Il 25 maggio 2018 entrerà in vigore in tutti i Paesi dell’Unione Europea la nuova riforma sul trattamento dei dati personali, nota come General Data Protection Regulation (Gdpr). Un insieme di leggi approvato dalla Ue il 24 maggio dell’anno scorso che prevede, tra i punti principali, nuove prescrizioni per documentare le procedure It e per eseguire valutazioni d’impatto, oltre a rafforzare le policy per ridurre al minimo le informazioni raccolte dalle aziende che operano entro i confini dell’Unione. Le imprese che violeranno il codice potranno incorrere in sanzioni più o meno gravi, con un tetto massimo del 4 per cento del fatturato globale. Il Gdpr, voluto da Bruxelles per colmare le lacune della Direttiva sulla protezione dei dati (Dpd) del 1995, avrà un peso notevole sulle organizzazioni, che dovranno obbligatoriamente adeguarsi. Ma il tempo stringe e le aziende italiane sembrano essere in ritardo.
Secondo gli ultimi dati forniti dall’Osservatorio Information Security & Privacy del Politecnico di Milano, infatti, solo il 9 per cento ha già strutturato un progetto in ottica Gdpr. Il 46 per cento, invece, è ancora ferma all’analisi dei requisiti richiesti dal regolamento. Quasi un’impresa su quattro non conosce nel dettaglio le implicazioni della legge per il business, mentre per il 22 per cento queste sono note solo nelle “funzioni specialistiche”, ma il tema non ha ancora sfiorato il top management.
“Pur notando miglioramenti a livello generale, è chiaro come le imprese non siano ancora pronte ad affrontare il problema in modo strutturato”, è il commento ad Ictbusiness.it di David Gibson, vp of strategy and market development di Varonis, realtà statunitense specializzata nella protezione dei dati da minacce interne e attacchi informatici. Il gruppo ha anche una filiale italiana, attiva dal 2010, che conta su un team di sei persone. L’offerta del vendor newyorkese è in grado di rispondere in modo adeguato ai nuovi bisogni “europei” delle aziende.
“Il Gdpr è uno schema complesso, che introduce e amplifica su larga scala diversi concetti come il diritto all’oblio e la figura del data protection officer”, aggiunge Gibson. Il regolamento aggiorna la Dpd, portandola nell’era del cloud e dei data center dislocati al difuori della Ue. “Dove vengono archiviati i dati degli utenti? In che modo vengono utilizzati? Come possiamo proteggere queste informazioni dalle minacce interne ed esterne?”, si chiede il manager di Varonis.
David Gibson, vp of strategy and market developments di Varonis
L’offerta del vendor è strutturata su una piattaforma unica che, in modo trasparente, raccoglie, registra e analizza i metadati creati dai dipendenti aziendali quando lavorano su dati non strutturati, come messaggi di posta elettronica, documenti, file audio e video. “I casi classici sono, per esempio, i client come Exchange o le soluzioni del calibro di Sharepoint. Ma la nostra piattaforma dà piena visibilità e controllo su sistemi Windows, Unix/Linux, Nas, tramite Active Directory e Office 365”, spiega Gibson.
L’obiettivo di Varonis è fornire uno strumento che aiuti le imprese a unificare e snellire il processo di analisi sui dati non strutturati, in tempo reale, garantendo così ai clienti la piena compliance alle normative europee. “Siamo partiti con l’ottimizzazione dei data center e lavorando in quegli ambienti ci siamo resi conto che potevamo capire, tra le altre cose, l’identità degli utenti, di mappare i file system, monitorare gli accessi in modo granulare e così via”, sottolinea Gibson.
Contro le minacce provenienti dall’interno
Diventa così più facile portare alla luce comportamenti anomali, messi in atto da dipendenti male intenzionati che magari cercano di inserire nei sistemi aziendali malware o altri software maligni. “Per tanto tempo si è data la possibilità a troppe persone di accedere in modo indiscriminato a file e dati non necessari, questo ha facilitato il compito di hacker interni. Anche oggi, durante i nostri processi di auditing, scoviamo informazioni sensibili esposte a troppi dipendenti, che non dovrebbero avervi accesso”, commenta Gibson.
Varonis può aiutare le organizzazioni ad automatizzare molti processi manuali, come il provisioning e la distribuzione dei certificati di accesso, che spesso rappresentano uno degli anelli deboli della catena. Potenzialmente, il cliente ideale della società statunitense è qualsiasi impresa con almeno venti dipendenti che utilizzi client email, che operi sia nel settore privato sia in quello pubblico.
“I nostri rapporti si instaurano solitamente con i chief information security officer (Ciso), o i responsabili It, ma le figure del business sono sempre più coinvolte e iniziano a capire anche loro l’importanza di queste soluzioni. Cio e Ciso sono vicini a questioni fondamentali come sicurezza e privacy e lavorano fianco a fianco con il business per essere certi di proteggere i dati che trattano”, dice Gibson.
Ad oggi l’offerta di Varonis è strutturata in sette prodotti differenti, sei dei quali costruiti sulla stessa piattaforma: Datadvantage, Classification Framework, Datalert (per il data audit & protection), Dataprivilege (per la data access governance), Datanswers (per l’enterprise search & discovery), Data Transport Engine (per operazioni di retention & migration). Infine c’è Datanywhere per l’enterprise file sync & share, che è l’unico componente a non trovarsi sulla piattaforma comune.
“Un insieme di soluzioni proattive a 360 gradi, che trova applicazione in ambiti differenti”, conclude Gibson. “Ci siamo resi conto, con la quotidianità, che uno degli use case più diffusi è diventata la sorveglianza anti ransomware. Non ci siamo mai considerati un vendor di prodotti antimalware, ma oggi ci troviamo nella posizione privilegiata per assistere da vicino alle attività di questi software. Segnalandoli in tempo, perché agiscono in modo molto diverso rispetto a un essere umano. Varonis può colmare le lacune presenti nella prevenzione, sia quelle nell’individuazione delle minacce”.
L’offerta dell’azienda si integra con quella di numerosi partner tecnologici, incluse diverse realtà di security, per sviluppare prodotti completi. Tra i principali vendor di sicurezza con cui Varonis collabora vanno segnalati Arcsight, Fireeye, Mcafee ed Rsa.