GDPR, Data Act e Privacy Shield 2.0: ci aspetta un anno di multe record

GDPR, Data Act e Privacy Shield 2.0: ci aspetta un anno di multe record

Manlio De Benedetto, Director System Engineering di Cohesity, individua quattro elementi che possono aiutare le aziende a garantire il rispetto delle normative, migliorare la propria sicurezza e ridurre la complessità nella gestione dei dati

Il Regolamento generale sulla protezione dei dati (GDPR) è entrato in vigore a maggio 2018, esattamente quattro anni fa. Da allora sono stati comminate multe per 1,6 miliardi di euro. L’Italia è il secondo Paese in Europa per numero di sanzioni comminate (133) e quarta per ammontare delle sanzioni, con più di 137.240 milioni di euro di multe. E le sanzioni non hanno colpito soltanto le organizzazioni operanti in Europa. Infatti, negli ultimi 12 mesi le autorità europee per la protezione dei dati hanno imposto significative sanzioni contro cinque importanti aziende americane del settore tecnologico. Le multe comminate in questi cinque casi da soli rappresentano più di 1,2 miliardi di dollari.

Anche il numero di violazioni segnalate è cresciuto più velocemente che mai, passando da 639 a 1.037 nello stesso periodo. Ora il quarto anniversario del regolamento europeo segna un anno record di sanzioni per le autorità UE. Chi si aspettava un’interpretazione più permissiva delle linee guida a seguito della pandemia resterà certamente sorpreso.

Durante l’ultimo periodo, sono emerse infatti anche altre tendenze.  La digitalizzazione accelerata, unita alla pandemia e al lavoro a distanza, ha dato vita un numero sempre maggiore di dati in ambienti sempre più numerosi. Molte aziende non sono più in grado di tenere il passo con questa esplosione di dati e di silos di dati, soprattutto perché le condizioni generali stanno rapidamente cambiando ancora una volta.

Così a marzo, la presidente della Commissione Europea, Ursula von der Leyen, e il presidente degli Stati Uniti, Joe Biden, hanno annunciato congiuntamente l’intenzione di adottare anche un nuovo regolamento per il traffico dati transatlantico. Non è chiaro quando entrerà in vigore quale nuova base legale questo Trans-Atlantic Data Privacy Framework o, come lo chiamano alcuni, Privacy Shield 2.0. Il nuovo insieme di regole avrà però un impatto sul modo in cui le aziende internazionali gestiscono i propri dati e sul modo in cui trasferiscono, memorizzano e archiviano dati personali. E solo un mese prima, la Commissione Europea ha presentato con il Data Act i nuovi approcci adottati per regolare il mercato dei dati in Europa.

Leggi anche:  Bitdefender migliora la sicurezza dei carichi di lavoro cloud per container e ambienti Linux

Una visione distorta dei dati

Molte aziende hanno distribuito i propri dati in un’ampia varietà di storage location e, come dimostrano le multe, stanno avendo difficoltà a gestire correttamente l’insieme di dati proprietari e i silos di dati. Senza dubbio, i team IT spendono molto tempo e risorse per affrontare i problemi di governance, archiviazione e conformità alle normative. Questa visione distorta causa una serie di problemi, che crescono al crescere della quantità di dati e del numero di regolamenti in materia. In questo modo, è quasi impossibile verificare se i dati sono ridondanti, se le informazioni personali sensibili sono conservate in ambienti a rischio o se sono state trascurate nei piani di backup.

Un’azienda può tentare di tenere sotto controllo questi spazi isolati di dati con processi e soluzioni puntuali, ma potrebbe trovarsi di fronte ad alti costi infrastrutturali e operativi, alla mancanza di integrazione tra i prodotti e ad architetture sempre più complesse. E non è certo che in un ambiente così frammentato tutti i dati siano protetti da eventuali attacchi ransomware, né che compiti critici, come il recovery rapido, possano essere implementati nei tempi e con la qualità richiesta per mantenere le aziende in funzione.

Manlio De Benedetto, Director System Engineering di Cohesity, raccomanda quindi alle aziende di superare i silos di dati e cercare un approccio di nuova generazione alla gestione dei dati che permetta alle aziende di migliorare la conformità dei dati alle normative, di migliorare la propria sicurezza e ridurre la complessità.

1) Riconoscere l’accesso e il valore

Le aziende hanno bisogno di sapere quali dati possiedono e qual è il loro valore, per poter rispondere alle esigenze di governance e conformità alle normative. E devono essere chiare su chi ha accesso a quei dati. Per esempio, possono rilevare gli utenti che hanno un accesso troppo ampio ai dati o possono usare la tecnologia di Intelligenza Artificiale e Machine learning per identificare modelli insoliti di backup o di accesso oppure altri comportamenti anomali. Indicatori di questo tipo possono aiutare a identificare possibili attacchi interni ed esterni, come il ransomware, in una fase iniziale, permettendo di mettere in atto contromisure efficaci in modo rapido.

Leggi anche:  Conflitto Russia-Ucraina, gli attacchi informatici non si fermano e mirano anche ad altri governi

2) Ottenere una visione unificata dei dati

La situazione ideale è quella in cui è possibile accedere a tutte queste funzioni, oltre che a una panoramica dei dati dell’azienda, tramite una console a cui possono accedere solo gli utenti autorizzati grazie all’autenticazione multi-fattore e alle liste di controllo degli accessi – indipendentemente dal fatto che i dati siano conservati on premises, in un cloud ibrido o in un servizio SaaS.

3) Stabilire un’infrastruttura resiliente e altamente scalabile

I dati stessi dovrebbero essere salvati in una piattaforma di gestione dei dati di nuova generazione, basata su un file system iperconvergente, facilmente scalabile e in grado di andare oltre il modello di sicurezza Zero Trust. Oltre alle già menzionate regole di accesso rigorose e all’autenticazione multi-fattore, le imprese dovrebbero essere in grado di utilizzare snapshot immutabili, ovvero non modificabili da nessuna applicazione esterna o utente non autorizzato. Le organizzazioni dovrebbero anche utilizzare una moderna tecnologia di gestione dei dati, capace di criptare gli stessi, sia durante lo spostamento di dati sia a riposo, per migliorare ulteriormente la sicurezza contro minacce informatiche come i ransomware.

4) Disponibilità as a service

Alcune aziende oggi non vogliono più gestire la propria infrastruttura completamente da sole, forse anche perché i propri team IT sono chiamati a concentrarsi su altre mansioni business-critical. In questi casi, potrebbero considerare un vendor che offra una soluzione di Data Management as a Service (DMaaS). Questo portfolio di offerte ‘software as a service’ (SaaS) è progettato per fornire ai clienti enterprise e a quelli di medie dimensioni un modo radicalmente semplice per eseguire il backup, proteggere, governare e analizzare i propri dati.

Prospettive

A livello governativo interverranno sicuramente nuove regole in materia di data economy, considerato il fatto che oggi i dati giocano un ruolo determinante in tutti i settori dell’economia. I team IT delle aziende continueranno quindi a dover reagire alle nuove condizioni generali. Per trovare finalmente una soluzione all’elevata complessità, le aziende dovrebbero considerare di consolidare i propri silos di dati in una piattaforma di gestione di nuova generazione. In questo modo, potrebbero infatti beneficiare di una maggiore sicurezza, una migliore governance e una più puntuale conformità alle normative, nonché della possibilità di risparmiare tempo e denaro, rendendo molto più facile la gestione dell’infrastruttura.