La globalizzazione e i rapidi progressi tecnologici – dal cloud ai servizi di localizzazione fino ai social network – hanno determinato un aumento significativo del volume dei dati personali raccolti e condivisi dalle imprese private e dalle autorità pubbliche.
Queste tendenze sono i fattori chiave alla base del GDPR, che entrerà in vigore il 25 maggio 2018, sostituendo la direttiva UE sulla protezione dei dati adottata nel 1995. Il GDPR modernizza le norme UE in materia di protezione dei dati e istituisce una normativa unica e armonizzata a livello dell'Unione, sostituendo il mosaico di leggi nazionali attualmente in vigore nei 28 Stati membri dell'UE.
Secondo il Dipartimento Giustizia e Consumatori della Commissione europea, si stima che il GDPR genererà benefici economici pari a 2,3 miliardi di euro all'anno, grazie alla riduzione della complessità normativa e alla maggiore facilità con cui le imprese potranno espandere le proprie attività in tutta l'UE.
Il GDPR sarà attuato a livello locale, con ogni Stato membro dell'UE che nominerà un'autorità di controllo responsabile. Il suo impatto si farà sentire anche oltre i confini dell'UE, poiché la normativa si applica a qualsiasi organizzazione che detenga o tratti dati di cittadini dell'UE nell'ambito dell'offerta di beni e servizi, o che effettui il monitoraggio di persone fisiche all'interno dell'UE, indipendentemente dalla sede di tale organizzazione.
Vectra AI i team di sicurezza informatica e fornisce le competenze tecniche fondamentali necessarie per garantire la conformità al GDPR.
Panoramica sul GDPR: caratteristiche principali e vantaggi
Tra le caratteristiche principali del GDPR figurano:
- I dati personali dei residenti nell'UE sono protetti, indipendentemente dal luogo in cui vengono trasmessi, trattati o conservati, anche al di fuori dell'UE. Per «dati personali» si intende qualsiasi informazione relativa a una persona fisica identificata o identificabile.
Una persona fisica identificabile è una persona che può essere identificata, direttamente o indirettamente, in particolare facendo riferimento a un identificativo quale un nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale. - Le organizzazioni devono ottenere il consenso esplicito e informato dell'interessato per poter raccogliere e trattare i suoi dati personali.
- Gli utenti acquisiscono il diritto alla portabilità dei dati da un fornitore all'altro, alla cancellazione dei propri dati personali e di opporsi all'utilizzo dei propri dati a fini di profilazione.
- Le persone hanno il diritto di sapere quando i propri dati sono stati violati; nei casi ad alto rischio (ad esempio, quando sussiste il pericolo di furto d’identità), le aziende e le organizzazioni sono tenute a notificare alle persone interessate una violazione dei dati entro 72 ore.
Una violazione dei dati personali è una violazione della sicurezza che comporta la distruzione, la perdita, l’alterazione, la divulgazione non autorizzata o l’accesso non autorizzato, in modo accidentale o illecito, a dati personali trasmessi, conservati o trattati in altro modo. - In base al principio dello "sportello unico", un'impresa con filiali in diversi Stati membri dell'UE dovrà rivolgersi esclusivamente all'autorità di controllo del paese in cui ha la sede centrale o in cui si trova la sua sede principale.
- Qualsiasi organizzazione, indipendentemente dal fatto che abbia sede nell'UE o meno, dovrà applicare la normativa dell'UE in materia di protezione dei dati se intende offrire beni e servizi nell'UE o monitorare il comportamento dei residenti nell'UE.
- I responsabili del trattamento e i titolari del trattamento possono trasferire dati al di fuori dell'UE solo se adottano garanzie adeguate e se gli interessati dispongono di diritti esecutivi e mezzi di ricorso giuridici.
Il responsabile del trattamento è una persona fisica o giuridica, un'autorità pubblica, un'agenzia o un altro organismo che tratta dati personali per conto del titolare del trattamento.
Il titolare del trattamento è la persona fisica o giuridica, l'autorità pubblica, l'agenzia o altro organismo che, da solo o insieme ad altri, determina le finalità e i mezzi del trattamento dei dati personali. - Le autorità di controllo del GDPR dispongono di una serie di sanzioni, tra cui ammonimenti scritti, verifiche e sanzioni pecuniarie fino a un importo pari al maggiore tra 20.000.000 di euro e il 4% del fatturato mondiale annuo. Le sezioni seguenti mettono in evidenza gli aspetti del GDPR relativi alla protezione dei dati e alla valutazione d'impatto e descrivono in dettaglio come la piattaforma di rilevamento e risposta alle minacce basata sull'intelligenza artificiale di Vectra contribuisca alla conformità al GDPR e aiuti a proteggere i dati personali fornendo un monitoraggio e un rilevamento continui e automatizzati delle minacce su tutta la rete di un'organizzazione. Automatizzando la ricerca di cyber-aggressori nascosti all'interno delle reti e consentendo una risposta più rapida agli incidenti per fermare le minacce attive, Vectra condensa settimane e mesi di lavoro in pochi minuti, consentendo ai team di sicurezza di agire rapidamente per prevenire il furto o il danneggiamento dei dati.
Requisiti fondamentali in materia di protezione dei dati ai sensi del GDPR
Il GDPR è un solido quadro normativo che disciplina diritti e responsabilità, tra cui figura l'obbligo generale per le organizzazioni di garantire la «protezione dei dati fin dalla progettazione e di default».
In altre parole, ci si aspetta che le organizzazioni integrino la sicurezza nelle proprie attività operative e utilizzino tecnologie e servizi dotati di misure di protezione dei dati integrate e di impostazioni predefinite rispettose della privacy, come nel caso dei social network o delle app mobili.
Il GDPR fornisce indicazioni specifiche sui tipi di misure di sicurezza che potrebbero essere considerate adeguate al rischio, tra cui:
- Crittografare i dati personali e/o renderli anonimi oppure utilizzare un identificativo numerico o di altro tipo come pseudonimo al posto del nome di una persona.
- Garantire la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento.
- Garantire il ripristino tempestivo della disponibilità e dell'accesso ai dati personali in caso di incidenti fisici o tecnici.
- Verificare, valutare e analizzare regolarmente l'efficacia delle misure tecniche e organizzative volte a garantire la sicurezza del trattamento.
Inoltre, il GDPR prevede la nomina di un responsabile della protezione dei dati (DPO). La persona che ricopre questo ruolo è responsabile dell'attuazione delle misure di protezione dei dati, della conformità e della rendicontazione all'interno di un'organizzazione. Il DPO può svolgere anche altri compiti e mansioni. Ad esempio, un responsabile della sicurezza informatica può ricoprire anche il ruolo di DPO.
Vectra AI le organizzazioni a conformarsi al GDPR
Per garantire la conformità al GDPR è necessario implementare tecnologie e procedure adeguate. Vectra AI i team di sicurezza informatica e fornisce le funzionalità tecniche fondamentali necessarie per garantire la conformità al GDPR.
Vectra AI la protezione dei dati attraverso il monitoraggio continuo e ininterrotto del traffico di rete, il rilevamento in tempo reale delle minacce, la classificazione delle priorità e la segnalazione degli incidenti. Grazie all'intelligenza artificiale e all'analisi del comportamento degli aggressori, Vectra AI individua Vectra AI le minacce informatiche attive in tutta la rete aziendale, dai carichi di lavorocloud nei data center ai dispositivi degli utenti e dell'IoT.
Vectra AI molte delle attività più dispendiose in termini di risorse umane che solitamente ricadono sotto la responsabilità degli analisti di sicurezza informatica di primo livello e dei team di risposta agli incidenti. Grazie all'automazione di tali attività, Vectra AI riduce Vectra AI , fino al 90%, il tempo dedicato alle indagini sulle minacce, consentendo ai team di sicurezza di concentrarsi sulla prevenzione e sulla mitigazione della perdita di dati. Le funzionalità principali della piattaforma Vectra AI includono:
- Monitoraggio e analisi continui di tutto il traffico di rete, compreso il traffico diretto verso Internet e quello interno alla rete tra host fisici e virtuali dotati di indirizzo IP – quali laptop, server, stampanti, dispositivi BYOD e dispositivi IoT – indipendentemente dal tipo di dispositivo, dal sistema operativo o dall'applicazione.
- La visibilità in tempo reale sul traffico di rete, ottenuta estraendo i metadati dai pacchetti anziché ricorrere all'ispezione approfondita dei pacchetti, consente di garantire la protezione senza violare la privacy delle informazioni personali o sensibili contenute nel payload.
- Analisi dei metadati dei pacchetti intercettati tramite algoritmi di rilevamento comportamentale in grado di individuare aggressori nascosti e sconosciuti, indipendentemente dal fatto che il traffico sia crittografato o meno.
- Identificazione deterministica dei comportamenti di attacco, compreso l'uso di trojan di accesso remoto, tunnel crittografati, attività delle botnet, ransomware, attacchi da parte di insider e minacce avanzate mirate.
Vectra AI monitoraVectra AI le minacce nel tempo e in tutte le fasi di un attacco, che vanno dal comando e controllo (C&C) alla ricognizione interna, al movimento laterale e , aspetto fondamentale ai fini del GDPR, ai comportamenti di esfiltrazione dei dati. - Correlazione automatica delle minacce con i dispositivi host sotto attacco e dettagli sul rilevamento delle minacce che includono il contesto dell'host, le acquisizioni di pacchetti, la gravità della minaccia e i punteggi di affidabilità.
- Supporto alla sicurezza informatica adattiva attraverso un processo iterativo di miglioramento che si avvale del lavoro dei Vectra Threat Labs™, un gruppo di ricercatori di sicurezza altamente qualificati, nonché di algoritmi di rilevamento comportamentale che apprendono costantemente dall'ambiente locale e dalle tendenze globali.
In che modo Vectra AI i requisiti fondamentali del GDPR
La tabella seguente illustra in dettaglio i vari modi in cui Vectra AI le organizzazioni ad affrontare aspetti specifici dei requisiti del GDPR.
| Articolo del GDPR |
Vectra AI |
| Articolo 25: Protezione dei dati fin dalla progettazione e di default |
|
1. Tenendo conto dello stato dell'arte, dei costi di
attuazione e della natura, della portata, del contesto e delle
finalità del trattamento, nonché dei rischi di varia
probabilità e gravità per i diritti e le libertà delle persone fisiche
derivanti dal trattamento, il titolare del trattamento, sia
al momento della determinazione dei mezzi di trattamento
sia al momento del trattamento stesso, attua
misure tecniche e organizzative adeguate, quali
la pseudonimizzazione, volte ad attuare
i principi di protezione dei dati, quali la minimizzazione dei dati, in modo
efficace e a integrare nel trattamento le garanzie necessarie
al fine di soddisfare i requisiti del presente
regolamento e tutelare i diritti degli interessati.
2. Il titolare del trattamento adotta misure tecniche e
organizzative adeguate per garantire che, per impostazione predefinita, siano trattati solo
i dati personali necessari per ciascuna finalità specifica
del trattamento.
Tale obbligo si applica alla quantità di dati personali
raccolti, alla portata del loro trattamento, al periodo di
conservazione e alla loro accessibilità. In particolare, tali
misure garantiscono che, per impostazione predefinita, i dati personali non siano
resi accessibili senza l’intervento dell’interessato a un
numero indefinito di persone fisiche.
|
Vectra AI all'applicazione degli standard di gestione dei dati
avvisando il personale addetto alla sicurezza informatica quando i dati vengono trasferiti tra
soggetti in modo tale da violare o non essere conforme alle
prassi consolidate.
Ciò si ottiene definendo i comportamenti di rete standard come riferimento e
monitorando poi eventuali movimenti anomali di dati tra
host, inclusi il volume o la frequenza del trasferimento dei dati.
Quando viene rilevato un movimento anomalo, Vectra AI
informazioni dettagliate sull'host che trasmette i dati, su dove
si trova, sulla quantità di dati e sulla tecnica
utilizzata per inviarli.
Inoltre, Vectra AI i requisiti di crittografia e pseudonimizzazione dei dati
(protezione dei dati fin dalla progettazione)
concentrandosi sulle intestazioni dei pacchetti di rete e non sul payload dei dati
, eliminando la necessità di qualsiasi forma di decrittografia dei dati,
instradamento dei dati o tecniche invasive di monitoraggio/elaborazione dei dati
.
|
Vectra AI a garantire il rispetto degli standard di gestione dei dati avvisando il personale addetto alla sicurezza informatica quando i dati vengono trasferiti tra le parti in modo non conforme alle prassi consolidate o in violazione delle stesse.
| Articolo del GDPR |
Vectra AI |
Articolo 32: Sicurezza del trattamento
|
|
1. Tenendo conto dello stato dell’arte, dei costi di
attuazione e della natura, della portata, del contesto e
delle finalità del trattamento, nonché del rischio di varia
probabilità e gravità per i diritti e le libertà delle persone
fisiche, il titolare del trattamento e il responsabile del trattamento adottano
misure tecniche e organizzative adeguate per
garantire un livello di sicurezza adeguato al rischio, tra cui
, tra l’altro, se del caso:
A. La pseudonimizzazione e la crittografia dei dati personali;
4.5.2016 L 119/51 Gazzetta ufficiale dell’Unione europea
IT;
B. La capacità di garantire la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento
;
C. La capacità di ripristinare tempestivamente la disponibilità e l’accesso ai dati personali
in caso di incidente fisico
o tecnico;
D. Una procedura per testare, valutare e verificare regolarmente
l’efficacia delle misure tecniche e organizzative
volte a garantire la sicurezza del trattamento. |
Monitorando costantemente la rete alla ricerca di indicatori di compromissione dell'
, Vectra AI le organizzazioni a verificare l'
efficacia delle loro soluzioni tecniche di difesa nell'ambito delle misure GDPR
.
Vectra AI al personale addetto alla sicurezzaVectra AI vedere cosa riesce a superare le loro difese
fornendo avvisi sui comportamenti precursori delle minacce,
come C&C, ricognizione interna, movimento laterale e
consolidamento dei dati.
Vectra AI molteplici opportunità di allerta precoce per
rilevare ransomware, altre malware e attività dannose mirate
che possono precedere attacchi di furto, manipolazione
o distruzione dei dati contro qualsiasi dispositivo di rete, compresi
i dispositivi che non eseguono software antivirus.
Allo stesso modo, Vectra AI l'infrastruttura Kerberos interna
e gli strumenti di amministrazione di sistema per comprendere i comportamenti di utilizzo
normali e rilevare quando le credenziali degli utenti fidati vengono
compromesse da un insider malintenzionato o da aggressori esterni.
Questi comportamenti includono l'uso improprio delle credenziali amministrative
e l'abuso di protocolli amministrativi come IPMI.
Di conseguenza, i team di sicurezza possono identificare e mitigare gli attacchi in
modo tempestivo.
Inoltre, Vectra AI le organizzazioni a dimostrare di
disporre di misure tecniche adeguate. Ad esempio,
Vectra AI il rilevamentoVectra AI , la classificazione e la prioritizzazione delle minacceVectra AI
attivano notifiche in tempo reale ai team di sicurezza.
Le notifiche offrono spiegazioni concise di ogni rilevamento di attacco
, inclusi gli eventi sottostanti e il contesto storico
che hanno portato al rilevamento, i possibili fattori scatenanti, le cause alla radice,
gli impatti sul business e i passaggi per verificare |
Vectra AI al personale addetto alla sicurezza di individuare ciò che riesce a eludere le loro difese, fornendo avvisi sui comportamenti che precedono le minacce.
| Articolo del GDPR |
Vectra AI |
Articolo 33: Notifica di una violazione dei dati personali all'
e all'autorità di controllo |
|
1. In caso di violazione dei dati personali, il titolare del trattamento deve
senza indebito ritardo e, ove possibile, entro 72
ore dal momento in cui ne è venuto a conoscenza, notificare la violazione dei dati personali
all'autorità di controllo competente ai sensi dell'articolo 55, a meno che la violazione dei dati personali
non sia tale da comportare un rischio per i diritti e le libertà delle persone fisiche.
Qualora la notifica all’autorità di controllo non sia
effettuata entro 72 ore, essa deve essere accompagnata dalle ragioni
del ritardo.
2. Il responsabile del trattamento notifica al titolare del trattamento senza indebito ritardo
dopo essere venuto a conoscenza di una violazione dei dati personali.
3. La notifica di cui al paragrafo 1 deve almeno:
A. Descrivere la natura della violazione dei dati personali,
se possibile, le categorie e il numero approssimativo
degli interessati e le categorie e il
numero approssimativo di registrazioni di dati personali interessate;
B. Comunicare il nome e i recapiti del responsabile della
protezione dei dati o di altro punto di contatto presso il quale è possibile ottenere ulteriori
informazioni;
C. Descrivere le probabili conseguenze della violazione dei
dati personali;
D. Descrivere le misure adottate o proposte dal titolare del trattamento per far fronte alla violazione dei dati personali,
incluse, se del caso, le misure volte a mitigarne i possibili effetti negativi.
4. Qualora e nella misura in cui non sia possibile fornire le informazioni contemporaneamente, queste possono essere fornite in più fasi senza ulteriori ritardi indebiti.
5. Il titolare del trattamento documenta ogni violazione dei dati personali,
indicando i fatti relativi alla violazione, i suoi
effetti e le misure correttive adottate.
Tale documentazione consente all’autorità di controllo di
verificare il rispetto del presente articolo.
|
Vectra AI una combinazione di tecniche di intelligenza artificiale
per automatizzare l'identificazione e la documentazione
degli attacchi e stabilire quali, se ce ne sono, richiedano una segnalazione
ai sensi del GDPR. I team di sicurezza ricevono spiegazioni concise
di ogni rilevamento, inclusi i possibili fattori scatenanti,
le cause alla radice, gli impatti aziendali e le misure da verificare.
Vectra AI i team di sicurezza:
• Visualizzando le informazioni di rilevamento tramite una semplice dashboard
che dà priorità agli host compromessi che presentano il rischio più elevato
, ai cambiamenti nei punteggi di minaccia e di certezza di un host e a qualsiasi
risorsa chiave che mostri segni di attacco.
• Consentendo ai team di sicurezza di condividere facilmente le stesse
informazioni su richiesta o secondo una pianificazione prestabilita utilizzando il motore Vectra AI altamente
personalizzabile.
• Sfruttare il Vectra Threat Certainty Index™ per attivare
notifiche in tempo reale, in modo che i team di sicurezza sappiano immediatamente
quali host di rete con indicatori di attacco rappresentano il rischio maggiore
con il più alto grado di certezza.
• Consentire la segnalazione e la notifica tempestiva delle violazioni dei dati personali
identificando i rilevamenti di esfiltrazione dei dati e
fornendo prove dei tentativi di violazione dei dati.
Vectra AI supportaVectra AI queste attività di risposta alla sicurezza e di
rimedio:
• Avvisi in tempo reale tramite e-mail, syslog o altri strumenti che sono stati
integrati tramite un'API REST.
• Un punto di partenza precorrelato per le indagini di sicurezza
all'interno dei sistemi di gestione delle informazioni e degli eventi di sicurezza (SIEM)
e degli strumenti forensi.
• Attivazione di regole di risposta dinamiche o attivazione automatica
di una risposta da soluzioni esistenti di orchestrazione e
applicazione della sicurezza.
|
I team di sicurezza ricevono spiegazioni concise su ogni rilevamento, comprese le possibili cause scatenanti, le cause alla radice, le ripercussioni sull'attività aziendale e le misure da adottare per la verifica.
| Articolo del GDPR |
Vectra AI |
Articolo 35: Valutazione d'impatto sulla protezione dei dati
|
|
1. Qualora un tipo di trattamento, in particolare quello che utilizza nuove tecnologie dell’
e, e tenuto conto della natura, della portata,
del contesto e delle finalità del trattamento, possa comportare
un rischio elevato per i diritti e le libertà delle persone fisiche,
il titolare del trattamento effettua, prima del trattamento, una
valutazione d’impatto delle operazioni di trattamento previste
sulla protezione dei dati personali.
Una singola valutazione può riguardare una serie di operazioni di trattamento simili
che presentano rischi elevati analoghi. […]
7. La valutazione deve contenere almeno:
A. Una descrizione sistematica delle operazioni di trattamento
previste e delle finalità del trattamento,
compreso, se del caso, l’interesse legittimo
perseguito dal titolare del trattamento;
B. Una valutazione della necessità e della proporzionalità
delle operazioni di trattamento in relazione alle finalità;
C. Una valutazione dei rischi per i diritti e le libertà
degli interessati di cui al paragrafo 1;
D. Le misure previste per far fronte ai rischi, comprese
le garanzie, le misure di sicurezza e i meccanismi
per assicurare la protezione dei dati personali e per
dimostrare la conformità al presente regolamento tenendo
conto dei diritti e degli interessi legittimi degli interessati
e delle altre persone coinvolte.
8. Il rispetto dei codici di condotta approvati di cui
all’articolo 40 da parte dei responsabili del trattamento o dei responsabili del trattamento interessati deve
essere debitamente preso in considerazione nella valutazione dell’impatto delle operazioni di trattamento
effettuate da tali responsabili del trattamento o
responsabili del trattamento, in particolare ai fini di una valutazione d’impatto sulla protezione dei dati
.
[…]
11. Se necessario, il responsabile del trattamento effettua una revisione per
valutare se il trattamento è effettuato in conformità con la valutazione d’impatto sulla protezione dei dati
almeno quando si verifica un cambiamento
del rischio rappresentato dalle operazioni di trattamento. |
Vectra AI monitora Vectra AI la comunicazione tra
applicazioni, strumenti e sistemi. Quando nuove tecnologie o
piattaforme vengono collegate alla rete, vengono immediatamente
monitorate da Vectra AI segnali di attacco.
Inoltre, Vectra AI un monitoraggio continuo delle pratiche inadeguate
di gestione dei dati e delle configurazioni errate dei sistemi che potrebbero comportare
l'esposizione dei dati e il rischio di violazioni.
Vectra AI alla capacità di eseguire una valutazione d'impatto olistica
in quanto fornisce le prove di comportamenti sospetti
e di minacce reali all'interno della rete che sono
associati alla manipolazione e alla perdita di dati, nonché
a comportamenti precursori di attacchi.
|
Vectra AI monitora Vectra AI la comunicazione tra applicazioni, strumenti e sistemi.
Protezione dei dati personali ai sensi del GDPR con Vectra AI
L'applicazione uniforme del GDPR in tutti gli Stati membri dell'UE dovrebbe facilitare alle organizzazioni l'adozione di sistemi di sicurezza dei dati conformi e di procedure di notifica delle violazioni. È fondamentale disporre di strumenti e tecnologie adeguati.
Purtroppo, l'individuazione e la risposta agli attacchi informatici sono spesso un processo lento. Secondo il rapporto M-Trends 2016, occorrono in media 146 giorni prima che una violazione venga individuata. Inoltre, il 53% di questi casi viene scoperto solo dopo una segnalazione da parte di soggetti esterni, come sottolinea il rapporto.
La piattaforma di rilevamento e risposta alle minacce Vectra AI riduce i tempi dei processi di notifica e risposta alle minacce da settimane o giorni a pochi minuti. Grazie all'intelligenza artificiale, identifica le minacce in modo proattivo e in tempo reale.
Automatizzando le attività più dispendiose in termini di manodopera, che solitamente sono di competenza degli analisti di sicurezza informatica di primo livello e dei team di risposta agli incidenti, Vectra AI riduce Vectra AI i tempi dedicati alle indagini sulle minacce fino al 90%, consentendo ai team di sicurezza di concentrarsi sulla prevenzione e sulla mitigazione della perdita di dati.
Efficiente ed economica, Vectra AI ai team di sicurezza IT una visibilità in tempo reale su tutto il traffico di rete, individua gli autori di attacchi nascosti e sconosciuti e mette a loro disposizione il contesto degli eventi di sicurezza.
Consentendo ai team di sicurezza informatica di individuare e intervenire nelle prime fasi di un attacco, ben prima che si verifichi una violazione dei dati, Vectra AI il rischio di violazioni soggette a segnalazione ai sensi del GDPR.
Allo stesso modo, queste stesse funzionalità Vectra AI e allerta Vectra AI contribuiscono alla valutazione e fanno parte di un'architettura tecnica di sicurezza informatica adeguata che garantisce la conformità al GDPR.
