Forum Gdpr

GDPR e account privilegiati: l’importanza di una gestione proattiva

L’appropriazione indebita di account privilegiati è il filo conduttore della maggior parte dei data breach: la nuova normativa dà lo spunto per rivalutare la loro gestione

Autore: Luca Rossetti

Ai sensi degli articoli 33 e 34, il GDPR richiede a tutte le organizzazioni che trattano dati personali di notificare alle autorità di vigilanza le violazioni di dati (“data breach”) entro 72 ore dalla scoperta delle violazioni stesse. Questo deve avvenire se il titolare ritiene probabile che dalla violazione dei dati possano derivare rischi per i diritti e le libertà degli interessati.

Per violazione, accidentale o dolosa, si intende la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali. Qualora la notifica all'autorità di controllo non sia effettuata entro il termine delle 72 ore, essa deve essere corredata dei motivi del ritardo.

È il titolare a dover valutare in primis il grado di rischio sulla base del contesto in cui la violazione è avvenuta e, quindi, tenendo in considerazione la natura dei dati oggetto di trattamento, la finalità del trattamento, le misure di sicurezza adottate.

L’articolo 85 del Regolamento offre alcuni criteri per definire il “rischio” che una violazione dei dati personali può comportare: la violazione deve essere tale da “provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, danni di reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata”.

Un data breach non è solo un attacco informatico, ma può essere anche un accesso abusivo, un incidente (ad esempio un incendio o una calamità naturale), la semplice perdita di una chiavetta USB o la sottrazione di documenti con dati personali, ad esempio tramite un furto di un notebook di un dipendente.
cybersecurity
Per volume e gravità di impatto, comunque, la maggior parte delle violazioni di sicurezza che determinano un data breach implica l’accesso ad un sistema informatico con l'uso o l'abuso di credenziali privilegiate.

Vale la pena ricordare che un “utente privilegiato” è un “superutente” di un sistema che non è necessariamente nominale (cioè associato in maniera univoca ad un nome e un cognome) e che, proprio in virtù del suo ruolo di amministratore e manutentore del sistema, è in possesso di speciali privilegi, molto spesso in grado di bypassare tutti i controlli applicativi in essere.

L’appropriazione indebita di account privilegiati - ottenuti con dolo o sfruttati in modo improprio da un utente valido - rappresenta il filo conduttore della maggior parte delle violazioni dei dati.

Le organizzazioni che trattano dati personali devono centralizzare e governare l’identità degli utenti e gestire gli accessi ai sistemi e ai dati, specialmente nel caso di utenti con privilegi, al fine di impedire violazioni.
etailing
In particolare, in ottica proattiva e per rispondere al requisito delle 72 ore di notifica, è possibile applicare dei meccanismi di analytics e di rilevazione delle violazioni attraverso l'analisi del comportamento di accesso delle identità privilegiate, meccanismi che servono a prevenire e rilevare preventivamente comportamenti a rischio.

Esistono infatti strumenti tecnologici, come CA Threat Analytics for Privileged Access Management, che sono in grado di stabilire automaticamente profili operativi normali per utenti privilegiati in base ai comportamenti osservati. In base poi all’analisi comportamentale dell’attività storica e delle azioni contestuali (in tempo reale) degli utenti privilegiati, possono scattare degli alert che notificano il rischio e la gravità di azioni sospette.

Una strategia di protezione degli account privilegiati è fondamentale per gestire in sicurezza l’accesso ai dati.

In questo momento storico di maggiore attenzione alla protezione di dati, soprattutto (ma non solo) a seguito dell’introduzione di GDPR, è arrivato il momento di rivalutare l'architettura di sicurezza e prendere in considerazione l’introduzione di meccanismi integrati e proattivi finalizzati all’analisi del comportamento delle utenze privilegiate, anello rilevante nella catena di protezione dei dati personali e sensibili.

Luca Rossetti è Senior Business Technology Architect di CA Technologies