Checkpoint: "Prepararsi alla nuova normativa EU per privacy e sicurezza, i punti da considerare" - FPA

Checkpoint: “Prepararsi alla nuova normativa EU per privacy e sicurezza, i punti da considerare”

Home PA Digitale Sicurezza Digitale Checkpoint: “Prepararsi alla nuova normativa EU per privacy e sicurezza, i punti da considerare”

La nuova normativa UE che regola la sicurezza informatica e la protezione dei dati avrà un forte impatto sul modo in cui molte aziende negli stati membri UE applicano le politiche di sicurezza e le relative soluzioni, e la notifica delle violazioni dei dati. Tuttavia, le aziende dovrebbero vedere la nuova legislazione come un’opportunità per rivedere le pratiche di sicurezza informatica attuali

2 Novembre 2016

D

David Gubiani, Security Engineering Manager di Check Point Italia

Entro la fine del 2017 entreranno in vigore due nuove normative europee inerenti la sicurezza informatica e la protezione dei dati che incideranno profondamente sul modo in cui le aziende operanti negli stati membri implementano le soluzioni e le policy di sicurezza, e relazionano le violazioni dei dati. La direttiva sulla sicurezza delle reti e delle informazioni (NIS – Network and Information Security) e il regolamento generale sulla protezione dei dati (GDPR – General Data Protection Regulation), avranno un impatto sulle aziende di ogni dimensione e settore, e stabiliranno uno standard nella regolazione della sicurezza informatica e la protezione dei dati.

Una volta entrate in vigore, queste norme diventeranno esecutive e prevedono pesanti sanzioni per ogni infrazione. Pur aumentando la portata della responsabilità delle aziende, questa nuova legislazione rappresenta un’opportunità per rivedere le proprie pratiche in materia di dati e sicurezza informatica. Le nuove norme, inoltre, faciliteranno il compito dei CIO e dei CISO nel definire gli investimenti in sicurezza e in tecnologie per la protezione dei dati e nella formazione, e utilizzarli per aggiudicarsi un vantaggio competitivo.

Alcune proposte contenute nel GDPR riflettono la direttiva NIS, in termini di messa in sicurezza dei sistemi e dei dati, e di sanzioni per la mancata applicazione. Ma il GDPR contiene molti più dettagli riguardo al controllo sul modo in cui i dati personali dei cittadini dell’UE vengono trattati. Gli articoli del GDPR che coinvolgeranno la maggior parte delle aziende si riassumono in sette categorie principali. Esaminiamole una per una, con le relative implicazioni per le aziende.

L’azione del GDPR

Con il GDPR, ogni organizzazione che offre beni o servizi all’interno di uno Stato membro dell’UE sarà soggetta alla legislazione, e cadrà l’ambiguità odierna sull’applicazione della legislazione sulla protezione dei dati. Tutte le aziende che operano all’interno dell’UE e trattano i dati personali di soggetti dell’UE, dovranno agire in modo tale da assicurarsi di essere conformi alla normativa, pena severe sanzioni.

I dati personali

Per minimizzare l’esposizione al rischio, le aziende dovrebbero garantire che soltanto i dati necessari a uno scopo specifico vengano raccolti e processati. Inoltre, sarebbe più lungimirante gestire qualsiasi dato relativo a un individuo come se fosse personale, e metterlo adeguatamente in sicurezza. I dati non dovrebbero essere archiviati per un arco di tempo più lungo del necessario e dovrebbero essere distrutti, o comunque cancellati in sicurezza, quando non sono più necessari, in linea con una politica di data retention adeguata.

Sicurezza e notifica delle violazioni

Le norme attuali sulla protezione dei dati stabiliscono che le aziende sono tenute ad applicare misure di sicurezza tecniche e procedure di business “adeguate”, ma non le definiscono in modo specifico. Probabilmente, queste dovrebbero includere misure riconosciute, come ad esempio l’utilizzo di firewall e della crittografia. Dato che il rischio di attacchi informatici è in aumento, come anche gli attacchi ai dati di aziende di alto profilo, probabilmente nel periodo iniziale dell’applicazione della nuova normativa le sanzioni saranno numerose. Questo significa che le aziende che trattano una grande quantità di dati personali dovranno implementare nuovi processi per la sicurezza dei dati, le indagini contro le violazioni e la risposta.

Sanzioni e applicazione

I regimi di protezione dei dati attualmente in vigore nei paesi UE presentano profonde differenze per quanto riguarda le sanzioni e l’applicazione. Il GDPR eliminerà queste differenze e introdurrà sanzioni molto aspre. Queste faranno sì che la protezione dei dati e la riduzione del rischio di violazione non potranno più essere lasciate al caso: le aziende devono avere la certezza di applicare le soluzioni di sicurezza, le procedure e le politiche più appropriate.

Privacy by Design

Privacy by Design significa che le aziende dovranno implementare e applicare processi tecnici e organizzativi per garantire che vengano utilizzati soltanto i dati personali strettamente necessari per ogni specifica attività di business, e che i dati personali non vengano divulgati più del necessario. Le aziende dovrebbero prevenire questa possibilità includendo la privacy e la sicurezza dei dati nei loro sistemi e nelle loro procedure fin dall’inizio, criptando i dati personali in modo tale da proteggerli una volta che vengono archiviati e limitandone al massimo la divulgazione quando vengono utilizzati.

Fornitori di dati e catena di fornitura

La nuova legislazione comporterà una gestione responsabile dell’intera catena di fornitura – dal fornitore al cliente – per tutelare i dati. Le aziende non potranno trasferire né eludere le responsabilità legali inerenti alla sicurezza dei dati. Questo significa che le aziende che processano grandi quantità di dati personali dovranno applicare misure di sicurezza dei dati, e controllare che i propri partner facciano lo stesso.

Funzionari per la protezione dei dati e governance

Ancora non è chiaro, dal GDPR, se le aziende dovranno nominare un funzionario per la protezione dei dati al fine assicurare il rispetto della protezione dei dati a livello interno e le procedure. In ogni caso, queste dovrebbero prepararsi per un livello più evoluto di protezione e gestione dei dati, e per attività di reporting, che dovranno essere svolte internamente. Data l’importanza di queste mansioni, la risorsa che supervisiona questa attività dovrà avere un ruolo senior ed essere preparata a dedicare molto tempo a queste attività, al fine di limitare la responsabilità dell’azienda.

La nuova normativa UE che regola la sicurezza informatica e la protezione dei dati avrà un forte impatto sul modo in cui molte aziende negli stati membri UE applicano le politiche di sicurezza e le relative soluzioni, e la notifica delle violazioni dei dati. Tuttavia, le aziende dovrebbero vedere la nuova legislazione come un’opportunità per rivedere le pratiche di sicurezza informatica attuali, non solo per rispettare la legislazione, ma anche per acquisire un vantaggio competitivo rafforzando la propria posizione riguardo la sicurezza.