Semplifica la conformità GDPR, riduci la superficie di attacco

Semplifica la conformità GDPR, riduci la superficie di attacco

Il GDPR presenta una sfida complessa, creando nuove regole per le società e nuovi diritti per gli individui i cui dati sono raccolti e trattati da tali società. Più dati ha un’organizzazione, più difficile sarà affrontare questa sfida.

Il GDPR è stato promulgato in risposta alla crescita esponenziale dei dati negli ultimi due decenni e alla crescente frequenza e gravità delle violazioni dei dati, quindi sarebbe ovvio che la legge imponga un onere maggiore alle organizzazioni che gestiscono enormi quantità di informazioni. Anche se può sembrare un passo nella direzione sbagliata, la riduzione della quantità di dati raccolti e memorizzati può ridurre le probabilità di dover affrontare le sanzioni pecuniarie e la perdita di fiducia dei consumatori che ne deriverebbe a seguito di una violazione della sicurezza.

Spostare i dati fuori dalla giurisdizione dell’UE, come ha fatto Facebook, è improbabile che sia una buona soluzione a lungo termine. Il GDPR è stato menzionato frequentemente durante le udienze del Congresso di aprile su Facebook e Cambridge Analytica, segnalando che una versione americana del GDPR potrebbe presto essere in lavorazione. La mossa migliore consiste nell’affrontare direttamente la minaccia, limitando la quantità di dati che vengono controllati, esponendo il minor numero di dati possibile al furto o all’abuso e proteggendo i dati sensibili con la massima sicurezza possibile.

Mantieni i dati sensibili al loro posto

I dati strutturati rappresenteranno una sfida relativamente minore per quanto riguarda la conformità GDPR. Un tipico database aziendale viene gestito attivamente da un team di amministratori, che utilizzano strumenti progettati esattamente per il tipo di attività necessarie ai sensi del GDPR – report sui tipi e quantità di dati che un’organizzazione mantiene ed eliminazione dei dati relativi a individui specifici. Finché un database è adeguatamente protetto (inclusa la crittografia a livello di campo per i dati sensibili), è improbabile che crei spiacevoli sorprese per l’organizzazione che lo possiede.

I dati non strutturati, dati  memorizzati nei file, sono una questione diversa. Una volta che i dati vengono estratti da un database e salvati in un file, diventano molto più difficili da gestire. I dipendenti spesso salvano i file in posizioni inappropriate, li condividono con utenti non autorizzati e non riescono a proteggerli da furti o abusi. Molte delle più imbarazzanti e costose violazioni dei dati negli ultimi anni hanno riguardato file compromessi da impiegati disattenti.

Il modo migliore per gestire il rischio di dati sensibili su computer dei dipendenti, file server e account cloud è in primo luogo quello di rimuovere i dati che non dovrebbero essere presenti e crittografare i dati che rimangono. Le organizzazioni possono farlo utilizzando Smartcrypt per scansionare desktop, laptop alla ricerca di file contenenti informazioni sensibili e proteggere (o eliminare) tali file in base a politiche predefinite.

Aggiorna la tua politica di conservazione dei dati

La conservazione dei dati è uno dei temi ricorrenti mentre le organizzazioni di tutto il mondo si preparano al GDPR.

Anche se le disposizioni del GDPR in materia di conservazione dei dati non sono significativamente diverse dall’attuale direttiva UE sulla protezione dei dati, le organizzazioni dovrebbero garantire che “il periodo di conservazione dei dati personali sia limitato allo stretto necessario” e stabilire un calendario per la cancellazione dei dati. La prospettiva di pesanti sanzioni per il GDPR sta cambiando il modo in cui molte aziende pensano alla conservazione.

Quando un’organizzazione continua a conservare informazioni obsolete, non solo aumenta il carico sulle risorse di archiviazione e di trasmissione, ma si pone anche come obiettivo più ampio per hacker, spie e malintenzionati. L’unica cosa peggiore del pagamento del 4% del fatturato annuale a un’autorità di vigilanza del GDPR sarebbe il pagamento del 4% per la gestione errata dei dati che non avevi nemmeno bisogno.

Il GDPR è un’opportunità ideale per le organizzazioni per riunire i propri team di legali, di sicurezza IT e altre parti interessate per rivedere e aggiornare le politiche di conservazione dei dati. Definendo criteri che determinano il periodo di conservazione dei diversi tipi di dati, le imprese possono garantire di conservare informazioni veramente critiche, liberandosi nel contempo dei dati non necessari che possono solo potenzialmente causare problemi.

Smartcrypt di PKWARE è l’unica piattaforma per la sicurezza dei dati che integra il rilevamento, la classificazione e la protezione dei dati in un unico flusso di lavoro. Con Smartcrypt è possibile trovare, proteggere e gestire dati sensibili in tutta l’organizzazione da un unico punto di controllo.

GUARDA COME SMARTCRYPT TI PUO’ AIUTARE A SODDISFARE GLI OBIETTIVI DI CONFORMITÀ DEL GDPR

Fonte: PKWare

GDPR: la tua checklist per i prossimi 90 giorni

GDPR: la tua checklist per i prossimi 90 giorni

Dopo due anni di polemiche e confusione, l’era del GDPR sta per iniziare. A partire dal 25 maggio, l’innovativo regolamento europeo sulla protezione dei dati personali entrerà in vigore in tutti i 28 paesi membri dell’UE, cambiando radicalmente il modo in cui le aziende e le agenzie governative gestiscono i dati personali.

Da quando il regolamento è stato adottato dal Parlamento europeo all’inizio del 2016, le organizzazioni di tutto il mondo hanno lavorato per capire che cosa richiede la legge e in che modo verrà applicata. Sondaggi indicano che molte organizzazioni hanno ancora molto lavoro da fare. In un recente studio di Ernst e Young, ad esempio, il 40% delle aziende europee e l’87% delle aziende americane hanno risposto che non avevano ancora un piano di conformità GDPR.

Se la tua organizzazione si sta preparando per il GDPR, ora è il momento giusto per valutare in che modo la legge influirà sulla tua organizzazione e cosa dovrai fare per conformarti. I passaggi elencati qui possono aiutarti a stabilire la priorità delle tue attività GDPR e assicurarti che i tuoi dati siano una risorsa piuttosto che una responsabilità quando la legge diventerà effettiva.

Per ulteriori informazioni su specifiche disposizioni del GDPR e sui concetti fondamentali alla base dei regolamenti, leggi il white paper sul GDPR, Data Protection by Design.

Determina la tua posizione
Se lavori in Europa, dovrai essere conforme al GDPR. A differenza del patchwork delle leggi sulla privacy e sulla sicurezza dei dati che lo hanno preceduto, il GDPR si applicherà ugualmente a qualsiasi organizzazione che raccolga o elabori i dati personali dei cittadini dell’UE, indipendentemente dal fatto che l’organizzazione abbia sede nell’UE. Ciò include le società nel Regno Unito (che fa ancora parte dell’UE fino al completamento del processo Brexit), nonché nelle Americhe e altrove.

È anche importante sapere se la tua organizzazione è considerata un “Data Controller” (Titolare del trattamento) o un “Data Processor” (Responsabile del trattamento) ai sensi di legge. I Data Controller sono organizzazioni che prendono decisioni in merito a quali informazioni saranno raccolte dai cittadini dell’UE e in che modo verranno utilizzati i dati, mentre i Data Processor elaborano semplicemente i dati per conto dei Data Controller. Questa può essere un’analisi complicata per alcune organizzazioni, poiché una singola azienda può essere sia un data controller che data processor e può avere diverse relazioni tra controller e processor con diversi partner.

Nominare un DPO
Se la tua organizzazione è tenuta a nominare un Data Protection Officer e non l’ha ancora fatto, ora è il momento. Il DPO sarà responsabile di un’ampia gamma di attività correlate alla conformità GDPR, compresi audit interni, formazione dei dipendenti e comunicazioni con i soggetti interessati (i cittadini dell’UE i cui dati vengono raccolti o elaborati dalla propria organizzazione).

Il DPO sarà anche responsabile per il mantenimento del rapporto della vostra organizzazione con le autorità di vigilanza di GDPR che applicano la legge nei paesi in cui operate. Questo include report di routine e avvisi richiesti in caso di violazione dei dati.

Valuta le tue policy
Nel mondo post-GDPR, le organizzazioni dovranno procedere con attenzione durante la raccolta di dati su siti Web o attraverso altri canali. I Data Controller  sono tenuti ad ottenere il permesso che è “liberamente dato, specifico, informato e non ambiguo” al fine di raccogliere o utilizzare le informazioni personali di qualcuno. La legge impone requisiti di consenso ancora più stringenti per la raccolta di dati sui minori e per la raccolta di informazioni sulla salute e altre forme di dati altamente sensibili.

Le organizzazioni dovranno anche disporre di un processo per ricevere e soddisfare richieste di persone che desiderano una copia dei propri dati personali o che desiderano esercitare il proprio “diritto all’oblio”.

Valuta i tuoi dati
L’unico modo per assicurarsi che la tua organizzazione soddisfi gli obblighi di conformità alla protezione dei dati è capire esattamente quali tipi di dati hai, dove si trovano i dati e come sono protetti. La conformità GDPR richiede un approccio incentrato sui dati per la sicurezza informatica, incorporando ciascuna delle seguenti attività:

  • Discovery: le informazioni personali, come qualsiasi dato, vengono spostati oltre la posizione prevista. In molte organizzazioni, i dati sensibili vengono estratti regolarmente dai database e salvati su desktop, file server e altre posizioni in cui gli amministratori della sicurezza hanno una visibilità limitata. Strumenti intelligenti per l’individuazione dei dati possono eseguire la scansione di queste posizioni e trovare informazioni sensibili che richiedono protezione o altra gestione speciale sotto il GDPR.
  • Classificazione: i file contenenti dati personali o altre informazioni sensibili devono essere contrassegnati con metadati che indicano il tipo delle informazioni contenute in ciascun file e il modo in cui il file deve essere consultato e gestito. I tag di classificazione rendono anche la segnalazione dei dati più semplice e accurata.
  • Protezione: sebbene il GDPR non richieda specificamente la crittografia per i dati personali, lo raccomanda vivamente e fornisce anche esenzioni per le organizzazioni che lo utilizzano. Nel caso di una violazione della sicurezza, ad esempio, un’organizzazione non è tenuta a inviare notifiche di violazione se i dati rubati erano protetti da una crittografia forte. A seconda delle esigenze di conformità di un’organizzazione, alcuni dati potrebbero anche essere protetti inviandoli in quarantena, con il mascheramento o la cancellazione.

Smartcrypt di PKWARE è l’unica piattaforma di sicurezza dei dati che integra rilevamento dei dati, classificazione e protezione in un unico flusso di lavoro. Con Smartcrypt puoi trovare, proteggere e gestire i dati sensibili dell’intera organizzazione da un unico punto di controllo.
Guarda come Smartcrypt può aiutarti a raggiungere gli obiettivi di conformità GDPR.

Rimani informato
Forse l’unica cosa certa del GDPR è che nessuno sa esattamente cosa succederà dopo il 25 maggio. Quante società usciranno dal mercato europeo invece di gestire i requisiti GDPR? Quante persone vorranno esercitare il loro diritto all’oblio? Con quale frequenza le autorità di vigilanza impongono la sanzione massima per non conformità?
Mentre ci avviciniamo alla data in cui entrarà in vigore la legge, osserviamo nuove indicazioni dal gruppo di lavoro GDPR dell’UE e dalle autorità di vigilanza con cui collaborerà la vostra organizzazione. Assicurati di controllare regolarmente le best practices in materia di protezione dei dati e i suggerimenti su come aumentare la fiducia dei clienti rispettando i tuoi obblighi di conformità.

Fonte: PKWare