Il GDPR va bene o è una multa? Il salto dalla Preparazione Minima Vitale (MVP) alle Misure Minime Difendibili (MDM)

Molte organizzazioni hanno adottato quello che è meglio descritto come un approccio MVP (Minimum Viable Preparation) nel periodo precedente all’entrata in vigore del GDPR nel maggio 2018. Ciò era comprensibile data la generale mancanza di indicazioni chiare, i costi e i disagi di una preparazione approfondita, l’incertezza sull’impatto della Brexit e i messaggi contrastanti sull’applicazione.

Non è successo molto per un anno, durante il quale a molti è sembrato che MVP fosse la decisione giusta. Tuttavia, le sanzioni recentemente proposte per BA e Marriot (rispettivamente 183 milioni di sterline e 92 milioni di sterline), sembrano aver spinto le organizzazioni a rivalutare l’approccio e a rivedere la loro posizione in materia di conformità.

Il GDPR ha un impatto su diverse aree: Ad esempio, i diritti degli interessati, la sicurezza dei dati, la legittimità del trattamento e l’interazione con il marketing (PECR). Sebbene sia auspicabile affrontare tutti questi aspetti, in quali ambiti le organizzazioni dovrebbero concentrare i propri sforzi? Finora le multe più salate proposte sono state quelle relative alla sicurezza dei dati e alle violazioni dei dati personali. Questo ha senso, perché se da un lato la liceità del trattamento è molto importante, dall’altro la perdita per negligenza di dati personali nelle profondità del dark web è un evento calamitoso. Questo vale indipendentemente dal fatto che i dati siano stati trattati in modo lecito o meno.

Il regolamento stesso non è così specifico su come le organizzazioni debbano proteggere i dati personali. Ad eccezione di una manciata di tecnologie, si è optato per la formula “misure tecniche e organizzative adeguate” – il “Principio di sicurezza”. Il principio è stato concepito per eliminare la difesa della lista di controllo e per rimanere sempre attuale sia come guida che come test normativo. In pratica significa che, in caso di violazione, dovrai essere in grado di dimostrare che la tua sicurezza era adeguata ai rischi del trattamento dei dati e all’attuale contesto di minaccia. Tenendo conto di ciò, vediamo che le organizzazioni si stanno spostando verso una mentalità più MDM (Misure Minime Difendibili).

Questo ci porta a un’area di difesa fondamentale: Il firewall. “Tutti hanno un firewall. Il problema è che i firewall tradizionali operano a livello di rete, ma la maggior parte degli attacchi avviene a livello di applicazione. I firewall di rete tradizionali non sono in grado di ispezionare queste minacce, quindi non sanno come bloccarle. Un WAF può farlo. Anche il traffico criptato.

Un WAF è un firewall per applicazioni web.

Sono appropriati, convenienti e funzionano. Ne consiglio vivamente uno. I nostri sono anche molto facili da usare.

edgeNEXUS semplifica notevolmente la creazione, la protezione e il mantenimento di un’esperienza di distribuzione delle applicazioni eccezionale.

La complessità riguarda il codice sorgente. Non per l’interfaccia utente.

edgeNEXUS semplifica notevolmente la creazione, la protezione e il mantenimento di un’esperienza di distribuzione delle applicazioni eccezionale.

 

 

 

 

 

 

 

 

 

 

About John Payne