L’entrata in vigore del Gdpr, prevista per il 25 Maggio 2018, sta imponendo alle aziende un ripensamento profondo del proprio approccio alla sicurezza IT. Si pensi, per esempio, a quello che può significare per le imprese, ancora spesso abituate a procedere in modo disorganico e poco strategico sul fronte cyber security, adeguarsi a principi chiave del regolamento come quello di Privacy by design.
Who's Who
Antonio Pusceddu
Come afferma anche un recente articolo sulla cyber security pubblicato su AgendaDigitale, il 2018 sarà un anno importante per l’adeguamento a GDPR e NIS, e le attenzioni puntano spesso proprio alla cyber security.
Secondo questo principio, ricorda Antonio Pusceddu, Country Sales Manager, F-Secure, “l’azienda dev’essere sempre in grado di mostrare all’ente di controllo che, in virtù di un corretto disegno dei sistemi informativi, ogni processo che utilizza dati personali abbia un adeguato grado di sicurezza e che in ogni momento esista la possibilità di attivare dei controlli su questi processi [che devono dunque essere tutti tracciabili e verificabili – ndr] sia in chiave preventiva, sia dopo l’eventuale caso di data breach”. Obiettivo non semplice, che molte aziende stanno infatti faticando a perseguire; inoltre, per le realtà italiane appartenenti alla PA, la sfida è “doppia” in quanto alla scadenza del Gdpr si aggiunge quella precedente, del 31 Dicembre, legata all’attuazione del regolamento dell’Agid Misure minime di sicurezza ICT per le Pubbliche Amministrazioni.
Come muoversi dunque per recuperare il ritardo? F-Secure propone un modello che si lega a 4 concetti: preparazione, prevenzione, rilevazione e risposta (ovvero: capire quali sono i possibili rischi relativi alla superficie attaccabile; rilevarli e minimizzarli; riconoscere l’eventuale incidente e contenerne le conseguenze; mitigare i danni, vedi figura). Un concetto di cyber security olistico che consente all’azienda di essere compliant alla normativa e che rispecchia anche l’evoluzione della stessa F-secure: “Le attività da svolgere per gestire la sicurezza di un’impresa sono oggi più complesse ed eterogenee rispetto al passato – spiega il manager – La nostra azienda, storicamente legata al mondo dell’endpoint security, si è trasformata profondamente negli ultimi 4-5 anni proprio per rispondere a questi cambiamenti: abbiamo ampliato il nostro approccio alle tematiche di sicurezza informatica in una logica più globale; la nostra offerta tecnologica oggi allinea una serie di soluzioni e servizi a tutti i 4 concetti proposti nel nostro modello di cyber security”. Tra questi ricordiamo brevemente F-Secure Radar, soluzione per la gestione del rischio delle vulnerabilità, “in grado – dice Pusceddu – di mappare tutta la superficie attaccabile includendo qualsiasi genere di device in rete, descrivere dettagliatamente le vulnerabilità rilevate, quindi indicare la remediation” e F-Secure Rapid Detection Service, servizio che, ad attacco avvenuto, si occupa della gestione dello stesso attraverso un modello di cooperation man-machine che si appoggia all’attività di un SOC europeo.
