Come adeguarsi al GDPR e orientarsi nel mondo della crittografia
Ecco una lista di consigli che possono essere d'aiuto nella ricerca della soluzione adatta.
La crittografia può essere la risposta a molti dei problemi di sicurezza informatica che aziende e società devono affrontare, a prescindere dalla loro dimensione. Oltre a proteggere i dati sensibili e ridurre al minimo i rischi derivanti dal loro furto, la crittografia rappresenta anche una delle misure grazie a cui un'azienda può avvicinarsi alla conformità al GDPR, ovvero il Regolamento Generale sulla Protezione dei Dati dell’Unione Europea. Grazie alla crittografia, infatti, è possibile ridurre al minimo i rischi di una sanzione per inosservanza del Regolamento, sanzione che può arrivare fino a 20 milioni di Euro oppure al 4% del fatturato globale annuo. Il GDPR è entrato in vigore il 25 maggio 2018.
La sicurezza informatica, però, non offre soluzioni onnicomprensive. In altre parole: nessun prodotto è in grado di affrontare contemporaneamente ogni potenziale minaccia e questo vale anche per la crittografia. Anche questa tecnologia, nonostante i suoi innegabili vantaggi, ha dei limiti che bisogna tenere in considerazione. Prima di fare la propria scelta è necessario assicurarsi di aver capito qual è la soluzione adatta a soddisfare le vostre esigenze.
Facilità d’uso. Dopo il codice dannoso, l'errore umano è il secondo motivo più frequente a causare perdite di dati nelle aziende. Lo afferma uno studio relativo ai costi del furto informatico di dati e pubblicato dal Ponemon Institute. È possibile prevenire l'errore umano installando una soluzione di crittografia facile da utilizzare dai dipendenti. Nelle aziende c'è spesso bisogno di proteggere documenti, ma se il compito richiede conoscenze specifiche e ha una procedura complessa, i dipendenti tenderanno a evitare di utilizzare la crittografia e non osserveranno le direttive aziendali. Una soluzione di crittografia facile da utilizzare può prevenire una situazione simile.
Pretendere una soluzione semplice da gestire. Un sondaggio effettuato dalla società IDC per conto di ESET ha dimostrato che, per le aziende, la semplicità e la possibilità di ottenere una nuova chiave di accesso in caso di perdita o dimenticanza sono i due criteri più importanti nella scelta di una soluzione di crittografia. Per evitare i casi in cui un dipendente dimentichi la chiave e i dati rimangano bloccati, è consigliabile cercare una soluzione con chiavi di crittografia condivise e gestite "on-site" dagli amministratori del sistema. È un meccanismo simile a quello delle chiavi di casa, che tutti conoscono. In questo modo all’utente finale viene velocizzata e semplificata la condivisione dei dati criptati con un gruppo di lavoro predefinito.
Cercare adattabilità, scalabilità e flessibilità. La soluzione che verrà scelta deve essere scalabile in modo da attivare funzioni più avanzate in caso di necessità. Deve essere flessibile e permettere modifiche anche da remoto a politiche di sicurezza e chiavi per mantenere una configurazione di base sicura. È bene scegliere prodotti che nel caso di upgrade e/o rinnovo non richiedano ogni volta una nuova installazione. Inoltre sarà possibile gestire meglio le spese se la soluzione di crittografia comprende anche i costi per la manutenzione annuale, il supporto tecnico e la licenza di abbonamento.
Scegliere bene di chi fidarsi. È consigliabile optare per una soluzione di crittografia che utilizzi un algoritmo di crittografia di livello industriale affidabile e, contemporaneamente, un sistema intelligente di condivisione delle chiavi per uno scambio sicuro di dati tra gli utenti.È necessario verificare se la soluzione valutata è conforme allo standard FIPS-140-2 ed è approvata dall'ente statunitense NIST (National Institute of Standards and Technology). È inoltre importante controllare se la soluzione è certificata da leader di mercato (per esempio OPSWAT) e ha superato test indipendenti.
Non ci sono domande sbagliate quando si parla di protezione dei dati. A pensarci bene, è necessario scegliere la strategia per proteggere i dati e la soluzione di crittografia che soddisfa di più. Nel momento di decidere non si deve aver paura di fare qualsiasi domanda relativa all’utilizzo o alle caratteristiche del prodotto, anche se sembrano domande elementari. È sorprendente quante soluzioni di crittografia non siano in grado di soddisfare nemmeno le esigenze più elementari.