06/06/2018
L'importanza di ampliare l'identity governance ai file aziendali
Cunningham (SailPoint): un numero sempre più grande di organizzazioni comprende l'importanza di governare l'accesso a tutti dati e a tutte le applicazioni
In tema di GDPR, spesso si considerano dati e file correnti, ma non quelli archiviati, magari risalenti ad anni prima. E invece questi possono contenere dati sensibili e come tali vanno trattati.
Secondo un'indagine condotta da SailPoint Technologies, leader nell'enterprise identity governance, la maggioranza (65%) delle organizzazioni intervistate riconosce l'importanza di governare l'accesso ai dati contenuti nei file archiviati nell'ambito delle rispettive strategie globali di governance delle identità. SailPoint ha sondato l'opinione dei partecipanti al vertice IAM di Gartner (Gartner IAM Summit) tenutosi a marzo a Londra, constatando la crescente importanza attribuita all'identity governance.
Durante lo stesso evento Gartner dello scorso anno, abbiamo intervistato i partecipanti sulla loro disponibilità a conformarsi al GDPR", ha affermato Kevin Cunningham, Chief Strategy Officer e Co-founder di SailPoint. "Inoltre, abbiamo chiesto il loro parere sul governo dell'accesso ai file, scoprendo che circa il 40% degli intervistati lo considerava una parte della propria strategia di identity governance; quindi l'aumento attuale, al 65%, è significativo.
È bello vedere che un numero sempre più grande di organizzazioni comprenda l'importanza di governare l'accesso a tutti dati e a tutte le applicazioni, indipendentemente da dove siano archiviati all'interno della loro infrastruttura. Specialmente in Europa, dove queste stesse organizzazioni hanno passato l'ultimo anno a sviluppare una strategia compatibile con il GDPR, penso che si siano rapidamente rese conto di come governare l'accesso ai propri file sia fondamentale per gestire al meglio la propria strategia di identity".
I rischi associati ai file archiviati, quali documenti, fogli di calcolo, presentazioni e PDF sono notevoli. La stragrande maggioranza di questi dati viene creata, estratta o scaricata dai singoli dipendenti, poi archiviata e condivisa da diversi luoghi, spesso al di fuori della portata del dipartimento IT. La mancata protezione di questi dati sensibili non solo aumenta il numero di punti di esposizione in caso di violazione, ma aumenta anche il rischio a livello normativo.
Le nuove norme sulla privacy, incluso il GDPR entrata in vigore nel 2018, hanno infatti introdotto requisiti ferrei e pene severe per la gestione dei dati personali e la mancata protezione di essi.
Per esempio, se un dipendente scarica un documento contenente informazioni di identificazione personale (PII) dei clienti da un tool di vendita e invia tramite email quel documento a un collega, le PII ora esistono al di fuori di un sistema strutturato e protetto - un sistema che solitamente vive dietro il firewall aziendale con una forte sicurezza e controlli di identità in atto - esponendo l'azienda al rischio e violando normative quali il GDPR.
"In SailPoint, lavoriamo con aziende di medio-grandi dimensioni e la protezione dei dati sensibili archiviati è una priorità assoluta per i nostri clienti. Il modo più efficace per proteggere questi dati è governarne l'accesso", ha dichiarato Paul Trulove, Senior Vice President di SecurityIQ. "I team responsabili dell'identity si sono resi conto che così facendo si migliora la sicurezza e si garantisce la conformità a normative come il GDPR. Le organizzazioni devono gestire tutte le identità digitali, per tutte le applicazioni e i dati. E non possono permettersi di lasciare i dati fuori dai propri programmi di identity. La nostra indagine conferma che i responsabili IT ne sono consapevoli".
