Le dieci azioni da fare per implementare bene il GDPR


novembre 30, 2017 Facebook Twitter LinkedIn Google+ gdpr,Privacy,Sicurezza informatica


Le dieci azioni da fare per implementare bene il GDPR

Fra sei mesi in tutta la UE entrerà in vigore il GDPR, il regolamento generale sulla protezione dei dati personali (General data protection regulation – GDPR) rafforzando e unificando la protezione dei dati per le persone fisiche e dando loro il controllo dei loro dati personali.

Il GDPR stabilisce la sanzione massima per una violazione al 4% delle entrate dell’azienda.

Per aiutare i professionisti della cybersecurity e della privacy a prepararsi per un futuro in cui le loro organizzazioni saranno sempre più ritenute responsabili dei dati sui consumatori che raccolgono, analizzano e vendono, riassumiamo lo stato attuale dei più importanti strumenti pratici di protezione dei dati.

Come attuare il GDPR
Protezione dei dati cloud. La crittografia dei dati sensibili va fatta prima che vengano trasferiti al cloud con l’azienda (non il provider cloud) che mantiene le chiavi. Aiuta a rimuovere alcuni dei principali ostacoli all’adozione in-the-cloud: sicurezza, conformità e problemi di privacy.

Tokenizzazione. Usare un token per dati sensibili come numeri di carta di credito, di conto corrente bancario e della previdenza sociale. La mappatura del token viene memorizzata in un database. A differenza della crittografia, non esiste una relazione matematica tra il token e i dati originali; per invertire la tokenizzazione un hacker dovrebbe avere accesso al database di mappatura.

Crittografia dei dati di grandi dimensioni. L’uso della crittografia e di altre tecniche di offuscamento per oscurare i dati nei database relazionali e quelli memorizzati nelle architetture informatiche distribuite delle grandi piattaforme di dati, per proteggere la privacy personale, consente di raggiungere la conformità e ridurre l’ impatto degli attacchi informatici e delle fughe accidentali di dati.

Governance dell’accesso ai dati. Dare visibilità a dove esistono i dati sensibili, ai permessi e alle attività di accesso ai dati, consentendo alle organizzazioni di gestire i permessi di accesso e identificare i dati sensibili.

Gestione dei diritti di consenso/di protezione dei dati. Gestire il consenso dei clienti e dei dipendenti, nonché far valere i loro diritti sui dati personali che condividono, consentendo alle organizzazioni di cercare, identificare, segmentare e modificare i dati personali se necessario.

Soluzioni di gestione della privacy dei dati. Queste piattaforme aiutano a rendere operativi i processi e le pratiche di privacy, supportando la privacy fin dalla progettazione e soddisfacendo i requisiti di conformità e avviando flussi di lavoro verificabili.

Rilevazione dei dati e mappatura del flusso. Scansione degli archivi e delle risorse per identificare i dati sensibili esistenti, classificarli in modo appropriato al fine di identificare i problemi di conformità, applicare i giusti controlli di sicurezza o prendere decisioni sull’ottimizzazione, cancellazione, archiviazione, conservazione legale e altre questioni di governance dei dati. Le funzionalità di mappatura del flusso dei dati aiutano a capire come i dati vengono utilizzati e si muovono nel business.

Classificazione dei dati. Analisi dei dati strutturati e non strutturati, alla ricerca di quelli che corrispondono a modelli predefiniti o criteri personalizzati. Molti strumenti supportano le funzionalità di classificazione guidate dall’utente e automatizzate. La classificazione è il fondamento della sicurezza dei dati, per comprendere meglio e dare priorità a ciò di cui l’organizzazione ha bisogno per proteggere. Aiuta inoltre le aziende a definire meglio come i dipendenti dovrebbero gestire i dati in modo appropriato per soddisfare i requisiti di sicurezza e privacy.

Gestione delle chiavi Enterprise. Unificazione dei diversi processi del ciclo di vita delle chiavi di crittografia su prodotti eterogenei. Le soluzioni di gestione delle chiavi memorizzano, distribuiscono, rinnovano e ritirano le chiavi su larga scala in molti tipi di prodotti di crittografia.

Crittografia a livello di applicazione. Crittografia dei dati all’interno dell’app durante la generazione o l’elaborazione e prima che siano impegnati e memorizzati a livello di database. Consente di abilitare criteri di crittografia a grana fine e protegge i dati sensibili ad ogni livello dello stack di elaborazione e memorizzazione e ovunque i dati siano copiati o trasmessi. Solo gli utenti autorizzati e autenticati possono accedere ai dati; anche gli amministratori del database non possono accedere ai dati crittografati.

Le dieci azioni da fare per implementare bene il GDPR