GDPR, a che punto siamo arrivati in Italia?
L’attenzione al GDPR (General Data Protection Regulation – Regolamento UE 2016/679) è alta, lo dimostra la pletora di iniziative, workshop e seminari, dedicati all’argomento.
Le aziende continuano a indirizzare la maggior parte dei propri sforzi verso la comprensione dell’impatto che il regolamento avrà sul proprio business e a come garantirsi dei ritorni derivanti dalla programmazione di un piano che preveda tutte le misure necessarie per la compliance.
Restano pochi mesi all’entrata in vigore del GDPR, e la possibilità di raggiungere la conformità dipenderà molto dalla maturità che le aziende e le organizzazioni sono state in grado di raggiungere in tre principali ambiti: Risk, Governance e Security Operations.
Se si è capaci di inquadrare il GDPR come occasione per migliorare e adeguare la propria strategia di cybersecurity, gli ipotetici freni al percorso di conformità alla normativa svaniscono. Infatti, inquadrato come importante iniziativa di business e sponsorizzato dal management aziendale, il GDPR ottiene tutte le prerogative e priorità del caso. Per agire in questa direzione è fondamentale affidarsi a consulenti, legali e vendor con una solida esperienza e riconosciuti dal mercato. La stessa scelta tecnologica, laddove ancora dovesse mancare, va compiuta nell’ottica di saper dare una risposta a minacce che continueranno ad evolvere molto velocemente, sia in termini di rischio che di complessità.
L’evoluzione delle cyber minacce procede a un ritmo piuttosto sostenuto in termini di velocità, complessità, persistenza ed efficacia, per questo motivo la gestione manuale dei processi di Risk Assessment è ormai inadeguata.
Un rischio significativo nella fase di automazione, qualora un’azienda o un’organizzazione decidesse di adottare strumenti puntuali e specifici per il Risk Assessment, è incorrere in situazioni dove diverse tipologie di rischio sono affrontate a silos, perdendo una più ampia “visione d’insieme”. Aspetto fondamentale, che nel testo del GDPR stesso viene citato incitando le organizzazioni a “…tenere conto dello stato dell’arte…”.
In un contesto simile risulta molto più efficace l’adozione di un framework centralizzato di Governance Risk and Compliance attraverso il quale i responsabili della gestione dei vari rischi possano avere un valido supporto alla loro valutazione e relativa gestione. Tale approccio, inoltre, consente al management di ottenere una visibilità maggiore e adeguata sull’effettivo rischio per il proprio business e, in particolare, sullo stato di adeguamento al GDPR visto anche l’impatto economico che potrebbe derivare da una mancata conformità.
Inoltre, data la veloce evoluzione delle minacce, essere in grado di rilevare incidenti che possono portare a una Breach significa, soprattutto, avere sia un adeguato livello di visibilità all’interno della propria infrastruttura IT/Sicurezza, sia un’adeguata capacità di risposta che si avvale di processi, competenze e tecnologie appropriati.
La Breach Response entro 72 ore è un requisito chiave del GDPR da supportare: laddove vi fossero carenze in termini di visibilità, capacità di circoscrivere correttamente l’intero perimetro di un incidente, rilevare e investigare rapidamente un incidente, skill e velocità di risposta, RSA suggerisce di adottare soluzioni specifiche come RSA Netwitness e RSA Archer. Inoltre, eventuali carenze di competenza potranno essere compensate ricorrendo a specifici servizi di RSA Incident Response.
All’interno del testo del GDPR non ci sono riferimenti specifici alla gestione delle identità, ma, in ogni caso, oggi non si può prescindere dal tener conto del continuo aumento degli incidenti di sicurezza legati all’abuso o al furto di credenziali e di identità. Per rispondere efficacemente a questo tipo di rischio, RSA suggerisce di adottare soluzioni di Identity Governance e di Access Management basate sulla suite RSA SecurID.
Inoltre, da un punto di vista di ritorno degli investimenti, è innegabile il vantaggio derivante dalla scelta di consolidare i rapporti di fornitura di soluzioni e servizi di sicurezza su un numero circoscritto di provider come il gruppo Dell-EMC-RSA.
Le aziende continuano a indirizzare la maggior parte dei propri sforzi verso la comprensione dell’impatto che il regolamento avrà sul proprio business e a come garantirsi dei ritorni derivanti dalla programmazione di un piano che preveda tutte le misure necessarie per la compliance.
Restano pochi mesi all’entrata in vigore del GDPR, e la possibilità di raggiungere la conformità dipenderà molto dalla maturità che le aziende e le organizzazioni sono state in grado di raggiungere in tre principali ambiti: Risk, Governance e Security Operations.
Se si è capaci di inquadrare il GDPR come occasione per migliorare e adeguare la propria strategia di cybersecurity, gli ipotetici freni al percorso di conformità alla normativa svaniscono. Infatti, inquadrato come importante iniziativa di business e sponsorizzato dal management aziendale, il GDPR ottiene tutte le prerogative e priorità del caso. Per agire in questa direzione è fondamentale affidarsi a consulenti, legali e vendor con una solida esperienza e riconosciuti dal mercato. La stessa scelta tecnologica, laddove ancora dovesse mancare, va compiuta nell’ottica di saper dare una risposta a minacce che continueranno ad evolvere molto velocemente, sia in termini di rischio che di complessità.
L’evoluzione delle cyber minacce procede a un ritmo piuttosto sostenuto in termini di velocità, complessità, persistenza ed efficacia, per questo motivo la gestione manuale dei processi di Risk Assessment è ormai inadeguata.
Un rischio significativo nella fase di automazione, qualora un’azienda o un’organizzazione decidesse di adottare strumenti puntuali e specifici per il Risk Assessment, è incorrere in situazioni dove diverse tipologie di rischio sono affrontate a silos, perdendo una più ampia “visione d’insieme”. Aspetto fondamentale, che nel testo del GDPR stesso viene citato incitando le organizzazioni a “…tenere conto dello stato dell’arte…”.
In un contesto simile risulta molto più efficace l’adozione di un framework centralizzato di Governance Risk and Compliance attraverso il quale i responsabili della gestione dei vari rischi possano avere un valido supporto alla loro valutazione e relativa gestione. Tale approccio, inoltre, consente al management di ottenere una visibilità maggiore e adeguata sull’effettivo rischio per il proprio business e, in particolare, sullo stato di adeguamento al GDPR visto anche l’impatto economico che potrebbe derivare da una mancata conformità.
Inoltre, data la veloce evoluzione delle minacce, essere in grado di rilevare incidenti che possono portare a una Breach significa, soprattutto, avere sia un adeguato livello di visibilità all’interno della propria infrastruttura IT/Sicurezza, sia un’adeguata capacità di risposta che si avvale di processi, competenze e tecnologie appropriati.
La Breach Response entro 72 ore è un requisito chiave del GDPR da supportare: laddove vi fossero carenze in termini di visibilità, capacità di circoscrivere correttamente l’intero perimetro di un incidente, rilevare e investigare rapidamente un incidente, skill e velocità di risposta, RSA suggerisce di adottare soluzioni specifiche come RSA Netwitness e RSA Archer. Inoltre, eventuali carenze di competenza potranno essere compensate ricorrendo a specifici servizi di RSA Incident Response.
All’interno del testo del GDPR non ci sono riferimenti specifici alla gestione delle identità, ma, in ogni caso, oggi non si può prescindere dal tener conto del continuo aumento degli incidenti di sicurezza legati all’abuso o al furto di credenziali e di identità. Per rispondere efficacemente a questo tipo di rischio, RSA suggerisce di adottare soluzioni di Identity Governance e di Access Management basate sulla suite RSA SecurID.
Inoltre, da un punto di vista di ritorno degli investimenti, è innegabile il vantaggio derivante dalla scelta di consolidare i rapporti di fornitura di soluzioni e servizi di sicurezza su un numero circoscritto di provider come il gruppo Dell-EMC-RSA.