Il 2018 è stato un anno fondamentale per la conformità. I riflettori sono stati saldamente puntati sulla protezione dei dati e le organizzazioni hanno dovuto rivalutare i loro interi processi di gestione dei dati per conformarsi al GDPR recentemente introdotto.
Non c'è dubbio che questa legislazione è stata il catalizzatore per il cambiamento, tuttavia l'aumento preoccupante di attacchi informatici ha anche portato a casa l'importanza di salvaguardare i preziosi dati dei clienti.
Man mano che gli attacchi diventano più sofisticati, le organizzazioni devono diventare più proattive nel loro approccio alla sicurezza informatica per assicurarsi di essere attrezzate per affrontare queste minacce in evoluzione.
Questo significa difendere in modo aggressivo i dati che possiedono e prendere tutte le misure necessarie per assicurarsi di non essere la prossima azienda violata ad essere sbattuta sulle prime pagine dei giornali.
Nonostante questo impegno per migliorare la sicurezza dei dati, ci sono una serie di problemi che le organizzazioni possono incontrare nel prossimo anno e che rappresentano una minaccia per la loro continua conformità.
I cinque migliori regolamenti IT e problemi di conformità che le organizzazioni dovranno affrontare nel 2019
GDPR
Il tanto pubblicizzato GDPR è entrato in vigore il25 maggio e pone nuove basi per il modo in cui le organizzazioni elaborano e gestiscono i dati in futuro. La legislazione ha modernizzato le regole di protezione dei dati e ora dà agli individui un maggiore controllo su chi raccoglie e tratta i loro dati, per cosa vengono usati e come vengono protetti.
Le organizzazioni devono essere in grado di dimostrare la conformità con la legislazione o affrontare multe pesanti fino al 4% del fatturato globale annuale o 20 milioni di euro. Le multe dipenderanno anche dalla gravità della violazione e se le organizzazioni hanno preso provvedimenti per dimostrare che sono conformi.
Tuttavia, il25 maggio non è stato affatto un punto di arrivo per il GDPR. Dimostrare la conformità al GDPR è un processo continuo e le organizzazioni dovranno continuamente identificare e affrontare i rischi per la privacy e la sicurezza per assicurarsi di non cadere in fallo con la legislazione.
Regolamento ePrivacy
Le organizzazioni hanno trascorso gli ultimi sei mesi a fare i conti con il GDPR e devono già prepararsi per un nuovo regolamento dell'UE che richiederà la stessa conformità alla legge europea.
Il regolamento ePrivacy dovrebbe essere implementato entro i prossimi 6-12 mesi e affronterà i progressi della tecnologia e si concentrerà specificamente sulla privacy individuale relativa alle comunicazioni elettroniche. Questo includerà i dati su siti web, SMS, e-mail, social network, blog, app, VoIP, video, messaggistica dei social media e dispositivi IoT.
Anche se c'è una certa sovrapposizione tra il GDPR e il regolamento ePrivacy, la differenza chiave è che il GDPR copre il trattamento dei dati personali in tutte le forme, mentre il regolamento e-Privacy copre le comunicazioni elettroniche. Le organizzazioni dovranno dimostrare la piena conformità con la legislazione o affrontare le stesse multe salate imposte dal GDPR.
Il regolamento ePrivacy si applicherà a tutti e a qualsiasi paese che fornisce servizi di comunicazione elettronica all'UE, ma ci si aspetta che abbia un impatto su alcuni settori più pesantemente di altri. Industrie come il marketing, la pubblicità e i media non potranno inviare materiale promozionale ai clienti senza il loro previo consenso.
Fornitori di servizi di terze parti
La sicurezza informatica e la conformità sono ormai diventate priorità chiave per le organizzazioni, tuttavia un'area che tende ad essere trascurata è quella delle loro terze parti. Negli ultimi anni, è diventata la norma per le organizzazioni utilizzare una serie di diversi fornitori di terze parti per supportare le funzioni di core business, e spesso molte di queste parti avranno accesso ai sistemi e ai dati interni di un'azienda. Questa interconnettività pone un rischio enorme per la sicurezza e la postura di conformità di un'organizzazione.
Le organizzazioni possono avere sistemi di sicurezza e di difesa a prova di bomba, ma gli hacker sono fin troppo consapevoli che il modo più semplice per aggirare queste difese è quello di sfruttare le vulnerabilità nei sistemi di terze parti. In genere, questi fornitori non hanno le stesse robuste difese di sicurezza informatica in atto e forniscono un facile punto debole per l'attacco.
Alcuni dei più grandi cyber-attacchi della storia sono il risultato di violazioni di terzi e un recente sondaggio condotto da Soha Systems ha scoperto che il 63% di tutti i cyber-attacchi potrebbe essere ricondotto direttamente o indirettamente a terzi.
In futuro, le organizzazioni dovranno valutare la loro sicurezza informatica da più punti di vista e garantire che le linee guida e i sistemi adeguati siano rispettati dai loro fornitori esterni. Con il GDPR, le organizzazioni sono ora legalmente obbligate a fornire garanzie alle autorità di regolamentazione che i loro fornitori di servizi di terze parti sono conformi alle nuove normative, avendo una buona sicurezza informatica e controlli sulla privacy in atto.
Dipendenti
I dipendenti possono essere la vostra più grande risorsa, ma sono anche il vostro anello più debole. I criminali informatici spesso prendono di mira i dipendenti di un'organizzazione perché sono il modo più semplice per infiltrarsi in un sistema.
L'88% di tutte le violazioni dei dati può essere attribuito all'errore umano, quindi è fondamentale che le organizzazioni investano in una formazione di alta qualità sulla consapevolezza della sicurezza informatica che permetta al personale di riconoscere il ruolo importante che svolge nella salvaguardia dei dati sensibili dell'azienda.
La formazione non solo istruirà il personale sulla gamma di minacce che affrontano internamente, ma affronterà anche i rischi di sicurezza informatica affrontati quando si lavora in remoto. Il lavoro in remoto può presentare un serio rischio per la sicurezza che può lasciare la rete IT di un'organizzazione, i sistemi e i dispositivi altamente vulnerabili agli attacchi. Le informazioni contenute nei dispositivi mobili sono estremamente preziose per i criminali informatici, che approfitteranno di qualsiasi falla nella sicurezza per rubare questi dati sensibili.
Un'efficace formazione sulla consapevolezza della sicurezza informatica educherà il personale, ridurrà la possibilità che si verifichino violazioni dei dati e aiuterà a costruire una cultura di maggiore conformità alla sicurezza.
Gestione del software
Per diventare conformi, le organizzazioni devono difendere ogni punto di accesso per garantire che gli hacker non possano penetrare nei loro sistemi. Una delle cause principali dei cyber-attacchi sono i sistemi senza patch. Nuove vulnerabilità vengono scoperte in continuazione e, a meno che non vengano applicate le patch, gli hacker sfrutteranno queste vulnerabilità per penetrare in una rete.
Il patching garantirà che ogni pezzo di software utilizzato all'interno di un'organizzazione sia aggiornato con le versioni più recenti rilasciate dal produttore. Le organizzazioni dovranno essere proattive nel loro approccio alle patch per assicurarsi di essere in grado di rilevare qualsiasi vulnerabilità prima che lo faccia un hacker.
MetaPrivacy è stato progettato per fornire l'approccio migliore alla conformità alla privacy dei dati. Contattateci per ulteriori informazioni su come possiamo aiutare la vostra organizzazione a migliorare la sua struttura di conformità.