La normativa privacy non ha solo introdotto un approccio integrato alla protezione dei dati personali e sensibili ma ha anche incentivato l’adozione di buone prassi per ridurre il rischio di data breach: una su tutti l’approccio di valutazione e di successivo intervento basato sull’analisi dei rischi.
Anche se inizialmente si è verificata una maggiore attenzione alle tematiche di data privacy dal punto di vista della compliancy coinvolgendo le strutture “legal”, progressivamente la legislazione è stata meglio compresa e applicata, tanto da coinvolgere altre figure dell’azienda: dai tecnici, alle strutture operative. E se l’implementazione ha subìto adozioni a comparti stagni, è oggi noto come sia necessario un intervento organico nell’organizzazione a livello di tutte le funzioni aziendali chiamate a partecipare al programma di tutela dei dati che rientrano nella privacy.
Indice degli argomenti
GDPR: lo scenario e l’importanza della privacy
La data privacy è un tema importante per tutte le organizzazioni ed i C-level: i dati influenzano la presa di decisioni e i dati che rientrano nella privacy devono essere protetti da accessi indesiderati per la loro salvaguardia e per quella dei soggetti interessati.
Il GDPR non ha introdotto solo un cambio normativo della legge, ma ha modificato totalmente l’approccio alla privacy che è ora basato su verifiche e controlli ex-post a valle di un data breach e non più su misure imposte ex-ante e uguali per tutti. Ciascuna azienda, sulla base di una valutazione dei rischi, può adottare misure adeguate al profilo di rischio risultante, ai mezzi economici e organizzativi contestuali e pianificare interventi crescenti bilanciando rischi e misure di salvaguardia proporzionate. I responsabili privacy devono dimostrare di aver scelto e messo in campo misure ‘adeguate’ al rischio privacy dei soggetti interessati (secondo il principio di accountability).
Questa differenza sostanziale non è stata inizialmente percepita, se non sottovalutata in alcuni casi. Oggi questa consapevolezza è maggiormente radicata con la conseguente attenzione al tema privacy riflessa anche nella vita di tutti i giorni, tanto che i cittadini stessi hanno capito di avere dei diritti e la possibilità di esercitarli.
A supportare la maggiore consapevolezza e sensibilizzazione è stato il tema della privacy e del GDPR apparso in notiziari e approfondimenti, in occasione di multe da parte del Garante della Privacy e di data breach che si verificano spesso, nonché la gestione dei dati sanitari salita alla ribalta in occasione della pandemia della Covid-19.
Enrico Salvatori, CyberRes data privacy & protection Director commenta: “la privacy è e rimarrà un tema fondamentale nei vari board, al pari della cyber resilience e da tenere altamente in considerazione come parte integrate della trasformazione digitale e dei nuovi modelli di business associati a questa trasformazione. Certo la sua implementazione dipende anche dal livello di maturità delle aziende e dalla loro awareness rispetto ai data breach tanto che assistiamo ad una situazione di mercato ancora molto variegata. Però il tema privacy comincia ad esser visto come una opportunità per prendersi cura dei clienti e attirarne di nuovi. Ci sono aziende sul mercato che hanno cominciato a pubblicizzare la loro gestione dei dati personali per creare fiducia nei consumatori”.
Le sfide alla data privacy
La rivisitazione dei processi e dell’organizzazione e l’assunzione di precise responsabilità per tutte le figure coinvolte nel processo di gestione dei dati personali sono solo alcune delle sfide che il GDPR ha generato, insieme alla accountabillity (responsabilizzazione) che richiede un cambio culturale significativo nell’ottica di un coinvolgimento di responsabilità end-to-end.
Dal punto di vista tecnologico, considerando la numerosità di dati, le loro diverse tipologie (dati strutturati, non strutturati, testo, audio, immagini e video) e la quantità di repositories che contengono dati personali sia nei datacenter che nel cloud, una delle maggiori criticità è rappresentata dalla “discovery dei dati personali” (ricerca e individuazione dei dati di interesse n.d.r.) che diventa un procedimento critico.
Alcune tecnologie, tuttavia, possono supportare la navigazione nelle “acque di queste complessità”. Ma se la discovery rappresenta lo step iniziale abilitante alla governance del dato personale, non è meno importante come si procede successivamente: la classificazione dei dati, infatti, consente la scelta ed implementazione di policies per il governo e per l’implementazione dei principi relativi al trattamento delle diverse categorie di dati identificati.
La data minimization, la storage limitation, la protezione e la retention sono concetti fondamentali che implicano consapevolezza nella gestione del dato per mantenere, cancellare, anonimizzare, proteggere e di chi può accedervi.
In tema di gestione dei diritti dei soggetti interessati, la portabilità del dato ed il diritto all’oblio sono aspetti che implicano l’adozione di processi e strumenti a supporto in grado di automatizzare le richieste e associare le persone con i relativi dati personali con la possibilità di verificare se e quando questi dati possono essere effettivamente cancellati.
Proprio la cancellazione è un ulteriore elemento critico.
La “over retention”, ossia l’attitudine a non cancellare nulla, può non essere scontata né culturalmente né tecnologicamente, ma anche in questo, caso esistono strumenti che tecnicamente sono in grado di gestire il processo di cancellazione. Su questi temi Enrico Salvatori aggiunge: “Le prassi di protezione di pseudonimizzazione e di cifratura non sempre sono implementate in modo completo, in quanto la cifratura può avere ha un impatto dal punto di vista architetturale. Quando parlo di cifratura mi riferisco a soluzioni che cifrano il dato ‘at rest’ mantenendone il formato. La cifratura rappresenta l’unica soluzione che salvaguarda dal data breach o dall’accesso non autorizzato. Consiglio in questi casi di usare strumenti certificati per la cifratura del dato e non per il contenitore che li ospita; è importante che non si verifichino impatti rilevanti sulle performance. Insomma, occorre la sicurezza massima del trattamento del dato personale da quando questo ‘entra’ nell’organizzazione fino a quando, dovrà essere cancellato o anonimizzato. Aggiungo anche che all’accesso ai dati personali dagli amministratori di sistema rappresenta una sfida importante. In generale tutte le criticità dovrebbero essere indirizzate con un adeguato framework organizzativo, tecnologico e di processo”.
Best practices per la privacy by default
Qualsiasi nuova iniziativa in tema di data privacy e privacy by default per essere efficace dovrebbe essere concepita come un elemento del DNA aziendale. Se la privacy deve essere centrale per l’azienda allora la si deve considerare per ogni nuova iniziativa come una priorità. Ogni cambio di applicativi e di servizi di business, che avviene nell’infrastruttura, dovrebbe considerare l’impatto potenziale sulla privacy dei dati.
Grazie alla corretta gestione del trattamento dei dati è quindi possibile istruire un processo di change management in grado di analizzare gli impatti che un servizio o un’applicazione può avere sui dati personali.
Un processo di change management adeguato comprende la valutazione della governance degli accessi alle informazioni (Identity Access Governance) e del ciclo di vita applicativo che include anche la gestione dei dati di test mediante anonimizzazione e data masking per realizzare una sorta di processo “Development, Security Privacy Operation” (DevSecPriOps), per giungere alla Data Centric Security.
Gli effetti sono significativi anche in termini di protezione dei dati dei clienti e fornitori e questo accorgimento può produrre effetti di tutela nella supply chain e rappresentare quindi un volano di business. Stefano di Capua – CyberRes Data Privacy & Protection Presales Manager – spiega che l’approccio della Data Centric Security è alternativo rispetto a metodiche di protezione dei dati generiche (es. cifratura del file system o del database) perché prevede che ogni singolo record possa essere protetto mantenendo il proprio formato originale, cifrandone volendo solo una parte per renderlo immune ad un eventuale furto di dati ma utilizzabile per analisi e Business Intelligence, garantendo la continuità applicativa e l’integrità referenziale dell’informazione (esempio: Stefano in chiaro viene sempre cifrato in Xfdgsop). Questo garantisce la sicurezza intrinseca, atomica, dell’informazione e allo stesso tempo riduce l’impatto dell’adozione delle tecnologie di data encryption in ambienti di produzione.
La roadmap da seguire
In termini di roadmap ideale per una organizzazione che non ha alcuna misura tecnica implementata si dovrebbe partire dalla discovery e classificazione dei dati; segue la valutazione del rischio in funzione della tipologia e numerosità dei dati al fine di prioritizzare gli interventi di mitigazione del rischio.
Delimitata quindi l’area di intervento, la prima azione di mitigazione dovrebbe essere quella di cancellare tutto quanto non sia più necessario, come i dati duplicati, obsoleti o non strettamente necessari al business o per i quali non si ha una base legale per il trattamento.
Il passo successivo dovrebbe essere quello di anonimizzare i dati di test e proteggere con la cifratura quelli di produzione. Enrico Salvatori aggiunge: “l’approccio alla “data centric security” garantisce un dato protetto mediante cifratura, dal momento in cui entra nei sistemi aziendali e lungo tutto il suo ciclo di vita. Una cifratura che mantenga il formato originale (Format Preserving Encryption) e riconoscibile nella sua natura consenta di mantenere l’integrità referenziale tra i dati. Ad esempio, una data cifrata è pur sempre una data, una carta di credito cifrata sembra una vera carta di credito. Un approccio ‘zero trust’ è un ulteriore punto di partenza per una corretta gestione degli accessi alle informazioni personali. Un approccio non più legato solo al ruolo ma anche al rischio dell’utente”.
Approccio zero trust
Con questo termine “Zero Trust” si indica la reale necessità per le organizzazioni di governare e monitorare in modo snello l’accesso alle informazioni, per ridurre i rischi legati ai data breach e le relative conseguenze dirette e indirette, ad esempio violazione dei diritti degli interessati o di altre normative o policy. Secondo l’approccio Zero Trust che si applica alle identità digitali, vige il principio del “least privilege” secondo il quale “nessuno accede ad una risorsa a meno che non sia necessario e non sia quindi esplicitamente autorizzato”.
Il least privilege, adeguata alla capacità di investimento dell’organizzazione, alle risorse disponibili e al livello di maturità significa:
- localizzare e classificare le informazioni in base alla sensibilità e alla criticità e le modalità con cui sono condivise;
- profilare adeguatamente gli utenti interni ed esterni in base al ruolo ed assegnare i privilegi di accesso in modo granulare e dinamico in base all’effettiva necessità d’uso;
- assicurare modalità di accesso multicanale sicure, tramite autenticazione multifattore e prevenzione dei furti d’identità (es. analisi comportamentale con ML/AI);
- tracciare e monitorare gli accessi, soprattutto quelli amministrativi e mantenere un’adeguata postura di sicurezza nel tempo in base alle dinamiche organiche ed inorganiche del personale (cambi mansione, dimissioni, assunzioni, M&A ecc.).
Quindi l’esigenza operativa consiste nell’inserire controlli per garantire la coppia identità /dati acceduti, in modo efficace ed efficiente e senza blocchi alle attività di business. Le prassi base in questo senso sono riconducibili all’identity management, identity governance ed all’access management.
La strategia Zero Trust non è una responsabilità puramente tecnica in capo al CISO o all’IT Manager, bensì una tematica da consiglio di amministrazione, che si lega in continuità al Data Management & Protection per scopi cogenti di cyber resilience e conformità normativa.
Per chi si domanda cosa arriverà dopo il trend dello Zero Trust Stefano di Capua suggerisce di non pensare ad un cambiamento del concetto in sé ma piuttosto delle modalità con cui sarà implementato in funzione delle tecnologie future: “si pensi all’uso dei firewall di qualche anno fa, ed alla sua evoluzione secondo le tecnologie abilitanti; credo sarà lo stesso con lo Zero Trust affinché resti dinamico, automatico ed efficace per garantire l’accesso giusto a chi lo deve avere. Si potrà forse fare uso di analisi comportamentale, ad esempio, o far gestire gli accessi in modo più intelligente ed adattabile dato che le informazioni possono essere distribuite e potrebbero trovarsi duplicate; si potrà garantire che la granularità degli accessi si adegui a questa gestione ibrida del dato magari federando diversi ambienti perché le politiche potranno essere cross vendor” (per saperne di più).
Contributo editoriale sviluppato in collaborazione con CyberRes
