Previous Page  49 / 53 Next Page
Information
Show Menu
Previous Page 49 / 53 Next Page
Page Background

SPECIALE GDPR

GDPR: L’EQUILIBRIO IDEALE

TRA COMPLIANCE E SICUREZZA

A cura di Luca Maiocchi, Regional Director Italy, Proofpoint.

I professionisti IT e della sicurezza sono

sempre più preoccupati del possibile im-

patto negativo sui programmi di security

di normative di compliance sempre più

rigide, come il prossimo EU General

Data Protection Regulation (EU GDPR).

Ma rispondere alle normative e adottare

best practice in tema di cybersecurity

non devono per forza essere attività che

vanno in contrasto tra loro. Di seguito,

andremo a esplorare le differenze tra

conformità e sicurezza, oltre che a in-

dicare come i team di security possono

sfruttare a loro vantaggio le normative

di compliance.

La compliance non garantisce sicurezza

Solo perché un’azienda è a norma, non

vuol dire che sia per forza anche sicura. Le normative pun-

tano a cambiare il comportamento delle aziende applican-

do regole per la gestione di tipologie specifiche di dati,

transazioni o processi. Per esempio, la normativa Payment

Card Industry Data Security Standards (PCI DSS) punta ad

aiutare le istituzioni finanziarie a

“proteggere i loro sistemi di

pagamento dal furto di dati relativi ai possessori di carte”,

mentre la nuova EU GDPR intende

“proteggere e potenzia-

re la data privacy di tutti i cittadini dell’Unione Europea, e

ridisegnare il modo in cui le organizzazioni nella regione

affrontano la riservatezza dei dati”.

Ogni area di business è differente, e presenta una serie spe-

cifica di rischi e attività di controllo legate alla cybersecurity

che i team interni saranno chiamati ad affrontare. La spinta

migliore per ogni programma di sicurezza, idealmente, do-

vrebbe essere l’implementazione di best practice, framework

e standard di security. Ma il mondo reale è soggetto alla

conformità, e le normative spesso finiscono per passare in

primo piano. Perché? Ecco tre tra i motivi principali:

Impatto sul business.

Non essere in grado di rispettare le

normative porta con sé un impatto sul business decisamente

reale, oltre che quantificabile: i regolatori hanno la facoltà di

assegnare multe e sanzioni che possono penalizzare in con-

creto la capacità di operare delle aziende. Inoltre, secondo

il GDPR, le organizzazioni che riscontrano una violazione

di dati personali in ambito UE dovranno renderla nota alla

loro Data Protection Authority. La comunicazione pubblica

di violazioni (e di mancata conformità) può danneggiare

la brand reputation di un’azienda e, in ultima analisi, il suo

fatturato. Si tratta di un costo diretto, ovvero una situazio-

ne del tutto differente rispetto ad altre

minacce di cybersecurity applicate al

business, dove il rischio percepito di un

impatto sul business è basso e l’impatto

potenziale non può essere quantificato.

Coinvolgimento del business.

Di fron-

te a sanzioni importanti e alla possibi-

le interruzione delle attività, non è una

sorpresa che il management e i consigli

di amministrazione stiano dando priorità

ai requisiti normativi del GDPR. Il board

comprende i rischi di una mancata con-

formità, e allo stesso modo ha chiaro

cosa debba essere fatto per prevenire

multe potenziali.

Budget.

La conformità spinge a definire

le priorità di business e, parallelamente,

porta con sé investimenti sostanziali sui

processi di controllo necessari a fare sì che l’organizzazio-

ne possa essere dichiarata conforme. Dato che l’impatto

potenziale di una mancata conformità è quantificabile, ed

il board di un’azienda è ormai impegnato e consapevole

in tema di normative, diventa molto più probabile che il

business possa allocare risorse su progetti che intendono

risolvere falle normative.

Fare leva sulla compliance per innalzare il livello di sicurezza

I professionisti IT e della sicurezza possono sfruttare le nor-

mative per far crescere la necessità di best practice di

sicurezza: includere i requisiti normativi in un più ampio

scenario dei rischi relativi alla cybersecurity renderà il bu-

siness maggiormente consapevole rispetto agli altri rischi

che potrebbero colpire le attività. Per esempio, i team di

sicurezza possono fare leva sul GDPR per promuovere altre

best practice legate alla data security.

Le normative sono un’opportunità importante per i team IT

e di sicurezza per catturare l’attenzione dei loro board,

incrementare la necessità di buone pratiche di sicurezza

e garantire i budget necessari per definire e implementare

nuove roadmap e strategie di cybersecurity. Insieme alla

compliance, la cybersecurity diventa una priorità assoluta

negli obiettivi che il business si trova ad affrontare.

ADVERTORIAL

www.proofpoint.com

Luca Maiocchi, Regional Director Italy,

Proofpoint

1 42 43 44 45 46 47 48 49 50 51 52 53  FlippingBook