Cosa devono fare le aziende? La riflessione di uno dei massimi esperti di sicurezza di Juniper Networks

A cura di Laurence Pitt, Security Strategist EMEA, Juniper Networks

Noi di Juniper Networks passiamo molto tempo cercando di ridurre la percezione che il GDPR (General Data Protection Regulation) sarà una seccatura per le aziende. Lo facciamo prendendo spunto da una situazione di vita comune che ha a che fare con l’uso delle automobili, che devono essere mantenute in buone condizioni e regolarmente sottoposte a controlli affinche’ possano garantire una certa sicurezza durante la guida. Dal nostro punto di vista, la libertà che si guadagna seguendo le regole è di gran lunga superiore a qualsiasi brutta conseguenza in cui si potrebbe incorrere. Sostanzialmente, questo è lo stesso spirito con cui affrontiamo la nuova normativa per la tutela della privacy. E’ stata studiata da una parte per rafforzare i diritti e le libertà relativi alle informazioni dei cittadini europei e dall’altra per fornire alle organizzazioni degli standard che permettano di ottenere una maggiore efficienza.

Dopo tutto, non partiamo da zero. Normative per la protezione dei dati esistono di già e, per quanto riguarda il trattamento dei dati dei cittadini europei, il GDPR servirà ad armonizzarle. E, se un cittadino europeo affida a un’azienda i suoi dati personali, il senso comune vuole che l’azienda protegga questi dati. All’avvicinarsi del maggio 2018, quando il GDPR entrerà in vigore, ci sono molte cose che le organizzazioni possono e dovrebbero fare. Un buon punto di inizio è la protezione dei dati “by design”. Il fondamento di questo approccio è il ciclo di vita dell’informazione che permette di giungere al cuore della questione – perché i dati sono importanti – e obbliga a considerare quali dati effettivamente raccogliere e cosa farci.

Capiterà di notare molte varianti di questo ciclo di vita ma essenzialmente in Juniper Networks abbiamo identificato quattro fasi principali: raccolta, archiviazione e protezione, utilizzo, eliminazione.

Raccogliere (solo quello che è rilevante)

Ogni organizzazione di successo basa le sue fondamenta su dati di qualità. I dati sono prolifici e forte è la tentazione di raccoglierli solo perché e’ possibile farlo. E’ importante, quindi, ragionare su quali dati siano critici per il proprio business e quindi definire lo scopo per cui vengono raccolti. Per acquisirli, occorre il consenso delle persone e a queste deve essere chiaro come si intende utilizzarli. Archiviare e proteggere ogni dato ha un costo, per cui ha senso raccogliere solo ciò che è necessario.

Archiviare e proteggere (pensando al valore dei dati)

Altro elemento importante è la definizione di quali dati raccogliere, lo scopo per cui saranno usati e per quanto tempo si intenda conservarli. E’ altresì fondamentale sapere in ogni momento non solo quali dati sono archiviati ma anche dove, impresa non sempre facile, soprattutto, in un ambiente multicloud pubblico/privato. E’ possibile delegare all’esterno la pratica dell’archiviazione ma, in base al GDPR, non è possibile delegare la responsabilità per la sicurezza dei dati personali gestiti per proprio conto: per questo assegnare un valore teorico ai dati è un’ottima idea. Da tale valore dipenderà sia dove archiviare fisicamente specifici dataset sia e il livello di sicurezza da assegnare loro. Ciò permetterà di siglare accordi adeguati con terze parti, gestire i costi e implementare la sicurezza in maniera più efficiente.

Utilizzo (chi e cosa)

Oggi occorre pensare non solo a chi utilizza i dati ma anche a cosa utilizza i dati. Le aziende sono strutture complesse e molti dipartimenti, dal customer service all’amministrazione, dalle vendite al marketing o, nelle risorse umane, chi si occupa di gestione paghe o di formazione, hanno motivi legittimi per raccogliere dataset relativi agli stessi individui. Sarà necessario comprendere le implicazioni derivanti dall’aggregazione di questi dataset e di quelli di tutti i fornitori. La base legale per l’utilizzo dei dati determina i diritti di accesso: chi ha accesso ai dati, e cosa ciascun dipendente – o applicazione – può fare con questi dati. Se qualcosa cambia nell’organizzazione è anche necessario un processo per il trasferimento delle responsabilità.

Eliminazione (sono davvero cancellati?)

La pressione sul tasto Cancella non necessariamente elimina l’impronta dei dati dai dispositivi di archiviazione. Ciò significa che sono necessarie ulteriori considerazioni se si stabilisce che server, computer o telefono siano giunti al termine del loro ciclo: in pratica tutto ciò su cui possono essere memorizzate informazioni personali. Quando sono coinvolti fornitori terzi non è possibile avere lo stesso grado di controllo e ciò conferma la necessità di pianificare e gestire proattivamente il proprio ambiente dati.

Il ciclo di vita dell’informazione non basterà da solo a rendere un’azienda conforme al GDPR ma sapere dove si trovano i dati, chi e cosa li utilizza (e perché) ed essere sicuri che vengano distrutti quando li si cancella ha molto senso dal punto di vista del business. Un approccio di protezione dei dati by design permette quindi di sviluppare policy e processi in modo logico, creare programmi di sensibilizzazione per il personale e, alla fine, proteggere i propri dati in maniera più efficiente.