Il GDPR ha appena compiuto 3 anni. Perché le violazioni dei dati sono ancora così frequenti?

In questi giorni ricorre il terzo anniversario del General Data Protection Regulation (GDPR), che è probabilmente la legge sulla privacy e sulla sicurezza dei dati più ampia fino ad oggi. Qualsiasi organizzazione che lavora con individui o organizzazioni nell’Unione Europea deve rispettare il GDPR, anche se la società non ha una presenza fisica nell’UE.

Oltre a dare ai consumatori europei un maggiore controllo su come le organizzazioni possono utilizzare i loro dati personali, il GDPR impone alle società di integrare la sicurezza dei dati nei loro prodotti, policy, procedure e sistemi; ritiene le organizzazioni responsabili se uno dei loro partner o vendor subisce una violazione; e richiede di notificare una violazione alle autorità e ai clienti interessati entro 72 ore dal rilevamento.

Le organizzazioni che non rispettano il GDPR possono perdere molto; le autorità di protezione dei dati dell’UE possono imporre multe fino a 20 milioni di euro o sanzioni amministrative del 4% del fatturato globale annuo.

La scarsa sicurezza delle password è la causa della maggior parte delle violazioni

Al momento della sua implementazione, i sostenitori della privacy speravano che il GDPR avrebbe inaugurato una nuova era della privacy e della sicurezza dei dati, compresa una riduzione delle violazioni dei dati. Eppure, tre anni e milioni di euro di multe dopo, le violazioni dei dati sono ancora un evento quotidiano.

Una delle multe GDPR più alte fino ad oggi – 20 milioni di sterline (oltre 28 milioni di dollari) – è stata imposta a British Airways per una violazione del 2018 che ha compromesso i dati personali di oltre 429.000 clienti. Secondo l’Information Commissioner’s Office del Regno Unito, la violazione è stata causata da BA che non ha seguito le migliori pratiche di sicurezza di base, come limitare l’accesso alla rete degli utenti ai dati e ai sistemi sensibili e implementare l’autenticazione a due fattori (2FA).

British Airways è lontana dall’essere l’unica organizzazione con problemi di sicurezza delle password. Circa l’81% delle violazioni di dati sono dovute a password deboli o compromesse. Le credenziali compromesse giocano anche un ruolo importante in circa il 75% degli attacchi ransomware.

Proteggi la tua organizzazione da violazioni di dati e multe GDPR

Per aiutare a prevenire le violazioni dei dati e le sanzioni amministrative del GDPR, le società devono implementare un Enterprise Password Management (EPM) e istituire un’architettura di sicurezza zero-trust che verifichi tutti gli utenti e i dispositivi prima che siano autorizzati ad accedere alle risorse aziendali.

Il gestore di password zero-trust Keeper utilizza una crittografia e una struttura di segregazione unica dei dati. Keeper usa PBKDF2 per ricavare le chiavi di autenticazione basate sulla Master Password di ciascun utente, quindi genera, localmente sul dispositivo, chiavi crittografate AES-256 a livello di record individuale,  garantendo che solo l’utente possa accedere al proprio vault di Keeper.

Inoltre, Keeper fornisce alle società la visibilità e il controllo totale sulle pratiche relative alle password dei dipendenti, per implementare con successo un modello di sicurezza zero-trust. Gli amministratori IT possono monitorare e controllare l’uso delle password nell’intera organizzazione, e applicare regole di sicurezza come password forti e uniche, 2FA, controllo dell’accesso basato sui ruoli (RBAC) e accesso con il minor numero di privilegi. Keeper ha anche i seguenti vantaggi:

• Facilità d’uso sia per gli amministratori IT che per gli utenti finali; implementazione rapida su tutti i dispositivi senza costi iniziali di apparecchiature o installazione.
• Onboarding personalizzato, supporto e formazione 24/7 da parte di uno specialista .
• Supporto auditing, segnalazione di eventi e standard di conformità, inclusi HIPAA, DPA, FINRA e GDPR.
• Facile integrazione con SSO; nessun bisogno di login separati.
• Archiviazione sicura di file, documenti, foto e video sensibili su un numero illimitato di dispositivi.
• Archivi privati per ogni dipendente, oltre a cartelle condivise, sottocartelle e password per i team.
• Flessibilità totale: Keeper si adatta alle dimensioni di qualsiasi azienda.

Keeper richiede solo poche ore per l’implementazione, ha bisogno di una gestione minima e si adatta alle esigenze di organizzazioni di qualsiasi dimensione.

Fonte: Keeper Security