Fortinet festeggia il primo compleanno del GDPR condividendo alcuni consigli utili su come tutelare i dati personali degli utenti in una rete sempre più distribuita. La privacy dei consumatori è sempre più protetta dalle nuove regolamentazioni, come ad esempio il General Data Protection Regulation e il nuovo California Consumer Privacy Act (CCPA), che offrono un livello di protezione necessario per evitare eventuali furti di dati e il loro utilizzo improprio. Queste normative definiscono cosa significhi PII (acronimo che riguarda le informazioni di identificazione personale), stabilendo standard di compliance che le aziende devono rispettare e imponendo severe sanzioni per chi non è compliant.
Uno dei vantaggi più importanti che queste normative offrono è il fatto che definiscono esattamente cosa si intende per “dati personali”. Forniscono infatti regole precise su come questi dati possano o non possano essere utilizzati da un’azienda che ha rapporti commerciali all’interno di una specifica area geografica o con i cittadini che abitano, lavorano, oppure viaggiano sul territorio. Tali regolamentazioni definiscono esplicitamente cosa costituisca una violazione dei dati personali, oltre ai requisiti di notifica standardizzati e coerenti. Ultimo, ma non meno importante, offrono ai consumatori un completo controllo sull’uso e la conservazione dei loro dati personali.
Il GDPR ha stabilito una definizione comune e più ampia dei dati personali rispetto a quello che era stato fatto in tutti i precedenti tentativi, includendo informazioni quali indirizzi IP, dati biometrici e dati identificativi dei dispositivi mobili. Sono stati incluse anche le altre tipologie di dati che potrebbero essere utilizzate per identificare un individuo, determinare la sua posizione o tracciare le sue attività. La CCPA estende ulteriormente questa definizione, aggiungendo elementi quali i dati di geolocalizzazione dei dati, browsing e ricerca.
Inoltre, le organizzazioni che rientrano nel campo d’azione di queste regolamentazioni non solo hanno bisogno di ottenere un’approvazione esplicita da parte dei singoli per conservare e utilizzare i dati personali, devono anche poter esigere la rimozione dei dati personali.
Privacy dei dati e cloud: oggi la rete è altamente distribuita, motivo per cui i dati potrebbero essere copiati più volte e diffusi praticamente ovunque. La recente e rapida transizione verso reti, piattaforme e applicazioni multi-cloud complica lo scenario. Per soddisfare i requisiti relativi alla privacy dei dati in questi ambienti, le aziende devono implementare soluzioni di sicurezza in grado di coprire l'intero network distribuito al fine di centralizzare la visibilità e il controllo. Ciò permette loro di essere compliant alle normative in materia di protezione dei dati, identificare e segnalare le criticità e rimuovere su richiesta tutte le istanze relative ai dati personali.
Per raggiungere questo obiettivo, sono necessari tre passaggi fondamentali:
1.La sicurezza deve estendersi agli ambienti multi-cloud: gli standard per la compliance devono essere applicati con coerenza attraverso l'intera infrastruttura distribuita. Mentre le leggi sulla privacy possono far riferimento a una precisa area geografica, con il cloud è molto semplice superare questi limiti. È necessario tenere traccia di ogni istanza dei dati, specialmente quando ci si sposta all'interno di più applicazioni e flussi di lavoro. I dati tendono a moltiplicarsi e serve un modo per gestire la mole di informazioni. È altrettanto importante garantire una segmentazione coerente attraverso l'intera infrastruttura distribuita. Questo diventa una sfida quando le politiche di sicurezza sono limitate a specifici ambienti fisici e cloud e le soluzioni di sicurezza offrono funzionalità e controlli incoerenti a causa dei requisiti unici dei diversi ambienti cloud. I tool di sicurezza devono integrarsi in modo nativo nelle piattaforme cloud al fine di segmentare in modo coerente l'ambiente multi-cloud. I data center in altre parti del mondo devono supportare questi nuovi requisiti di sicurezza o rischiano di diventare l'anello debole della catena di sicurezza.
2. È essenziale prevenire la perdita di dati: il monitoraggio e la gestione dei dati personali richiede l'implementazione di tecnologie di Data Loss Protection (DLP) che possono essere applicate sia inline sia a livello di API cloud. Tali soluzioni devono essere in grado di identificare, tracciare senza soluzione di continuità e avere un inventario di tutte le PII.
3. Il compliance reporting richiede una gestione centralizzata: il compliance reporting deve coprire l'intera infrastruttura distribuita. Come per altri requisiti, ciò richiede anche un'integrazione coerente in tutto il cloud e con l'infrastruttura di sicurezza on-premise. Per raggiungere questo obiettivo è necessaria l'implementazione di una soluzione centralizzata per il management, come una soluzione SIEM o una console “single pane of glass” che abbia visibilità sull’intera infrastruttura multi-cloud e di sicurezza. Non è consigliabile dover correlare manualmente i dati provenienti da più sistemi, perché in questo modo diventa più probabile perdere delle informazioni e se questo viene rilevato nel corso di un audit, le sanzioni possono essere anche molto severe.
Strategie integrate e proattive devono sostituire le soluzioni reattive: l'approccio migliore alla sicurezza informatica consiste nel bloccare un attacco prima ancora che abbia luogo e limitarne la portata una volta che la violazione sia avvenuta. Questo richiede che le aziende mettano in atto tecnologie e policy, come per esempio:
- Strumenti avanzati di prevenzione e rilevamento, tra cui una Threat intelligence in tempo reale, un access control rinforzato, behavioral analytics e soluzioni ATP che consentono loro di fronte alle violazioni
- Segmentazione della rete intent-based, inclusi il network e la microsegmentazione, per limitare l'impatto che una violazione potrebbe avere su uno specifico set di dati o su un segmento di rete.
- Soluzioni di sicurezza strettamente integrate che comunicano tra loro, condividono la Threat intelligence e coordinano una risposta alle minacce. Questi tool devono inoltre essere integrati nativamente nell'infrastruttura API dei vari ambienti cloud utilizzati, consentendo così di rinforzare le policy e rispondere alle violazioni in modo uniforme attraverso l’intera rete.
- Soluzioni DLP che consentono di tracciare i dati e prevenirne un accesso, utilizzo o trasferimento non autorizzati, indipendentemente dal luogo in cui tali dati vengono utilizzati o sono archiviati. È importante che queste soluzioni condividano le informazioni tra le varie infrastrutture protette.
- Controlli centralizzati che forniscono un singolo punto di visibilità e controllo per tutti i dati, assicurando così che le policy e le configurazioni siano coerenti, che le violazioni vengano rilevate e segnalate, che le richieste degli utenti siano rispettate e che il compliance reporting sia coerente e completo.
Se correttamente comprese, le normative sulla privacy non solo garantiscono che i dati personali degli utenti siano protetti, ma aumentano anche il livello di sicurezza dell'intera organizzazione. Questo processo induce le imprese a ripensare i processi e le policy, identificare ed eliminare le lacune e centralizzare i controlli. Molte di queste regole fondamentali sono andate perdute nella fretta che la trasformazione digitale ha comportato e questa è una buona occasione per riorganizzare, ripensare e rimettere in sicurezza la propria infrastruttura.