RSA ha annunciato la disponibilità di nuovi prodotti che aiuteranno le aziende ad affrontare molte delle sfide legate alla conformità alle norme sulla privacy dei dati imposte dal Regolamento Generale sulla Protezione dei Dati dell’Unione Europea (GDPR). L’offerta di RSA Archer per la governance dei dati e la gestione dei programmi di privacy può essere abbinata a RSA NetWitness, per accelerare la risposta alle violazioni, e a RSA SecurID, per garantire un ulteriore controllo delle identità e degli accessi ai dati per ulteriori funzionalità di conformità.

“Eravamo abituati a un mondo nel quale gli executive gestivano il business, l’IT si occupava dell’infrastruttura, la sicurezza definiva il perimetro e la compliance stabiliva le regole, ma normative come il GDPR stanno abbattendo quelle vecchie separazioni, traducendo il concetto di cyber-rischio sul piano del business e cambiando completamente le modalità con cui le aziende si rapportano ai dati dei propri clienti” ha commentato Rohit Ghai, Presidente di RSA.

In definitiva il GDPR non è solo un problema di governance, risk management e compliance (GRC), ma riguarda l’intera impresa e costringe le aziende ad adottare una posizione più solida in termini di sicurezza in quattro aree critiche: Valutazione del rischio, Risposta a una violazione, Data Governance e Compliance Management.

gdpr

Valutazione del rischio

Un efficace processo di valutazione dei rischi accelera l’individuazione del legame tra i rischi e controlli interni, riducendo le lacune nella conformità al GDPR, migliorando le strategie di mitigazione dei rischi e fornendo alle aziende anche una strategia che permetta loro di migliorare propria postura in termini di cybersecurity.

Risposta a una violazione

Obiettivo principale dei team di sicurezza è ovviamente prevenire le violazioni, ma purtroppo queste possono sempre accadere. L’articolo 33 del GDPR definisce i requisiti specifici per la notifica di una violazione dei dati personali all’autorità di controllo, aspetto che richiede una comprensione piena di tutti i dettagli che hanno caratterizzato la breach dei dati.

Inoltre, il GDPR richiede la capacità di gestire la notifica all’autorità, generalmente entro 72 ore dalla scoperta della breach. La nuova versione della RSA NetWitness Suite è in grado di scandagliare l’intera infrastruttura IT per identificare gli indicatori di un attacco sfruttando l’analisi comportamentale e il machine learning per comprendere meglio lo scopo e la natura della breach, migliorando la visibilità sulla sequenza di attacco e rendendo più rapida la notifica.

gdpr

Data governance

Un altro elemento critico della conformità al GDPR è controllare chi ha accesso ai dati personali. Le organizzazioni devono proteggere le informazioni di identificazione personale (PII) e devono essere in grado di dimostrare la dovuta scrupolosità nel tenere registri accurati delle attività di elaborazione, comprese le categorie di dati personali trattati, le finalità di elaborazione, i trasferimenti a paesi terzi al di fuori dello spazio economico europeo nonché le misure di sicurezza tecniche e organizzative pertinenti.

La suite RSA SecurID, che comprende RSA SecurID Access e RSA Identity Governance e Lifecycle, permette a organizzazioni di ogni dimensione e maturità di ridurre al minimo il rischio legato alle identità e di consentire un accesso semplice e sicuro ai propri dipendenti. Sfruttando tecniche di risk analytics coadiuvate da informazioni di contesto, SecurID assicura l’accesso corretto alle persone autorizzate, da qualsiasi punto e da qualsiasi dispositivo.

Compliance Management

Un programma di compliance management crea un ambiente scalabile e flessibile per documentare e gestire le policy, le procedure, gli standard e i controlli legati al GDPR. Tuttavia, lo status di conformità al GDPR, come la sicurezza aziendale, può cambiare da un momento all’altro e rappresenta un obiettivo dinamico.

La RSA Risk and Cyber Security Practice offre una gamma di servizi strategici, progettati per aiutare i clienti a sviluppare un approccio alla sicurezza di tipo business-driven, per creare un security operation center (SOC) avanzato e rivitalizzare il proprio programma di GRC.