L’attenzione al GDPR è alta, lo dimostra la pletora di iniziative, wokshop e seminari, dedicati all’argomento. Ma per capire a che punto siamo arrivati ci vogliamo rivolgere a chi incontra tutti i giorni le aziende per consentire di implementare il dispositivo normativo.
Questa a Giovanni Napoli, Enterprise EMEA security Architect Team Lead di RSA Security, è la prima di una serie di interviste sull’argomento.
A che punto siamo in Italia riguardo l’implementazione del regolamento GDPR?
Le aziende continuano a indirizzare la maggior parte dei propri sforzi verso la comprensione dell’impatto che il regolamento avrà sul proprio business e a come garantirsi dei ritorni rispetto a quanto implementato fino ad oggi, rispetto alla programmazione di un piano che preveda tutte le misure necessarie per la compliance.
Rimangono però pochi mesi all’entrata in vigore del GDPR e la possibilità di raggiungere la conformità dipenderà molto dalla maturità che le aziende e le organizzazioni sono state in grado di raggiungere in tre principali ambiti: Risk, Governance e Security Operations.
Chi ad oggi non ha già un livello di maturità adeguato rischia di non essere conforme, proprio perché processi, skill e infrastrutture tecnologiche carenti non potranno essere implementati in così poco tempo laddove dovessero esserci dei gap rilevanti.
Quali freni ancora agiscono all’adozione del GDPR e come li si supera?
Se si è capaci di inquadrare il GDPR come occasione per migliorare e adeguare la propria strategia di cybersecurity, gli ipotetici freni al percorso di conformità alla normativa svaniscono. Infatti, inquadrato come importante iniziativa di business e sponsorizzato dallo stesso management aziendale, il GDPR ottiene tutte le prerogative e priorità del caso. Per agire in questa direzione è fondamentale affidarsi a consulenti, legali e vendor con una solida esperienza e riconosciuti dal mercato. La stessa scelta tecnologica, laddove ancora dovesse mancare, va compiuta nell’ottica di saper dare una risposta a minacce che continueranno a evolvere molto velocemente, sia in termini di rischio che di complessità.
Parlando di Risk Assessment, come lo si deve automatizzare?
L’evoluzione delle cyber minacce procede a un ritmo piuttosto sostenuto in termini di velocità, complessità, persistenza ed efficacia, per questo motivo la gestione manuale dei processi di Risk Assessment è ormai inadeguata.
Un rischio significativo nella fase di automazione, qualora un’azienda o un’organizzazione decidesse di adottare strumenti puntuali e specifici per il Risk Assessment, è incorrere in situazioni dove diverse tipologie di rischio sono affrontate a silos, perdendo una più ampia “visione d’insieme”. Aspetto fondamentale, che nel testo del GDPR stesso viene citato incitando le organizzazioni a “…tenere conto dello stato dell’arte…”.
In un contesto simile risulta molto più efficace l’adozione di un framework centralizzato di Governance Risk and Compliance attraverso il quale i responsabili della gestione dei vari rischi possano avere un valido supporto alla loro valutazione e relativa gestione. Tale approccio, inoltre, consente al management di ottenere una visibilità maggiore e adeguata sull’effettivo rischio per il proprio business e, in particolare, sullo stato di adeguamento al GDPR visto anche l’impatto economico che potrebbe derivare da una mancata conformità.
Come va gestita la Breach response entro 72 ore?
La corretta gestione di una breach non si può improvvisare e non ha senso provare a implementare infrastrutture tecnologiche e flussi di comunicazione appropriati nel bel mezzo di una crisi. Inoltre, data la veloce evoluzione delle minacce, essere in grado di rilevare incidenti che possono portare a una Breach significa, soprattutto, avere sia un adeguato livello di visibilità all’interno della propria infrastruttura IT/Sicurezza, sia un’adeguata capacità di risposta che si avvale di processi, competenze e tecnologie appropriati.
La Breach Response entro 72 ore è un requisito chiave del GDPR da supportare.
Laddove vi fossero carenze in termini di visibilità, capacità di circoscrivere correttamente l’intero perimetro di un incidente, rilevare e investigare rapidamente un incidente, skill e velocità di risposta, RSA suggerisce di adottare soluzioni specifiche come RSA Netwitness e RSA Archer. Inoltre, eventuali carenze di competenza potranno essere compensate ricorrendo a specifici servizi di RSA Incident Response.
Come cambia la gestione delle identità?
All’interno del testo del GDPR non ci sono riferimenti specifici alla gestione delle identità, ma, in ogni caso, oggi non si può prescindere dal tener conto del continuo aumento degli incidenti di sicurezza legati all’abuso o al furto di credenziali e di identità.
Negli ultimi due report annuali, la stessa Verizon riconosce un incremento dal 63% al 81% delle Data Breach che hanno coinvolto credenziali d’accesso deboli, di default o rubate. Per rispondere efficacemente a questo tipo di rischio, RSA suggerisce di adottare soluzioni di Identity Governance e di Access Management basate sulla suite RSA SecurID.
Si può fare sviluppo di business mettendo a fattore comune l’investimento fatto in GDPR compliance?
Assolutamente sì. Credo che le intenzioni del Regolatore siano proprio quelle di stimolare e di invogliare quanto più possibile le aziende a curare maggiormente la salute del proprio business, gestendone correttamente i cyber rischi associati. Questo diventa, oggi più che mai, un vantaggio competitivo. A supporto della conformità alla GDPR, RSA fornisce un portafoglio chiave di soluzioni tecnologiche e servizi specialistici che spaziano dalla valutazione e gestione centralizzata dei rischi, governance e compliance, al monitoraggio, all’analisi forense e risposta agli incidenti, alla governance e gestione delle identità.
Inoltre, da un punto di vista di ritorno degli investimenti, è innegabile il vantaggio derivante dalla scelta di consolidare i rapporti di fornitura di soluzioni e servizi di sicurezza su un numero circoscritto di provider come il gruppo Dell/EMC/RSA.