GDPR un anno dopo: i consigli di Fortinet alle aziende
Fortinet festeggia il primo compleanno del GDPR condividendo alcuni consigli utili su come tutelare i dati personali degli utenti in una rete sempre più distribuita. La privacy dei consumatori è sempre più protetta dalle nuove regolamentazioni, come ad esempio il General Data Protection Regulation e il nuovo California Consumer Privacy Act (CCPA), che offrono un livello di protezione necessario per evitare eventuali furti di dati e il loro utilizzo improprio. Queste normative definiscono cosa significhi PII (acronimo che riguarda le informazioni di identificazione personale), stabilendo standard di compliance che le aziende devono rispettare e imponendo severe sanzioni per chi non è compliant.
Uno dei vantaggi più importanti che queste normative offrono è il fatto che definiscono esattamente cosa si intende per “dati personali”. Forniscono infatti regole precise su come questi dati possano o non possano essere utilizzati da un’azienda che ha rapporti commerciali all’interno di una specifica area geografica o con i cittadini che abitano, lavorano, oppure viaggiano sul territorio. Tali regolamentazioni definiscono esplicitamente cosa costituisca una violazione dei dati personali, oltre ai requisiti di notifica standardizzati e coerenti. Ultimo, ma non meno importante, offrono ai consumatori un completo controllo sull’uso e la conservazione dei loro dati personali.
Il GDPR ha stabilito una definizione comune e più ampia dei dati personali rispetto a quello che era stato fatto in tutti i precedenti tentativi, includendo informazioni quali indirizzi IP, dati biometrici e dati identificativi dei dispositivi mobili. Sono stati incluse anche le altre tipologie di dati che potrebbero essere utilizzate per identificare un individuo, determinare la sua posizione o tracciare le sue attività. La CCPA estende ulteriormente questa definizione, aggiungendo elementi quali i dati di geolocalizzazione dei dati, browsing e ricerca.
Inoltre, le organizzazioni che rientrano nel campo d’azione di queste regolamentazioni non solo hanno bisogno di ottenere un’approvazione esplicita da parte dei singoli per conservare e utilizzare i dati personali, devono anche poter esigere la rimozione dei dati personali.
Per soddisfare i requisiti relativi alla privacy dei dati in questi ambienti, le aziende devono implementare soluzioni di sicurezza in grado di coprire l’intero network distribuito al fine di centralizzare la visibilità e il controllo. Ciò permette loro di essere compliant alle normative in materia di protezione dei dati, identificare e segnalare le criticità e rimuovere su richiesta tutte le istanze relative ai dati personali.
Per raggiungere questo obiettivo, sono necessari tre passaggi fondamentali:
1. La sicurezza deve estendersi agli ambienti multi-cloud
Gli standard per la compliance devono essere applicati con coerenza attraverso l’intera infrastruttura distribuita. Mentre le leggi sulla privacy possono far riferimento a una precisa area geografica, con il cloud è molto semplice superare questi limiti. È necessario tenere traccia di ogni istanza dei dati, specialmente quando ci si sposta all’interno di più applicazioni e flussi di lavoro.
I dati tendono a moltiplicarsi e serve un modo per gestire la mole di informazioni. È altrettanto importante garantire una segmentazione coerente attraverso l’intera infrastruttura distribuita. Questo diventa una sfida quando le politiche di sicurezza sono limitate a specifici ambienti fisici e cloud e le soluzioni di sicurezza offrono funzionalità e controlli incoerenti a causa dei requisiti unici dei diversi ambienti cloud. I tool di sicurezza devono integrarsi in modo nativo nelle piattaforme cloud al fine di segmentare in modo coerente l’ambiente multi-cloud. I data center in altre parti del mondo devono supportare questi nuovi requisiti di sicurezza o rischiano di diventare l’anello debole della catena di sicurezza.
2. È essenziale prevenire la perdita di dati
Il monitoraggio e la gestione dei dati personali richiedono l’implementazione di tecnologie di Data Loss Protection (DLP) che possono essere applicate sia inline sia a livello di API cloud. Tali soluzioni devono essere in grado di identificare, tracciare senza soluzione di continuità e avere un inventario di tutte le PII.
3. Il compliance reporting richiede una gestione centralizzata
Il compliance reporting deve coprire l’intera infrastruttura distribuita. Come per altri requisiti, ciò richiede anche un’integrazione coerente in tutto il cloud e con l’infrastruttura di sicurezza on-premise. Per raggiungere questo obiettivo, è necessaria l’implementazione di una soluzione centralizzata per il management, come una soluzione SIEM o una console “single pane of glass” che abbia visibilità sull’intera infrastruttura multi-cloud e di sicurezza. Non è consigliabile dover correlare manualmente i dati provenienti da più sistemi, perché in questo modo diventa più probabile perdere delle informazioni e se questo viene rilevato nel corso di un audit, le sanzioni possono essere anche molto severe.
L’approccio migliore alla sicurezza informatica consiste nel bloccare un attacco prima ancora che abbia luogo e limitarne la portata una volta che la violazione sia avvenuta. Questo richiede che le aziende mettano in atto tecnologie e policy, come per esempio:
- Strumenti avanzati di prevenzione e rilevamento, tra cui una Threat intelligence in tempo reale, un access control rinforzato, behavioral analytics e soluzioni ATP che consentono loro di fronte alle violazioni
- Segmentazione della rete intent-based, inclusi il network e la microsegmentazione, per limitare l’impatto che una violazione potrebbe avere su uno specifico set di dati o su un segmento di rete.
- Soluzioni di sicurezza strettamente integrate che comunicano tra loro, condividono la Threat intelligence e coordinano una risposta alle minacce. Questi tool devono inoltre essere integrati nativamente nell’infrastruttura API dei vari ambienti cloud utilizzati, consentendo così di rinforzare le policy e rispondere alle violazioni in modo uniforme attraverso l’intera rete.
- Soluzioni DLP che consentono di tracciare i dati e prevenirne un accesso, utilizzo o trasferimento non autorizzati, indipendentemente dal luogo in cui tali dati vengono utilizzati o sono archiviati. È importante che queste soluzioni condividano le informazioni tra le varie infrastrutture protette.
- Controlli centralizzati che forniscono un singolo punto di visibilità e controllo per tutti i dati, assicurando così che le policy e le configurazioni siano coerenti, che le violazioni vengano rilevate e segnalate, che le richieste degli utenti siano rispettate e che il compliance reporting sia coerente e completo.
Se correttamente comprese, le normative sulla privacy non solo garantiscono che i dati personali degli utenti siano protetti, ma aumentano anche il livello di sicurezza dell’intera organizzazione. Questo processo induce le imprese a ripensare i processi e le policy, identificare ed eliminare le lacune e centralizzare i controlli. Molte di queste regole fondamentali sono andate perdute nella fretta che la trasformazione digitale ha comportato e questa è una buona occasione per riorganizzare, ripensare e rimettere in sicurezza la propria infrastruttura.