GDPR e crittografia, intervista a Giuseppe Gatto di ESET Italia

GDPR e crittografia, intervista a Giuseppe Gatto di ESET Italia

Intervistiamo Giuseppe Gatto, Business Development Manager di ESET Italia, e affrontiamo i complessi temi legati al GDPR e ai meccanismi di crittografia.

- La sicurezza è uno degli elementi fondamentali per garantire l’operatività delle aziende moderne, la GDPR interviene certamente in questo senso. Quale tasso di comprensione del Regolamento avete registrato presso clienti e realtà professionali?
La scadenza del 25 maggio 2018, data in cui entrerà in vigore la nuova normativa sulla protezione dei dati (GDPR), è effettivamente alle porte, eppure molte delle realtà business sia in Italia che in Europa – soprattutto le medio piccole – ancora non conoscono affatto la nuova regolamentazione oppure ne hanno solo sentito parlare. Nello specifico, secondo i dati di una ricerca condotta a livello europeo da IDC per ESET su un campione di 700 aziende medio piccole, il 52,5% degli intervistati sono a conoscenza della nuova normativa ma non hanno una chiara visione sull’impatto che questa avrà sull’organizzazione interna all’azienda; il 25,3% dichiara di non conoscere affatto la nuova normativa mentre solo il 22,2% ne è a conoscenza e ha una chiara visione sull’impatto che questa avrà sull’organizzazione aziendale. Un quadro dunque poco incoraggiante, considerato che il GDPR richiederà la definizione di un nuovo insieme di processi aziendali che andranno studiati e analizzati per tempo; sarà quindi necessario fare scelte ponderate e non farsi trovare impreparati quando la normativa entrerà ufficialmente in vigore.

- Secondo la Vs. opinione, quali saranno gli aspetti più critici da interpretare e mettere in atto per le aziende?
Un aspetto delicato del GDPR sul quale si sta discutendo molto è quello legato al Data Protection Officer (DPO), nuova figura introdotta dalla normativa che rivestirà un ruolo cruciale in azienda poiché dovrà verificare l’attuazione e l’applicazione del Regolamento, lavorando a stretto contatto con il titolare ed il responsabile del trattamento dei dati. Il DPO dovrà avere competenze trasversali, da quelle giuridiche e tecniche alle economiche ed organizzative e non dovrà ricoprire altri ruoli in azienda. Ma come andrà individuato? Dovrà essere presente solo nelle grandi realtà di business o anche nelle pmi? Come verrà effettivamente inquadrato all’interno dell’azienda? Per rispondere a queste e ad altre domande sarà probabilmente necessaria una integrazione normativa che dia indicazioni aggiuntive in merito.

- GDPR, quali consigli vi sentireste di dare alle aziende per non farsi trovare impreparate?
Il GDPR assegna alla tecnologia un ruolo fondamentale per proteggere le informazioni che possono essere oggetto di furti o smarrimenti, stabilendo anche l’esigenza di avere degli efficaci piani per il ripristino dei dati, delle password e dei sistemi di gestione delle chiavi, citando inoltre la crittografia come misura tecnica appropriata per raggiungere la sicurezza nel trattamento dei dati. Il GDPR richiederà dunque l’adozione di un nuovo insieme di processi aziendali e di soluzioni tecnologiche all’avanguardia per proteggere al massimo i sistemi informativi ed è importante attivarsi da subito per fare le giuste scelte senza perdere tempo.

- La GDPR comporterà massicci cambiamenti nella gestione dei dati da parte delle aziende di mondo e potrà rappresenta una risposta positiva agli attacchi, oggi sempre più diffusi. Quale impatto avrà secondo la Vs. visione? Quali i benefici nel medio periodo?
La scadenza del maggio 2018 viene vista da molte aziende italiane come il termine di un noioso adempimento burocratico che va ad aggiungersi ai tanti già esistenti. Quasi una perdita di tempo, oltre che di denaro. Eppure In Italia, nel corso del 2016, le imprese di ogni dimensione hanno subìto gravi attacchi informatici che hanno causato pesanti perdite economiche; secondo le statistiche di ESET si tratta di una realtà su due ed il dato potrebbe essere ancora più importante in quanto molte aziende tendono a non rendere pubblico questo tipo di “incidenti”. Bisogna allora considerare il nuovo regolamento europeo come una grande opportunità per tutte le aziende, ovvero come la possibilità di fare un salto di qualità nella gestione dei dati e nella protezione del proprio business. E parliamo di tutte le realtà imprenditoriali, da quelle grandi alle medio piccole, fino ai liberi professionisti e titolati di P.IVA.

- È attivo encryption.eset.com, quali strumenti offre alle aziende?
Il sito encryption.eset.com è nato per guidare le aziende nella comprensione del Regolamento e per fornire gli strumenti utili a valutare le giuste misure tecniche da implementare per raggiungere la sicurezza nel trattamento dei dati. L’articolo 32 del GDPR stabilisce l’esigenza di avere degli efficaci piani per il ripristino dei dati, delle password e dei sistemi di gestione delle chiavi, citando la crittografia come misura tecnica appropriata per raggiungere la sicurezza nel trattamento dei dati. La crittografia gioca dunque un ruolo importante nella costruzione di un valido sistema di sicurezza e rappresenta un punto nodale nella tutela delle informazioni sensibili, proteggendo i dati archiviati o trasferiti attraverso server, computer portatili, dischi e supporti rimovibili, consentendo inoltre una sicura collaborazione e condivisione di dati tra gruppi e team di lavoro. Una buona soluzione per la crittografia deve essere semplice da implementare, facile da utilizzare quotidianamente e scalabile, in modo che possano essere aggiunte funzionalità avanzate in caso di necessità. Infine è opportuno scegliere una soluzione che non richieda la re-installazione per gli aggiornamenti o i rinnovi e prevedere una licenza d’uso perenne con manutenzione e supporto annuali, o con sottoscrizione della licenza, che consente di gestire i costi e salvaguardare quindi gli investimenti IT aziendali. Attraverso il nuovo sito encryption.eset.com è possibile approfondire la conoscenza sul Regolamento Generale sulla Protezione dei Dati, analizzare cos’è e come funziona la crittografia e conoscere DESlock Encryption, la soluzione per la crittografia di ESET che permette di rispettare gli obblighi in materia di sicurezza dei dati applicando i criteri di crittografia e mantenendo elevata la produttività.

- ESET DESlock Encryption, come funziona? Quali sono gli aspetti più importanti di questa piattaforma?
Il software DESlock Encryption di ESET aiuta le imprese di tutti i settori e dimensioni a crittografare i dati in maniera semplice e sicura, rispondendo alla necessità di protezione dei dati richiesta dall’Articolo 32 del GDPR. Dotato di architettura di cloud ibrido brevettata, DESlock Encryption garantisce la cifratura dei dati aziendali nel rispetto dello standard FIPS 140-2 di livello 1, adottato dal Governo degli Stati Uniti, ed utilizza gli algoritmi di cifratura quali AES, SHA, RSA, Triple DES e Blowfish. DESlock Encryption può cifrare singoli file e cartelle, messaggi e-mail, così come interi dischi e drive rimovibili, compresi i drive USB portatili. DESlock Encryption include la gestione remota sicura basata su browser web, un’edizione mobile per iOS e un client portatile, DESlock Encryption Go, che consente l’accesso sicuro ai dati sui computer in cui non è installato DESlock Encryption. La soluzione di ESET per la crittografia rispetta gli standard per il salvataggio e la gestione dei dati sensibili e privati, ma consente anche di condividere i dati tra gli utenti autorizzati.