Nella nuova digital enterprise, sempre più liquida e senza confini, l’obiettivo è garantire la sicurezza delle informazioni, in qualsiasi ambiente risiedano e in ottemperanza alle normative vigenti. Come? Il webinar “Next generation data security: proteggere i dati ovunque si trovino” organizzato da ZeroUno, in collaborazione con Stormshield, ha definito i pilastri per una difesa end-to-end, con focus sulle tecniche di crittografia e in rapporto alle più recenti normative.
“Nell’ultimo decennio – esordisce Nicoletta Boldrini, Giornalista di ZeroUno – le ondate rivoluzionare di cloud e mobility hanno aperto l’accesso sempre e ovunque a dati di qualsiasi natura e fonte. Se la disponibilità delle informazioni rappresenta un benefit per gli utenti, sicuramente genera preoccupazione per i responsabili dei Sistemi It che hanno in carico la gestione e la protezione del patrimonio informativo aziendale”. Nelle moderne organizzazioni, la circolazione delle informazioni si estende a tutto l’ecosistema di fornitori, partner e clienti, a sedi e persone geograficamente distribuite, per cui più che una protezione perimetrale occorre porre l’attenzione nel costruire una sicurezza sul dato stesso e nel rispetto dei vincoli di compliance.
Il Nuovo Regolamento Ue
Guglielmo Troiano, Senior Legal Counsel di Partners4Innovation, prosegue con la descrizione del panorama tecnologico e normativo. “Le aziende italiane si rivolgono a provider esterni internazionali per l’acquisto di servizi It. Spesso però perdono visibilità e controllo rispetto a dove e come vengono gestiti i propri dati (aziendali e dei clienti), anche perché i provider si appoggiano di frequente a subfornitori”.
In questo contesto, il Nuovo Regolamento Generale sulla Protezione dei Dati Personali emanato dalla Ue (2016/679 del 14 aprile 2016), attualmente in vigore ma non applicabile fino al 24 maggio 2018, pone nuovi vincoli rispetto alla sicurezza che deve essere “by-design”, ovvero connaturata al prodotto/software (le misure di protezione devono essere adottate già in fase di progettazione e non pensate a posteriori). La normativa impone anche la responsabilità solidale tra Titolare (l’azienda che offre il servizio al consumatore finale) e il Responsabile (solitamente il provider It che di fatto gestisce il servizio) del trattamento dei dati, che devono rispondere congiuntamente nei confronti dell’Interessato (l’utente destinatario del servizio). “Il Nuovo Regolamento – sottolinea Troiano – riguarda anche le aziende non Ue che offrono servizi ai cittadini europei”.
Ma la vera novità è rappresentata dalle tecniche che devono essere adottate come standard per garantire la riservatezza dei dati: innanzitutto, la pseudonimizzazione (ovvero, i set di informazioni associati a un soggetto devono essere segregati e conservati in luoghi differenti rispetto ai dati identificativi, cosicché non è possibile ricondurli al singolo interessato) e la cifratura. “Ovviamente – chiarisce Troiano – non tutte le tecniche andranno applicate indiscriminatamente per qualsiasi tipologia di dato, ma piuttosto bisognerà fare delle distinzioni in base alla sensibilità dell’informazione”. Un’ultima nota riguarda i casi di violazione dei dati. “Il provvedimento – aggiunge Troiano – obbliga il Titolare a segnalare gli episodi di data breach alle Autorità di Controllo e, qualora fosse rivelato inadempiente rispetto agli standard di sicurezza prescritti, anche agli interessati”.
Sicurezza trasparente e cifratura
L’inasprimento delle regole di sicurezza è imputabile ai nuovi scenari digitali. “Oggi – interviene Marco Genovese, Presales Engineer di Stormshield – i documenti risiedono ovunque e diventa estremamente semplice ottenerli. Il 33% dei furti di dati dipendono da utenti malintenzionati all’interno dell’organizzazione, mentre il 39% degli incidenti di data loss vanno ricondotti alla negligenza delle persone”. Genovese cita casi di “ordinaria insicurezza”: ad esempio, il passaggio dei dati di un progetto all’ambiente di produzione, magari tramite chiavetta; l’impossibilità di decriptare i dati che risiedono sul computer aziendale di un utente licenziato; l’utilizzo da parte dei dipendenti di soluzioni consumer per lo storage di dati aziendali. “È – dice il manager – estremamente difficile convincere i dipendenti ad adottare misure di sicurezza e comportamenti non a rischio. La protezione del dato deve quindi avvenire in maniera trasparente per l’utente. Nel nostro caso, grazie a soluzioni come Stormshield Data Security, è possibile la crittazione di qualsiasi tipo di file, garantendo sicurezza intrinseca e permanente, indipendentemente dall’ambiente su cui risiedono o transitano i dati, nonché l’accesso da qualunque dispositivo mobile”. Si tratta di una “sicurezza collaborativa”, secondo Genovese, perché permette la condivisione protetta dei dati aziendali tra gruppi di lavoro, grazie all’encryption.
Le aziende sono davvero protette?
“Le regole di sicurezza – ribadisce Genovese – vanno applicate automaticamente, senza che l’utente ne sia conscio. Le tecnologie non devono essere invasive, ma avranno tanto più successo quanto più lasceranno l’utente libero di lavorare”.
“Ma come funziona la crittografia? È in grado di garantire la compliance?”, viene chiesto da alcuni utenti collegati al Webinar nel corso della tavola rotonda virtuale: secondo Troiano, il vantaggio è una protezione intrinseca al dato, che permette di archiviare e spostare in sicurezza i file nel cloud, a dispetto delle misure adottate dal provider o dai sui subfornitori. “La nostra soluzione – precisa Genovese -, tramite un agent sulla macchina del cliente, permette di criptare le informazioni prima che vengano trasferite all’esterno. Le chiavi di cifratura rimangono interne all’azienda, garantendo massima protezione. Tuttavia, l’encryption, nonostante sia un fattore imprescindibile, da sola non basta ad assicurare la conformità”. “Secondo il Nuovo Regolamento – conclude Troiano – ogni Titolare dovrà produrre una valutazione d’impatto, ovvero individuare a priori per ogni trattamento le tecniche di protezione da applicare”. La crittografia, insomma, è solo uno step verso la compliance, ma allo stesso tempo una chiave indispensabile.