Contributo della piattaforma di sicurezza di nuova generazione alla conformità al GDPR

CONTRIBUTO DELLA PIATTAFORMA DI SICUREZZA DI NUOVA GENERAZIONE ALLA CONFORMITÀ AL GDPR

La sicurezza informatica rappresenta un investimento fondamentale per la protezione dei dati personali e la conformità al GDPR.

La maggior parte dei requisiti previsti dal GDPR riguarda la gestione dei dati, vale a dire la raccolta e il relativo trattamento. Tali requisiti includono, tra l'altro, diversi obblighi, ad esempio notificare qualsiasi raccolta di dati, mantenere registri dei dati elaborati e nominare un responsabile della protezione dei dati in determinate circostanze, oltre al divieto di elaborare i dati senza autorizzazione e regole relative al trasferimento dei dati personali a parti e paesi terzi.

 

Tutto questo non deve però oscurare il fatto che la sicurezza dei dati è uno dei pilastri del GDPR, il quale possiede una terminologia specifica per la sicurezza, come descritto più dettagliatamente di seguito. Un altro componente essenziale della sicurezza dei dati personali è la protezione degli stessi sia da esfiltrazione da parte di criminali informatici sia da perdite interne. In quanto preliminari al GDPR, è quindi fondamentale che gli investimenti effettuati dalle organizzazioni in attività legate alla conformità e in processi e tecnologie di gestione delle informazioni siano completati da investimenti adeguati in sicurezza informatica.

 

Riepilogo delle clausole rilevanti del GDPR (utilizza questo link per consultare il testo completo del GDPR) :

 

Argomento

Riepilogo delle clausole

Sicurezza dell'elaborazione dei dati

 

Le organizzazioni sono tenute a mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio. Tali misure devono tenere conto dello stato dell'arte. [Articolo 32]

I dati personali dovrebbero essere trattati in modo da garantirne un'adeguata sicurezza e riservatezza, anche per impedire l'accesso o l'utilizzo non autorizzato dei dati personali e delle attrezzature impiegate per il trattamento. [Considerando, paragrafo 39]

Nella valutazione del rischio per la sicurezza dei dati è opportuno tenere in considerazione i rischi presentati
dal trattamento dei dati personali, come la distruzione accidentale o illegale, la perdita, la modifica, la rivelazione o l’accesso non autorizzati a dati personali. [Considerando, paragrafo 83]

 

Prevenzione delle violazioni dei dati

----------------------------------------------------------------------------------------------

Le autorità di controllo devono essere avvisate in caso di perdita, furto o compromissione di altro tipo dei dati personali, a meno che sia improbabile che la violazione presenti un rischio rilevante per la persona interessata. La notifica della violazione deve avvenire senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui il titolare del trattamento ne è venuto a conoscenza. In alcuni casi, è necessario inviare una notifica anche alla persona interessata. Le notifiche devono fornire una serie di informazioni, tra cui la natura della violazione, le categorie e il numero di registrazioni dei dati personali interessati, le probabili conseguenze, le misure adottate per porre rimedio alla violazione e per attenuarne i possibili effetti negativi e altre. [Articoli 33 e 34]

Sanzioni amministrative

----------------------------------------------------------------------------------------------

Se si verificano violazioni del GDPR, le autorità di controllo devono imporre sanzioni amministrative pecuniarie stabilite caso per caso. Al momento di decidere se infliggere una sanzione e di fissare l’ammontare della stessa occorre tenere debito conto di alcuni elementi, tra cui il grado di responsabilità nell'implementazione delle misure tecniche e organizzative messe in atto, e il relativo stato dell'arte ai sensi dell'Articolo 32. [Articolo 83]
---------------------------------------------------------------------------------------------

 

 

Palo Alto Networks® agevola l'impegno delle organizzazioni per garantire la protezione dei dati e la sicurezza nel rispetto del GDPR fornendo assistenza per:

1. Protezione dei dati personali. Il GDPR impone la sicurezza dell'elaborazione dei dati, tenendo conto dello stato dell'arte. La nostra piattaforma di sicurezza di nuova generazione è in grado di offrire protezione a livello di endpoint, rete e applicazione e nel cloud.

2. Prevenzione delle violazioni dei dati. La prevenzione delle violazioni dei dati, che siano dovute ad attacchi o a perdite accidentali, è fondamentale ai fini della conformità al GDPR. Un'adeguata sicurezza informatica è essenziale per garantire la protezione delle applicazioni e dei dati personali e business-critical dell'organizzazione. La nostra piattaforma di sicurezza di nuova generazione è progettata per prevenire

3. Notifica delle violazioni dei dati. Nella sfortunata ipotesi che si verifichi una violazione dei dati, questa dovrà essere segnalata. La nostra piattaforma di sicurezza di nuova generazione aiuta a stabilire quali dati sono stati compromessi e fornisce informazioni importanti sulle misure da adottare per risolvere il problema.

 

Molte soluzioni della nostra gamma di prodotti possiedono funzioni e caratteristiche in grado di soddisfare tali esigenze, come descritto di seguito.

Protezione dei dati personali

Il GDPR impone la sicurezza dell'elaborazione dei dati, tenendo conto dello stato dell'arte. La piattaforma di Palo Alto Networks protegge i dati a livello di endpoint, rete e applicazione e nel cloud.

Per ridurre i rischi informatici e proteggere i dati, inclusi quelli personali, in modo concreto è necessario implementare controlli integrati, automatizzati ed efficaci, in grado di rilevare e prevenire le minacce note e sconosciute in qualsiasi fase del ciclo di vita dell'attacco. Progettata per la prevenzione, la

La piattaforma di sicurezza di nuova generazione di Palo Alto Networks consente alle organizzazioni di attuare senza difficoltà una strategia digital-first durante l'implementazione di iniziative tecnologiche fondamentali nell'ambito del cloud e, sempre di più, delle reti mobili, allo scopo di proteggere i dati più preziosi da possibili esfiltrazioni eseguite da criminali informatici e da perdite accidentali.

La piattaforma di sicurezza di nuova generazione di Palo Alto Networks coniuga la sicurezza a livello di rete e di endpoint con la threat intelligence, per fornire protezione automatizzata e non solo rilevare, ma anche prevenire gli attacchi informatici. La nostra piattaforma riunisce in modalità nativa tutte le principali funzioni di sicurezza, tra cui firewall, filtraggio degli URL, IDS/IPS e protezione avanzata degli endpoint e dalle minacce. Poiché tali funzioni sono state appositamente integrate per prevenire le minacce informatiche e condividono in modalità nativa informazioni chiave tra le rispettive discipline, la nostra piattaforma offre una sicurezza superiore a quella di firewall e antivirus, UTM o singoli prodotti di rilevamento. In sintesi, una maggiore sicurezza consente di proteggere più efficacemente i dati.


Tecnologia allo stato dell'arte

Il GDPR richiede misure tecniche e organizzative che tengano in considerazione lo stato dell'arte. I sistemi di sicurezza legacy, basati sulla combinazione di singoli prodotti, si sono dimostrati inadeguati a prevenire attacchi informatici sempre più numerosi, automatizzati e sofisticati. I CISO dovrebbero analizzare attentamente questi prodotti legacy al fine di stabilire se soddisfano lo stato dell'arte.

Le minacce sono in continua evoluzione e, per riuscire a prevenire quelle nuove, la tecnologia deve tenere il passo. La piattaforma di sicurezza di nuova generazione di Palo Alto Networks coniuga la sicurezza a livello di rete e di endpoint con la threat intelligence, per fornire protezione automatizzata e non solo rilevare, ma anche prevenire gli attacchi informatici. Diversamente dai singoli prodotti legacy, la nostra piattaforma sfrutta una rete formata da migliaia di clienti, partner tecnologici e ricercatori che forniscono informazioni sulle minacce. Creiamo una tecnologia che previene gli attacchi sferrati contro i punti tattici e strategici su cui i criminali informatici devono agire per avere successo e siamo in grado di fornire alla nostra base di clienti globale protezioni sempre aggiornate in soli cinque minuti. Inoltre, ogni settimana generiamo più di un milione di nuove misure preventive, di pari passo con l'identificazione di minacce informatiche nuove o zero-day. La nostra piattaforma consente alle organizzazioni di utilizzare in sicurezza tutte le applicazioni di gestione critiche, implementare senza preoccupazioni nuove iniziative tecnologiche e proteggere l'attività da attacchi informatici multiformi, dai più semplici ai più complessi. I CISO che intendono tenere in conto lo stato dell'arte dovrebbero prendere in considerazione Palo Alto Networks come un componente fondamentale della sicurezza.

 

Conformità al GDPR

Prevenzione delle violazioni dei dati

La prevenzione delle violazioni dei dati, che siano dovute ad attacchi o a perdite accidentali, è fondamentale ai fini della conformità al GDPR. Un'adeguata sicurezza informatica è essenziale per garantire la protezione delle applicazioni e dei dati personali e business-critical dell'organizzazione.

La nostra piattaforma consente di ricorrere a quattro tecniche di prevenzione fondamentali per la sicurezza dei dati, che contribuiscono simultaneamente a garantire la conformità al GDPR.

  • Visibilità completa. La nostra piattaforma offre visibilità su tutto il traffico, che sia su rete network, endpoint e cloud, classificato in base ad applicazione, utente e contenuto. Non si può bloccare e proteggersi da ciò che non si vede. La visibilità completa fornisce il contesto necessario per applicare una policy di sicurezza dinamica.
  • Riduzione della superficie di attacco. A causa dell'uso sempre più diffuso di applicazioni e dispositivi (ad esempio, SaaS, cloud e IoT) da parte delle aziende, la superficie di attacco è in rapida espansione. Più sono le vie di accesso a un'organizzazione, maggiori sono le opportunità che i criminali informatici possono sfruttare per esfiltrare i dati personali. Ridurre la superficie di attacco, abilitando solo le applicazioni consentite e solo per gli utenti che ne hanno bisogno e rifiutando tutte le altre, ci permette di applicare un modello di sicurezza positivo.
  • Prevenzione delle minacce note. Molte violazioni dei dati hanno origine da minacce note diffuse che sottraggono informazioni, ad esempio Trojan, malware ed exploit a livello di applicazione. Sul perimetro, la nostra piattaforma controlla i vettori delle minacce tramite una gestione granulare di tutti i tipi di applicazione. Questo porta a una riduzione immediata della superficie di attacco della rete, seguita dall'analisi di tutto il traffico di rete consentito alla ricerca di exploit, malware, URL dannosi e file o contenuti pericolosi o con restrizioni. Per gli endpoint, Palo Alto Networks combina la threat intelligence fornita dalla community globale di clienti con il nostro esclusivo approccio basato su una prevenzione multi-metodo per bloccare il malware e gli exploit noti prima che possano compromettere gli endpoint.
  • Prevenzione delle minacce sconosciute. La nostra piattaforma non si limita a bloccare le minacce note, ma identifica e blocca in modo proattivo anche il malware e gli exploit sconosciuti, spesso utilizzati in attacchi mirati e sofisticati. Quando viene rilevato un malware o un exploit nuovo, il servizio di analisi delle minacce WildFire® basato su cloud crea automaticamente un nuovo controllo e lo condivide con i dispositivi di prevenzione, tra cui firewall di nuova generazione e la soluzione di protezione avanzata degli endpoint Traps™, in appena cinque minuti e senza alcun intervento umano. Traps è inoltre in grado non solo di distribuire un approccio multi-metodo unico che blocca le principali tecniche utilizzate dagli exploit zero-day, ma anche di identificare il malware sconosciuto e impedirgli di compromettere gli endpoint.

Per mitigare ulteriormente le preoccupazioni legate alla privacy e al trasferimento dei dati, WildFire EU, una distribuzione localizzata nel cloud, permette di analizzare i dati senza doverli spostare al di fuori dei confini regionali.

Queste tecniche di prevenzione sono potenziate da WildFire, il motore di analisi e prevenzione più avanzato del settore, e consentono di lottare contro malware ed exploit zero-day estremamente elusivi. Il servizio basato sul cloud utilizza un approccio che combina analisi statica e dinamica, tecniche avanzate di apprendimento automatico e un rivoluzionario ambiente di analisi bare-metal per rilevare e prevenire anche le minacce più elusive. WildFire va oltre gli approcci legacy utilizzati per rilevare le minacce sconosciute e riunisce i vantaggi di quattro tecniche indipendenti ed estremamente affidabili per un rilevamento resistente all'elusione:

 

  • Analisi dinamica. Osserva i file mentre vengono eseguiti in un ambiente virtuale resistente all'elusione appositamente creato e permette di rilevare malware zero-day ed exploit utilizzando centinaia di caratteristiche comportamentali.
  • Analisi statica. Rileva efficacemente il malware e gli exploit che tentano di eludere l'analisi dinamica e identifica immediatamente le varianti del malware esistente.
  • Apprendimento automatico. Estrae migliaia di caratteristiche uniche da ogni file, addestrando un modello predittivo di apprendimento automatico affinché identifichi nuovi malware ed exploit, cosa impossibile con la sola analisi statica o dinamica.

 

  • Analisi bare-metal. Invia in modo automatico le minacce elusive a un ambiente hardware reale per disattivarle, annullando completamente la capacità degli avversari di distribuire tecniche di analisi anti-VM.

La combinazione di queste tecniche permette a WildFire di rilevare e prevenire i malware e gli exploit sconosciuti con un'efficacia elevata e una quantità di falsi positivi pari quasi a zero.

 

Gestione centralizzata dei processi di sicurezza

Il GDPR si applica a qualsiasi organizzazione, indipendentemente dalla sua posizione fisica, che gestisce il trattamento dei dati personali di chi risiede nei paesi dell'UE. Il trattamento dei dati personali correlati a molte organizzazioni di grandi dimensioni o multinazionali può avvenire in diverse sedi e tutte devono risultare conformi. La soluzione Panorama™ per la gestione della sicurezza di rete consente alle organizzazioni di creare e gestire policy consolidate e facili da implementare per i nostri firewall di nuova generazione. Panorama permette di introdurre policy sia centralizzate che regionali e di assegnare deleghe agli amministratori regionali in base alle proprie necessità o preferenze. Il fattore chiave è la flessibilità di implementare le policy a seconda delle esigenze dell'azienda e delle leggi specifiche di ogni area geografica. Ad esempio, un amministratore di Panorama può applicare policy di sicurezza per firewall situati in una filiale a Singapore o in Brasile anche quando gli amministratori regionali non sono a conoscenza dei requisiti di protezione dei dati previsti dal GDPR.

 

Prevenzione di esfiltrazione o perdita di dati

Le violazioni dei dati possono essere dovute a esfiltrazione o perdita e la nostra piattaforma è in grado di evitare entrambe.

Con la nostra piattaforma di sicurezza di nuova generazione, ogni fase chiave del ciclo di vita di un attacco viene affrontata utilizzando un modello di difesa che previene l'esfiltrazione dei dati, dal primo tentativo di violare il perimetro all'introduzione del malware, dallo sfruttamento degli endpoint allo spostamento laterale attraverso la rete fino a quando gli autori degli attacchi raggiungono l'obiettivo principale, ai tentativi di esfiltrare dati personali e riservati.

Per garantire la conformità al GDPR, è fondamentale prevenire la perdita/condivisione accidentale dei dati da parte delle community di utenti interni e dei partner nell'intera infrastruttura. Gli utenti finali rappresentano la principale fonte di rischio, soprattutto quando utilizzano applicazioni SaaS. Spesso privi di formazione e inconsapevoli dei rischi che creano, compiono azioni che possono causare perdite accidentali di dati personali. La nostra piattaforma di sicurezza è in grado di prevenire l'esfiltrazione e la perdita di dati in diversi modi:

  • Sicurezza a livello di rete. I profili integrati per il filtraggio dei dati presenti nei firewall di nuova generazione contribuiscono a prevenire le perdita accidentali a livello di rete, proteggendo così i dati all'interno dell'organizzazione. Gli amministratori di sistema possono applicare policy per ispezionare e controllare i contenuti che attraversano la rete, in modo da limitare i trasferimenti non autorizzati di dati riservati, come i numeri delle carte di credito.
  • Sicurezza a livello di SaaS. Le organizzazioni devono controllare gli accessi alle applicazioni SaaS, applicare i controlli delle policy alla condivisione delle informazioni e impedire le perdite di dati.

    • Le organizzazioni che operano in Europa possono selezionare il data center Prisma™ SaaS regionale basato sull'UE, in modo da soddisfare le proprie preferenze sull’ubicazione dei dati.

◦ La nostra piattaforma fornisce queste funzioni ricorrendo ai firewall di nuova generazione (ad esempio, le tecnologie User-ID™, App-ID™ e Content-ID™) e al servizio di sicurezza Prisma™ SaaS. I firewall di nuova generazione analizzano tutto il traffico tra la rete e le applicazioni SaaS. Tuttavia, alcune attività basate sul cloud possono rimanere invisibili ai servizi di sicurezza inline, come le autorizzazioni di condivisione dei dati o l'accesso ai dati basati su cloud che provengono dall'esterno della rete (senza VPN). In questo caso, Prisma SaaS completa il firewall di nuova generazione utilizzando le API SaaS per eseguire la connessione diretta alle applicazioni SaaS stesse. Questo consente di vedere tutti i contenuti caricati o condivisi dagli utenti. Prisma SaaS permette agli utenti di vedere e monitorare gli upload dei file su tutte le risorse nelle applicazioni SaaS aziendali, come Box, Microsoft® Office, Dropbox®, Salesforce®, Secure Data Space e altre. A questo punto, è possibile applicare policy per monitorare e promuovere un uso responsabile delle risorse (inclusi i dati personali) e per evitare le perdite accidentali di dati causate da errori umani, ad esempio condivisioni indiscriminate o involontarie e condivisione di contenuti per mezzo di link che potrebbero essere esposti a Internet. In caso di rilevamento di una violazione delle policy, viene generato un avviso. Se configurato, Prisma SaaS interviene automaticamente per eliminare il rischio.

  • Sicurezza a livello di endpoint. La protezione avanzata degli endpoint fornita da Traps si basa su un approccio multi-metodo che impedisce preventivamente alle minacce note e sconosciute, inclusi gli exploit zero-day e il malware sconosciuto, di compromettere gli endpoint.
  • Blocco dei furti di credenziali. Considerata la relativa semplicità di rubare una password e ottenere il livello di accesso desiderato, il furto di credenziali e un vettore di minaccia comune per le violazioni dei dati.

 

◦ La nostra piattaforma consente di scomporre gli attacchi basati su credenziali lungo il relativo ciclo di vita.

Gli autori degli attacchi spesso eseguono tentativi di phishing delle credenziali, inviati tramite e-mail o social media, per convincere gli utenti in modo fraudolento a fornire le proprie credenziali aziendali. La nostra piattaforma impedisce la diffusione delle credenziali impedendo agli utenti di utilizzarle su siti sconosciuti o non autorizzati. Poiché, in genere, le credenziali rubate vengono utilizzate per accedere ai sistemi critici dell'organizzazione, abbiamo integrato anche una protezione contro il movimento laterale applicando policy di autenticazione a più fattori (MFA) che gestiscono l'accesso alle applicazioni essenziali che contengono dati riservati.

Inoltre, AutoFocus™, il nostro servizio di threat intelligence contestuale, è in grado di acquisire fonti di threat intelligence di terze parti e di trasformarle in metodi di prevenzione all'interno della nostra piattaforma di sicurezza attraverso l'applicazione MineMeld™. Una volta raccolti gli indicatori di compromissione, MineMeld filtra, deduplica e consolida i metadati in tutte le origini, consentendo ai team di sicurezza di analizzare un set di dati più fruibile e arricchito da diverse origini, facilitando così l'applicazione.

Notifica delle violazioni dei dati

Nella sfortunata ipotesi che si verifichi una violazione dei dati, questa dovrà essere segnalata.

Nella sfortunata ipotesi che si verifichi una violazione dei dati personali, il GDPR ne impone la notifica alle autorità di controllo, a meno che sia improbabile che la violazione presenti un rischio per i diritti o la libertà della persona interessata. Le notifiche devono fornire una serie di informazioni, tra cui quali dati sono coinvolti e che misure si intende mettere in atto.

La nostra piattaforma contribuisce a mantenere la conformità ai requisiti del GDPR in caso di violazione. Ad esempio, AutoFocus fornisce i dati analitici necessari per rimediare al problema, ad esempio chi è l'utente, qual è la minaccia, quali sono i livelli di impatto e di rischio, permettendo così di soddisfare i requisiti di notifica.

È inoltre possibile utilizzare i firewall di nuova generazione per formare gli utenti attraverso pagine di notifica personalizzate. A queste gli amministratori di sistema possono aggiungere i messaggi che desiderano trasmettere, in modo che, in caso di prevenzione della perdita di dati, questo raggiunga gli utenti finali. Il messaggio può includere, ad esempio,

un link alle policy sui dati e alle best practice aziendali. Questo agevola la prevenzione generale e l'impegno formativo a supporto delle notifiche.

 

  1. GDPR Articolo 4 (1): "per "dato personale" si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile ("interessato"); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale".