Dell ha presentato i risultati di un sondaggio globale sulla nuova normativa General Data Protection Regulation (GDPR) dell’Unione Europea. Pensata per rafforzare la protezione dei dati personali dei cittadini dell’Unione, la nuova normativa entrerà in vigore nel maggio 2018 e coinvolgerà aziende di tutte le dimensioni, in tutte le regioni e in tutti i mercati; quelle che non saranno conformi quando il GDPR entrerà in vigore rischiano multe, potenziali breach e danni alla reputazione.

Lo studio, condotto da Dimensional Research per conto di Dell, ha visto il coinvolgimento di 821 responsabili della data privacy presso aziende con clienti europei e rivela come le aziende di qualsiasi dimensione non siano al corrente dei requisiti della nuova direttiva, non sappiano come prepararsi e non conoscano l’impatto della non-conformità sulla sicurezza dei dati e sul business. Un quadro che abbiamo già visto in precedenza in altre ricerche simili, ma che in questo caso suona ancora più preoccupante visti i tempi ormai sempre più stretti per adeguarsi alla normativa.

Leggi anche: GDPR: cos’è e cosa devono fare le aziende

I risultati del sondaggio mostrano che l’82% dei professionisti responsabili per la sicurezza dei dati presso PMI e grandi aziende è impensierito dall’esigenza di conformità al GDPR e, nonostante la maggior parte si dichiari preoccupato, gli intervistati non ne hanno la necessaria consapevolezza, non sono preparati e non prevedono di esserlo per la data in cui il GDPR entrerà in vigore.

I risultati confermano inoltre che, nonostante le imprese si rendano conto che la non conformità al GDPR impatterà la sicurezza dei dati e il business, non sanno fino a che punto è necessario cambiare o di che entità di multe si tratti e di come questi cambiamenti influenzeranno gli affari. Il 79% dichiara di non essere a conoscenza delle multe che la propria azienda avrebbe dovuto pagare se la normativa GDPR fosse entrata in vigore nel 2016.

Il sondaggio elenca infine alcune strategie per aiutare le aziende ad aderire alle discipline di sicurezza legate alla normativa GDPR, in modo da proteggere le informazioni personali dei clienti ed evitare data breach, multe salate e perdita di reputazione che potrebbero risultare dalla non-conformità. Eccole nel dettaglio.

gdpr-impact

1 – Assumere un data protection officer (DPO)

Requisito del GDPR, questa posizione può essere a tempo pieno, occupata da un dipendente con altre responsabilità o data in outsourcing. La buona notizia è che un DPO può essere anche acquisito sotto forma di servizio, quindi system integrator o reseller potrebbero offrirlo per aumentare il loro giro d’affari.

2 – Implementare una soluzione di access governance aziendale

La capacità di gestire gli accessi alle applicazioni che consentono di accedere ai dati personali dei cittadini UE rappresenta un elemento fondamentale della sicurezza dei dati e della conformità GDPR. La governance generalmente richiede una revisione periodica dei diritti di accesso da parte dei manager e l’attestato (o la ricertificazione) che i permessi siano allineati con i ruoli e non compromettono la sicurezza.

3 – Controllare la gestione degli accessi

Per soddisfare il GDPR, dipendenti e fornitori devono disporre del permesso di accesso adeguato per svolgere il proprio lavoro e nulla di più. Le tecnologie di gestione di identità e accessi che facilitano questo tipo di controllo comprendono l’autenticazione a più fattori, accesso remoto sicuro, sicurezza adattiva/basata sui rischi, gestione granulare delle password e pieno controllo sulle credenziali e le attività degli utenti privilegiati.

4 – Proteggere il perimetro

Implementare firewall di prossima generazione per ridurre l’esposizione della rete ai rischi cyber, mitigare la minaccia di data leak che potrebbero condurre a data breach severamente puniti dal GDPR, e fornire le informazioni forensi necessarie per dimostrare la conformità ed effettuare azioni di remediation appropriate dopo un breach.

5 – Facilitare un accesso mobile sicuro

Favorire il flusso sicuro di dati permettendo ai dipendenti di accedere alle applicazioni e ai dati aziendali che necessitano nel modo che preferiscono e con i dispositivi prescelti. Potenziare la sicurezza dei dati (eliminando le restrizioni all’accesso) combinando componenti di identità, variabili di dispositivi e fattori temporali (tempo, luogo, ecc) per offrire un approccio adattivo basato sul rischio che garantisce il giusto accesso sempre, migliorando al tempo stesso la protezione dei dati e la conformità al GDPR.

6 – Garantire la sicurezza della posta

Per conformarsi ai requisiti del GDPR, bisogna ottenere pieno controllo e visibilità sull’attività email per mitigare le minacce di phishing e altri attacchi email-based a informazioni protette, abilitando però lo scambio sicuro e conforme di dati sensibili e confidenziali.