifax non riusciva a crittografare le informazioni altamente sensibili raccolte e vendute, le cui risposte mettevano la società in cattiva luce. Le organizzazioni che desiderano evitare lo stesso trattamento devono comprendere che la crittografia su vasta scala non è più facoltativa. È diventato un prerequisito per guadagnare la fiducia dei consumatori e fare affari nell’era digitale.
Fortunatamente, poiché la necessità della crittografia è fondamentale, le nuove innovazioni semplificano l’implementazione e la gestione della Persistent Encryption su scala aziendale.
Smartcrypt di PKWARE risolve le sfide che impedivano a molte organizzazioni di adottare la crittografia in passato. La tecnologia Smartkey elimina la complessità della gestione delle chiavi di crittografia, mentre la capacità di Smartcrypt di incorporare funzionalità di rilevamento e classificazione dei dati rende il processo intuitivo e quasi automatico per gli utenti finali. Molte organizzazioni hanno scelto Smartcrypt come soluzione per le sfide della sicurezza informatica di oggi e di domani.
Nell’era della crittografia, i dati devono essere protetti o sono destinati a cadere nelle mani sbagliate. Le minacce informatiche sono diventate troppo diffuse e troppo potenti per lasciare spazio alla speranza che i dati non crittografati rimangano in qualche modo al sicuro. Se la tua organizzazione non sta crittografando tutti i propri dati sensibili, ovunque siano salvati o condivisi, oggi è il momento di agire.

Fonte: PKWARE