googletag.pubads().definePassback('/4143769/channelcity-sfondo', [1, 1]).display();

GDPR, Check Point Software Technologies suggerisce le linee di comportamento

Le cinque azioni fondamentali e le soluzioni in riferimento alle varie attività che ogni azienda dovrebbe eseguire internamente per conformarsi alla nuova normativa.

Vendor
A partire dal 25 maggio 2018 diventa effettivo in tutti gli Stati membri il Regolamento UE 2016/679, noto come GDPR (General Data Protection Regulation) relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali. Il GDPR nasce da precise esigenze, come indicato dalla stessa Commissione UE, di certezza giuridica, armonizzazione e maggiore semplicità delle norme riguardanti il trasferimento di dati personali dall’UeEverso altre parti del mondo. La normativa comprende quindi una lunga lista di protezioni, limiti e richieste di conformità, e rigide penali per chi non sarà conforme alla normativa.

Secondo quanto indicato dal white paper realizzato da Check Point Software Technologies, dal titolo: “THE EU GENERAL DATA PROTECTION REGULATION - CHECK POINT FOR EFFICIENT AND EFFECTIVE COMPLIANCE”, sono cinque le azioni fondamentali da cui un’azienda può partire per conformarsi alla normativa (per leggere il white paper completo, clicca qui).
  • identificare e nominare una persona incaricata della gestione dei dati;
  • realizzare un audit dei dati e classificarli, inclusi anche i dati di terze parti e i sistemi di back up;
  • analizzare i rischi basati sui tipi di dati, volume e sistemi di processo;
  • definire un criterio di controllo dell'attività sui sistemi in-scope, in particolare l'accesso ai dati e le attività di amministrazione, nonché una registrazione completa attraverso tutti i sistemi di protezione per identificare potenziali falle;
  • chiarire il controllo di base impostato su sistemi in-scope e definire i progetti di implementazione.
Dato che le linee guida del GDPR si basano su un approccio di valutazione del rischio in grado di garantire privacy e sicurezza, per le aziende è preferibile sfruttare metodologie esistenti che si basano su approccio risk-based, come ad esempio, la Software Defined Protection (SDP) di Check Point.
L’architettura SDP impiega, infatti, un sistema di sicurezza a tre livelli che suddivide l’infrastruttura di sicurezza nei seguenti livelli interconnessi:
  • un Enforcement Layer, basato sull’esecuzione fisica e virtuale della sicurezza, che suddivide una rete e applica la sua logica di protezione;
  • un Control Layer, che analizza diverse fonti di informazioni sulle minacce e di rischi di violazione dei dati, e genera policy e protezioni eseguite dall’Enforcement Layer;
  • un Management Layer, che predispone l’infrastruttura e registra tutte le azioni e gli avvenimenti.

La selezione delle protezioni appropriate implementate all’interno dell’Enforcement Layer adotta un approccio sul rischio associato a un episodio di sicurezza. Nel caso del GDPR, questo evento potrebbe essere la perdita o la modifica dei dati personali o una violazione della rete che consentirebbe l’accesso ai dati dell’individuo.

In linea con le best practice in materia di sicurezza informatica, Check Point offre il proprio supporto. Qui di seguito, è possibile avere una panoramica generale delle soluzioni in riferimento alle varie attività che ogni azienda dovrebbe già eseguire internamente:
  • Classificazione dati: la tecnologia DLP integrata al gateway fornisce la conoscenza dei dati personali presenti in rete, il monitoraggio dei contenuti e il blocco della trasmissione dati non autorizzati. Inoltre, Check Point Capsule Docs ERM offre strumenti per la classificazione dei contenuti.
  • Gestione delle modifiche di configurazione: SmartWorkflow and SmartLog stabiliscono i controlli di approvazione delle modifiche, registrazione complete delle modifiche di configurazione, e produzione automatica di audit-quality report.
  • Amministrazione e divisione dei compiti: la gestione della sicurezza supporta le autorizzazioni e la registrazione dettagliate in base al ruolo, per facilitare la divisione delle mansioni senza intaccare l’efficienza operativa.
  • Configurazione del sistema di sicurezza: il Compliance Blade garantisce che le definizioni della sicurezza all’interno dell’architettura siano coerenti con il GDPR aziendale.
  • Suddivisione network-based: il Next Generation Firewall basato sulla segmentazione di rete isola i dati considerati, riducendo drasticamente i rischi e i costi di conformità. La suddivisione può essere definita dall’applicazione o dai parametri dei dati, semplificandola in base alle linee guida sulla protezione dei dati.
  • Criptaggio e Pseudonomizzazione: la Checkpoint Endpoint estende la protezione dati all’interno dell’organizzazione. Il suo software blade Full Disk Encryption (FDE) crittografa gli hard drive dei computer, e Media Encryption e Port Protection (MEPP) crittografa e controlla le connessioni allo storage rimovibile. La soluzione permette anche di proteggere i documenti con la tecnologia ERM, Capsule Docs.L’accesso remoto attraverso Security Appliance e le VPN crittografate site-to-site proteggono i dati in movimento.
  • Prevenzione delle perdite di dati: la tecnologia DLP (Data Loss Prevention) è la soluzione che pone criteri standard e regole personalizzate per monitorare il contenuto e il registro attività. Il feedback in tempo reale istruisce gli utenti sulle linee guida della privacy, con il blocco facoltativo di azioni che violerebbero i controlli GDPR.
  • Prevenzione del DDoS: i DDoS Protector, i firewall e gli IPS dedicati prevengono in tempo reale attacchi volumetrici e application-based.
  • Monitoraggio della user activity: lo UserCheck fornisce notifiche in tempo reale agli utenti quando interagiscono con applicazioni o contenuti sensibili o si comportano in modo contrario alle policy. Identità e registrazione group-based.
  • Gestione della vulnerabilità: l’IPS può essere sfruttato per bloccare l’exploit di vulnerabilità note durante il processo di patch. SandBlast identifica e previene attacchi avanzati e sconosciuti su cloud, rete, endpoint e dispositivi mobili.
  • Disaster Recovery: alta disponibilità virtuale e fisica per prevenire singoli errori, incluso ClusterXL e opzioni di supporto per protocolli di dynamic routing e fail-over per trasferire il traffico ai sistemi con tempi di risposta più rapidi.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di ChannelCity.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Iscriviti alla nostra newsletter

Mantieniti aggiornato sul mondo del canale ICT

Iscriviti alla newsletter

statistiche