I benefici della crittografia nell’adeguamento al GDPR
Fin dalla sua entrata in vigore, il GDPR è stato oggetto di discussione, analisi e confronto. Da molti viene considerato una normativa talmente soggettiva e articolata da non consentire una reale e piena conformità.
Tra gli elementi che probabilmente mancano nella norma vi è una regolamentazione chiara relativa alla crittografia dei dati.
Il comma 3 dell’articolo 34 del GDPR stabilisce che in caso di violazione dei dati personali, l’azienda non è obbligata a comunicare la violazione ai soggetti interessati se sono state applicate misure come la crittografia per rendere intellegibili i dati violati.
Per dirla in modo più semplice, se tutti i dati sono crittografati a ogni livello, saranno praticamente immuni alla definizione stessa di “data breach”, ai sensi del GDPR.
Gli effetti di questo particolare aspetto sono rivoluzionari. Se Verizon ha rilevato 1.935 violazioni dei dati nel solo 2017, gli attacchi informatici e i data breach sono ormai diventati una componente ordinaria delle attività quotidiane, tanto che molti concorderebbero sul fatto che sia impossibile essere totalmente sicuri in uno scenario di minacce in continua evoluzione. Però, implementare una corretta infrastruttura in grado di supportare la crittografia end-to-end dei dati in transito può annullare i timori legati a sanzioni, cause legali e danni alla reputazione.
Anche per questo, il modello di sicurezza deve cambiare, passando da un approccio di “fortezza impenetrabile” a uno che consenta il trasferimento sicuro dei dati verso altri luoghi, tra cui ad esempio il cloud.
Adeguarsi alla normativa non è semplice, non lo è stato e non lo sarà, perché comporta un cambiamento nelle logiche e nelle prospettive del modo stesso in cui si affronta il tema della gestione della sicurezza e del rischio.
La crittografia end-to-end è l’unica strategia di protezione realmente conforme alle normative, che garantisce la salvaguardia dei dati dei clienti, ovunque si trovino, compreso il momento del loro transito in rete, per essere nella sostanza immuni ai data breach e alle loro conseguenze.
Certo, la crittografia non è l’unico elemento da tenere in considerazione nell’ottica di una strategia efficace di protezione dei dati, finalizzata alla conformità al GDPR. Ma di certo è un ottimo punto di partenza per le organizzazioni di ogni dimensione che intendono mettersi in sicurezza anche rispetto a possibili violazioni alla normativa.
Questo vale anche e soprattutto per chi è tuttora in ritardo nell’applicazione di misure correttive. Nel nostro paese, ad esempio, la consapevolezza dei rischi da parte delle aziende non è ancora così omogenea.
Le piccole e medie imprese hanno avuto una percezione inferiore dei rischi e molte si sono attivate in ritardo, trovandosi a rincorrere l’adeguamento.
Le aziende di dimensioni più grandi, invece, grazie anche a un’infrastruttura di base più consolidata, si sono mosse con discreto anticipo per la revisione e adeguamento dei processi. Molte hanno inserito la figura del Data Protection Officer, responsabile delle attività relative a elaborazione e gestione delle informazioni.
Le aziende che sviluppano soluzioni di protezione e storage dei dati hanno il compito di fornire non solo tecnologie performanti che aiutino le imprese a innovarsi nel completo rispetto di tutte le norme in vigore, ma è importante che ricoprano anche un ruolo consulenziale nell’affrontare al meglio la complessità IT.
L’uso comune di storage All-Flash nei datacenter non può andare di pari passo con la necessità di implementare l’encryption End-to-End (E2EE) in quanto questi sistemi si affidano in maniera molto pesante alla possibilità di ridurre il volume dei dati tramite la deduplica per ottenere alte prestazioni ad un costo il piu possibile contenuto; l’encryption pregiudica l’uso della deduplica portando ad una moltiplicazione della capacità reale dello storage e di conseguenza producendo una crescita elevata dei costi di acquisizione.
Pertanto, minimizzare la dipendenza dalla deduplica è l’unica opzione per ottenere un costo per terabyte accettabile quando si utilizza la crittografia.
Le organizzazioni devono comprendere il valore dell’adozione di un approccio storage software-defined, con l’utilizzo di soluzioni tecnologicamente avanzate che permettano di raggiungere il livello di protezione dei dati richiesto e siano efficaci nell’affrontare l’evoluzione costante delle minacce IT.
Inoltre, per restare competitive, è importante che le imprese valutino sempre nella progettazione di un’infrastruttura la possibilità di implementare soluzioni che abilitino la crittografia end-to-end perché qualsiasi scelta infrastrutturale che non la preveda porterà solamente ad un limite tecnologico con conseguente perdita di profitto nella nuova era della protezione dei dati personali.