I consigli di Akamai per prepararsi al GDPR

Akamai offre quattro consigli per prepararsi alla scadenza del GDPR. Focus sui sistemi Web Application Firewall e su Content Delivery Network

Si susseguono a tambur battente i consigli e i richiami ad innalzare il livello di attenzione in vista del termine ultimo per adeguarsi al GDPR, il 25 maggio di quest’anno. Anche Akamai si fa sentire. La piattaforma di cloud delivery avverte che la mancata adozione di un approccio basato sull’analisi dei rischi per la gestione dei dati personali può condurre alla mancata conformità all’imminente regolamento generale sulla protezione dei dati (GDPR) e alle relative sanzioni. 

Mancano oramai circa 90 giorni, le aziende devono avere già individuato procedure e processi conformi e soprattutto devono prepararsi a dimostrare di averli seguiti nel caso in cui dovessero verificarsi episodi di violazione dei dati. Per questo il vendor ha reso disponibile uno specifico whitepaper  per guidare le realtà all’analisi dei sistemi, comprendere le vulnerabilità del proprio network e regolamentare l’infrastruttura in vista della scadenza sulla scorta del fatto che spetterà alle aziende dimostrare di essere “compliant”.

Akamai Web Application Security

Infatti, nel caso in cui le realtà di impresa dovessero trovarsi a difendere la solidità dei propri sistemi di sicurezza basati sull’analisi dei possibili rischi, le loro argomentazioni potrebbero non essere sufficienti, e non essere sufficientemente aggiornati potrebbe esporre a non pochi rischi. Gerhard Giese, Manager Enterprise Security Architects di Akamai Technologies, non usa mezzi termini: “Nel caso di violazione dei dati, è infatti responsabilità delle organizzazioni dimostrare che le misure implementate fossero appropriate. Non ci saranno più scuse”.

Una delle domande più intelligenti da porsi sarebbe infatti: “Non potrei fare ancora meglio?”.  Il tema [ davvero complesso e la normativa si sovrappone alle leggi locali sulla privacy, da qui la proposta di Akamai di una prima verifica isulla scorta di quattro consigli cui prestare attenzione fin da ora per dimostrare al Garante per la protezione dei dati personali (Data Protection Authority o DPA) di aver implementato un adeguato approccio basato sui rischi relativamente alla protezione delle proprietà web.

Il primo consiglio ovviamente è quello di imparare da chi ha già fatto esperienza. I fornitori dei servizi di sicurezza che proteggono le aziende in tutto il mondo sono in grado di individuare le minacce tempestivamente in un punto e applicare quanto hanno appreso a tutti gli altri clienti prima che venga sferrato un attacco.

Il secondo passaggio richiede, ovviamente secondo la prospettiva di Akamai, di aggiornare e documentare le regole del Web Application Firewall. Se si viene violati l’Authority chiederà le prove delle azioni intraprese per ridurre l’impatto di un eventuale attacco. Pertanto, per le proprietà Web, è prioritario dimostrare che l’azienda abbia implementato gli aggiornamenti adeguati tenendolo costantemente aggiornato per rispondere allo scenario delle minacce in continuo mutamento.

Arriviamo al terzo passaggio che richiede di controllare l’accesso da parte di terzi ai dati personali. Concedere l’accesso a terzi è ovviamente indispensabile, ma se si vuole farlo in modo corretto bisogna prepararsi a provare ai DPA la validità delle proprie misure di mitigazione dei rischi, ed è fondamentale garantire l’implementazione di un sistema in grado di tracciare gli accessi alle reti e di mitigare il rischio di accessi non autorizzati.

Ultimo, ma non meno importante, è il consiglio che riguarda le scelte di protezione (e quelle per la remediation).
La prima linea di difesa di un’azienda esposta, lungo il perimetro della sua rete, avvicina la minaccia in modo pericoloso. Akamai consiglia quindi di alzare le barriere tra l’infrastruttura di un’azienda e i potenziali autori di cyber attacchi, con un Content Delivery Network, per garantire che le minacce vengano rilevate prima che diventino un problema, nonché consentire all’organizzazione di gestire il traffico durante gli attacchi DoS (Denial of Service).