GDPR, l'importanza della Crittografia dei dati in mobilità

Pubblicato il: 21/03/2018
Redazione ChannelCity

Kingston Technology spiega come con il nuovo GDPR diventa ancora più importante integrare l’uso dei drive USB crittografati all’interno della strategia di protezione del dato.

Immaginate uno scenario quadi quotidiano. Un dipendente che copia da dati da un PC in ufficio su un drive USB, per effettuare un backup, oppure per portarsi il lavoro a casa, oppure ancora per fare una presentazione.
Il dipendente lascia l’ufficio e, mentre sta rientrando a casa, il drive USB scivola fuori dalla sua tasca. I dati contenuti nel drive non sono stati crittografati, e pertanto sono accessibili a chiunque trovi il drive e decida di connetterlo a un computer.
Questo è lo scenario tipico, emerso da un recente sondaggio, che capita alla maggior parte di coloro che smarriscono un drive USB. Nel migliore dei casi lo smarrimento di un drive USB è una semplice scocciatura. Ma se all’interno del drive USB erano stati archiviati dati personali o confidenziali, allora il discorso cambia.
Il 25 maggio 2018 l’attuale quadro normativo vigente in materia di protezione dei dati, risalente al 1995, sarà sostituito dal regolamento generale sulla protezione dei dati dell’Unione europea (EU GDPR). L’obiettivo del regolamento GDPR è quello di rafforzare la protezione dei dati personali per i cittadini dell’UE, attraverso il cosiddetto “diritto all’oblio” e nel rispetto di una legislazione sulla protezione dei dati personali che sia adeguata alle esigenze future all’interno dell’UE.
Il nuovo regolamento rappresenta anche uno sforzo per unificare tutte le differenti legislazioni nazionali, eliminando confusione, sovrapposizioni e differenze. Ciò significa che le organizzazioni dovranno adottare misure ancora più rigide per evitare qualunque rischio di divulgazione, di perdita o di furto dei dati. Le sanzioni previste per la perdita di dati come nomi, date di nascita, dati bancari o cartelle mediche possono ammontare fino al 4% dei profitti globali di un'azienda, oppure fino all'equivalente di 20 milioni di Euro, in base all’ammontare più elevato. Inoltre, in caso di compromissione dei dati personali, sarà necessario notificare l’accaduto ai soggetti coinvolti e all’autorità specifica preposta al controllo dell’osservanza del regolamento.
Ciò significa che, in caso di violazione dei dati, oltre al costo diretto, come sanzioni pecuniarie o tasse legali, per esempio, sorgeranno automaticamente anche costi diretti derivanti da pubblicità negativa, perdita di fiducia da parte dei clienti, con una conseguente perdita di profitto. Per questo motivo le organizzazioni dovranno attuare una verifica e un controllo dei loro processi e delle regole IT interne, apportando le modifiche del caso.
Uno degli elementi di rischio più sottovalutati risiede nell’uso di drive USB aziendali non crittografati. A una prima e superficiale analisi potrebbe sembrare che l’impiego dei drive USB sia in declino. Tuttavia, da un recente sondaggio relativo all’uso dei drive USB, è emerso che circa il 90% dei rispondenti utilizzava almeno un drive USB per motivi professionali. Tra questi, il 44% ha dichiarato di aver perso uno o più drive utilizzati sul posto di lavoro (l’indagine indica che il 50% di tali drive è semplicemente andato perduto, l’11% è stato rubato e nel 39% dei casi non era chiaro cosa fosse accaduto).
Un altro preoccupante dato emerso dall’indagine è stato che circa la metà dei dipendenti intervistati ha dichiarato di utilizzare drive USB su cui venivano salvati sia dati personali che aziendali.
Dalle altre domande è emerso che in circa un quinto delle aziende intervistate i dipendenti avevano l’abitudine di salvare dati sensibili sui drive USB.
Tuttavia, il 93% dei rispondenti ha dichiarato anche di non utilizzare alcuna forma di crittografia hardware per i drive USB in uso. Dall'analisi di questi dati emerge che la mancanza di attenzione da parte di organizzazioni e dipendenti verso il modo in cui vengono utilizzati i drive USB costituisce un pericolo concreto per le aziende. Naturalmente migliorare le reti e il livello di sicurezza informatica all’interno delle aziende si rivela un processo lungo e arduo per qualsiasi reparto IT, in quanto hacking e ransomware costituiscono un problema in crescente diffusione. Tuttavia, in un mondo in cui la mobilità diventa sempre più importante, e dove spesso i dipendenti lavorano dalla propria abitazione o in ambienti BYOD, vale a dire utilizzando i propri dispositivi personali, per le aziende sorge la necessità di migliorare gli aspetti della sicurezza associati alla gestione dei dati in mobilità.

Al fine di garantire la conformità al regolamento GDPR dell’UE in materia di dati mobili, le aziende dovrebbero prendere in considerazione i cinque passi illustrati di seguito.
In primo luogo, è molto importante che le aziende acquisiscano un’adeguata comprensione del nuovo regolamento e delle relative implicazioni.
In secondo luogo, è necessario determinare quali dati personali e sensibili sono gestiti in seno all’organizzazione, chi ha accesso a tali dati e quali di questi dati potrebbero essere usati all'esterno dell’organizzazione.
Una volta verificati i punti di cui sopra, la terza fase sarà quella di delineare una strategia di gestione dei dati, nonché definire le regole finalizzate a determinare chi può accedere ai dati e da quale dispositivo.
La fase successiva si concentra sul tipo di tecnologie utilizzate. Ed è qui che entrano in gioco i drive USB. Il regolamento GDPR dell’UE non specifica quale tecnologia utilizzare per proteggere i dati personali, ma cita la crittografia come uno degli strumenti utilizzabili a tal fine.
I drive USB crittografati spesso costituiscono un’alternativa sensata, efficace ed economica per proteggere i dati in mobilità. Le aziende devono infine assicurarsi che il loro personale sia a conoscenza del nuovo regolamento, e che vengano osservate le norme relative alle buone prassi in materia di tutela dei dati, unitamente all’utilizzo delle tecnologie più idonee. Durante questa fase è altresì importante ricordare che tali raccomandazioni e procedure non sono applicabili unicamente ai dati che si vogliono proteggere sotto il mero profilo legale, ma anche ai dati sensibili che necessitano di protezione sotto il profilo commerciale.
Al fine di garantire che le aziende siano in grado di operare in conformità al regolamento GDPR dell’UE, Kingston Technology mette a disposizione un’ampia gamma di drive USB crittografati di classe aziendale dal costo accessibile (DTVP 3.0), dotati di sicurezza elevata (DT4000 G2), e drive con tastierino numerico (DT2000).
Inoltre Kingston vanta una linea di prodotti a marchio IronKey, recentemente acquisito, per offrire soluzioni con certificazione FIPS 140-2 di Livello 3, destinate alle organizzazioni che necessitano di elevati livelli di crittografia e sicurezza. Inoltre DataLocker, azienda produttrice di software partner di IBM, offre soluzioni come SafeConsole e piattaforme EMS (Enterprise Management Services) utilizzate sui drive Kingston e IronKey.

Entrambe le soluzioni consentono agli amministratori IT di gestire in modo centralizzato i drive USB crittografati, per adeguarsi ai requisiti di compatibilità e fornire allo stesso tempo un maggior livello di supporto. Le funzionalità offerte includono la possibilità di impostare una password da remoto, configurare le password e le regole di accesso ai dispositivi, attivare gli audit di verifica della conformità, disattivare un drive da remoto e tanto altro ancora.
Come già specificato in precedenza, la crittografia dei dati personali rappresenta, allo stato attuale, l’alternativa più avanzata per garantire la sicurezza dei dati personali. La crittografia dei dati personali non deve necessariamente essere un processo complicato. I nostri drive USB crittografati, infatti, effettuano il processo di codifica in maniera del tutto trasparente. Gli utenti devono interagire con il processo crittografico solo quando, collegando un drive a un computer, viene loro richiesto di inserire la password. La procedura non richiede alcuna competenza tecnica, e ciò rende la soluzione molto semplice da implementare e da utilizzare.
La semplicità di utilizzo rappresenta un fattore essenziale, in quanto le soluzioni eccessivamente complesse accrescono le probabilità che i dipendenti si rifiutino di utilizzarle.
Investendo in drive USB con crittografia hardware con protocollo AES a 256-bit, le aziende possono fare un piccolo ma importante passo in termini di conformità ai requisiti del regolamento GDPR dell’UE. Nonostante si tratti di un tema non molto noto ad alcune organizzazioni, Kingston è in grado di aiutare le aziende a raggiungere i loro obiettivi di conformità al regolamento GDPR, garantendo una transizione fluida dalle vecchie normative alle nuove regole in materia di tutela dei dati.

Categorie: Vendor

Cosa pensi di questa notizia?

Area Social