GDPR, Check Point Software Technologies suggerisce le linee di comportamento

Le cinque azioni fondamentali e le soluzioni in riferimento alle varie attività che ogni azienda dovrebbe eseguire internamente per conformarsi alla nuova normativa.

A partire dal 25 maggio 2018 diventa effettivo in tutti gli Stati membri il Regolamento UE 2016/679, noto come GDPR (General Data Protection Regulation) – relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali. Il GDPR nasce da precise esigenze, come indicato dalla stessa Commissione UE, di certezza giuridica, armonizzazione e maggiore semplicità delle norme riguardanti il trasferimento di dati personali dall’UeEverso altre parti del mondo. La normativa comprende quindi una lunga lista di protezioni, limiti e richieste di conformità, e rigide penali per chi non sarà conforme alla normativa.

Secondo quanto indicato dal white paper realizzato da Check Point Software Technologies, dal titolo: “THE EU GENERAL DATA PROTECTION REGULATION - CHECK POINT FOR EFFICIENT AND EFFECTIVE COMPLIANCE”, sono cinque le azioni fondamentali da cui un’azienda può partire per conformarsi alla normativa (per leggere il white paper completo, clicca qui).

identificare e nominare una persona incaricata della gestione dei dati;
realizzare un audit dei dati e classificarli, inclusi anche i dati di terze parti e i sistemi di back up;
analizzare i rischi basati sui tipi di dati, volume e sistemi di processo;
definire un criterio di controllo dell'attività sui sistemi in-scope, in particolare l'accesso ai dati e le attività di amministrazione, nonché una registrazione completa attraverso tutti i sistemi di protezione per identificare potenziali falle;
chiarire il controllo di base impostato su sistemi in-scope e definire i progetti di implementazione.

Dato che le linee guida del GDPR si basano su un approccio di valutazione del rischio in grado di garantire privacy e sicurezza, per le aziende è preferibile sfruttare metodologie esistenti che si basano su approccio risk-based, come ad esempio, la Software Defined Protection (SDP) di Check Point.
L’architettura SDP impiega, infatti, un sistema di sicurezza a tre livelli che suddivide l’infrastruttura di sicurezza nei seguenti livelli interconnessi:

un Enforcement Layer, basato sull’esecuzione fisica e virtuale della sicurezza, che suddivide una rete e applica la sua logica di protezione;
un Control Layer, che analizza diverse fonti di informazioni sulle minacce e di rischi di violazione dei dati, e genera policy e protezioni eseguite dall’Enforcement Layer;
un Management Layer, che predispone l’infrastruttura e registra tutte le azioni e gli avvenimenti.

La selezione delle protezioni appropriate implementate all’interno dell’Enforcement Layer adotta un approccio sul rischio associato a un episodio di sicurezza. Nel caso del GDPR, questo evento potrebbe essere la perdita o la modifica dei dati personali o una violazione della rete che consentirebbe l’accesso ai dati dell’individuo.
In linea con le best practice in materia di sicurezza informatica, Check Point offre il proprio supporto. Qui di seguito, è possibile avere una panoramica generale delle soluzioni in riferimento alle varie attività che ogni azienda dovrebbe già eseguire internamente:

Classificazione dati: la tecnologia DLP integrata al gateway fornisce la conoscenza dei dati personali presenti in rete, il monitoraggio dei contenuti e il blocco della trasmissione dati non autorizzati. Inoltre, Check Point Capsule Docs ERM offre strumenti per la classificazione dei contenuti.
Gestione delle modifiche di configurazione: SmartWorkflow and SmartLog stabiliscono i controlli di approvazione delle modifiche, registrazione complete delle modifiche di configurazione, e produzione automatica di audit-quality report.
Amministrazione e divisione dei compiti: la gestione della sicurezza supporta le autorizzazioni e la registrazione dettagliate in base al ruolo, per facilitare la divisione delle mansioni senza intaccare l’efficienza operativa.
Configurazione del sistema di sicurezza: il Compliance Blade garantisce che le definizioni della sicurezza all’interno dell’architettura siano coerenti con il GDPR aziendale.
Suddivisione network-based: il Next Generation Firewall basato sulla segmentazione di rete isola i dati considerati, riducendo drasticamente i rischi e i costi di conformità. La suddivisione può essere definita dall’applicazione o dai parametri dei dati, semplificandola in base alle linee guida sulla protezione dei dati.
Criptaggio e Pseudonomizzazione: la Checkpoint Endpoint estende la protezione dati all’interno dell’organizzazione. Il suo software blade Full Disk Encryption (FDE) crittografa gli hard drive dei computer, e Media Encryption e Port Protection (MEPP) crittografa e controlla le connessioni allo storage rimovibile. La soluzione permette anche di proteggere i documenti con la tecnologia ERM, Capsule Docs.L’accesso remoto attraverso Security Appliance e le VPN crittografate site-to-site proteggono i dati in movimento.
Prevenzione delle perdite di dati: la tecnologia DLP (Data Loss Prevention) è la soluzione che pone criteri standard e regole personalizzate per monitorare il contenuto e il registro attività. Il feedback in tempo reale istruisce gli utenti sulle linee guida della privacy, con il blocco facoltativo di azioni che violerebbero i controlli GDPR.
Prevenzione del DDoS: i DDoS Protector, i firewall e gli IPS dedicati prevengono in tempo reale attacchi volumetrici e application-based.
Monitoraggio della user activity: lo UserCheck fornisce notifiche in tempo reale agli utenti quando interagiscono con applicazioni o contenuti sensibili o si comportano in modo contrario alle policy. Identità e registrazione group-based.
Gestione della vulnerabilità: l’IPS può essere sfruttato per bloccare l’exploit di vulnerabilità note durante il processo di patch. SandBlast identifica e previene attacchi avanzati e sconosciuti su cloud, rete, endpoint e dispositivi mobili.
Disaster Recovery: alta disponibilità virtuale e fisica per prevenire singoli errori, incluso ClusterXL e opzioni di supporto per protocolli di dynamic routing e fail-over per trasferire il traffico ai sistemi con tempi di risposta più rapidi.