Nel processo di un'organizzazione che valuta i rischi relativi al GDPR e determina le misure tecniche e organizzative da intraprendere, occorre comprendere il rischio in termini di business. Se il rischio tecnico non viene tradotto in termini che i responsabili aziendali possono capire, diventa difficile per l'organizzazione prendere decisioni consapevoli sull'allocazione delle risorse umane e dei capitali.  L'applicazione di una strategia per la sicurezza Business-Driven per il GDPR evita questo problema e promuove pratiche di gestione del rischio migliori. 

L’impatto del GDPR sulla strategia delle identità  
RSA ritiene che il furto o la debolezza delle identità rappresentino uno dei vettori di attacco più significativi per le aziende: il 63% delle violazioni dichiarate nel 2015 derivava dalla compromissione delle credenziali e l'81% delle violazioni correlate all'hacking ha sfruttato password rubate o deboli (Rapporto Verizon Data Breach Investigations 2017). Questi dati evidenziano la necessità di meccanismi di autenticazione più forti che, pur essendo convenienti per l'utente finale, siano, allo stesso tempo, sicuri e conformi alle politiche aziendali e normative di riferimento.

La creazione di un solido programma di Identity and Access Management (IAM) e di Identity Governance è fondamentale per ridurre i rischi legate alle di identità che possono essere sfruttati dagli hacker per infiltrarsi e sottrarre le informazioni personali. Una tale soluzione può aiutare l’azienda ad affrontare tre sfide fondamentali nella protezione delle informazioni sensibili e personali: che gli utenti e operatori che vi accedono siano veramente quelli che devono dichiarano di essere; che venga loro garantito il corretto livello di accesso; che tale accesso sia conforme alle policy e che venga verificato nel tempo e regolarmente. 

Come prima cosa, le organizzazioni devono fornire un accesso facile ma sicuro affinché gli utenti possano accedere alle informazioni di cui hanno bisogno (indipendentemente dal fatto che l'applicazione sia on premise in azienda o in cloud) e assicurare che le identità in gioco siano quelle che dicono di essere. In secondo luogo, devono garantire agli utenti il profilo appropriato di accesso per poter svolgere il proprio lavoro, aspetto che comporta la richiesta, revisione, concessione e revoca dei privilegi di accesso dell’utente, utilizzando processi automatizzati che consentano ai vari responsabili in azienda di prendere le proprie decisioni in merito a chi deve accedere a che cosa e per quanto tempo. Infine, poter dimostrare la continua conformità sarà fondamentale dal punto di vista del GDPR.

Prevedendo il controllo della governance delle identità e reportistiche specifiche correlate alle policy di governance, risk e compliance (GRC) dell’azienda, sarà molto più facile ed efficiente creare report che mostrino la compliance e in linea con le normative. L’unione di queste tre componenti offre visibilità e controllo, in modo che l'organizzazione possa mantenere la conformità in modo continuativo e regolare.

Account compromessi, credenziali rubate o provisioning/de-provisioning mal gestito sono tutti aspetti che evidenziano delle debolezze dal punto di vista della compliance al GDPR. Le organizzazioni dovranno infatti dimostrare di adottare un approccio proattivo alla gestione dell'accesso alle informazioni personali. In caso di violazione, la capacità di avviare audit completi per dimostrare il livello adeguato di controllo dell'accesso contribuirà a rafforzare la posizione dell’azienda, evidenziano come l'organizzazione abbia compiuto uno sforzo consistente e responsabile per proteggere le identità, in linea con quanto richiesto dal GDPR. Come sappiamo, i costi legati all'inosservanza del GDPR sono elevati, fino al 4% del fatturato globale annuale o 20 milioni di euro (farà fede il valore risultante più elevato). Pertanto, la protezione delle identità e la governance degli accessi sono misure indispensabili per mitigare rischi effettivi e quindi soddisfare i requisiti GDPR.

La strategia di Business-Driven Security di RSA 
Con l’adozione ormai da anni di una strategia di sicurezza di tipo Business-Driven, RSA è un'azienda leader nelle soluzioni avanzate di cybersecurity. La focalizzazione sul rischio, sulla capacità di risposta e sull’evoluzione continua delle minacce, hanno portato RSA a evolvere su una suite chiave di soluzioni e servizi che tengono conto del fatto che le aziende, anche in futuro, dovranno poter operare in uno stato costante di potenziale incertezza.

Le soluzioni e i servizi di RSA mettono in correlazione in modo univoco il contesto aziendale con i processi di sicurezza per aiutare le organizzazioni a gestire i rischi e a proteggere le risorse più preziose.  In particolare, RSA è l'UNICA azienda che supporta i tre aspetti maggiormente critici di una strategia di sicurezza orientata al business: il rilevamento e la risposta rapida agli attacchi, il controllo ed il governo delle identità e la gestione dei rischi e della compliance.