Con l’arrivo della GDPR (General Data Protection Regulation) le imprese in Italia tornano a dover comprendere, implementare e soprattutto gestire proattivamente il rischio derivante dalla perdita dei dati personali e dal mancato rispetto del nuovo concetto di Accountability del Titolare del trattamento degli stessi. Indipendentemente dalla definizione del dato considerato “personale”, l’introduzione della nuova normativa è una occasione per potere affrontare in modo olistico i processi di Security Risk Management in azienda e di Cyber Security, considerando ad esempio anche quanto, a livello europeo, la riconducibilità di un indirizzo IP al dato personale, possa essere un elemento critico in fase di giudizio, aspetto molto sfidante nell’ambito della classificazione delle informazioni e delle metodologie di protezione da adottarsi per le aziende. La Sicurezza delle Informazioni e la Data Protection sono le priorità assolute in tutti i principali settori verticali e per tale motivo devono ricevere all’interno delle aziende un focus particolare con risorse e mezzi adeguati per poter fronteggiare gli attacchi di nuova generazione e anche per rispondere ai dettami di sicurezza,  accesso e gestione dei dati dei clienti, imposti dalla nuova normativa europea sulla protezione dei dati GDPR, che dal maggio 2018 prevede delle pesanti sanzioni per le aziende (fino al 4% del fatturato mondiale annuo). E’ arrivato quindi il momento di ragionare su come indirizzare correttamente gli investimenti per abilitare una gestione proattiva della sicurezza che possa fare leva sulla capacità di anticipare e contenere eventuali tentativi di attacco a beneficio della aderenza a quanto richiesto dalla legislazione e dal bilanciamento del costo complessivo di gestione. La valorizzazione di questi investimenti e l’eventuale certificazione delle pratiche e delle metodologie di gestione del rischio, già previste dal GDPR, rappresenteranno un vantaggio competitivo reale sul mercato all’interno del nuovo quadro normativo di riferimento. L’evoluzione delle minacce peraltro rende ancora più sfidante l’adozione delle corrette pratiche tecnologiche; a maggior ragione è necessario comprendere quanto il fattore umano e la tecnologia siano collegati da un forte filo conduttore nella gestione del rischio Cyber. Gli attacchi di “nuova generazione” si basano su tecniche di evasione che le tecnologie tradizionali non intercettano. Nel corso del 2017 questa tipologia di attacchi ha visto una forte ascesa nelle statistiche e nei rilevamenti della ricerca e sviluppo di Bitdefender e di altri centri di ricerca. Il concetto di “Next Generation” va quindi compreso al meglio per potere implementare soluzioni che siano dei forti abilitatori verso una gestione nuova, virtuosa e necessaria della sicurezza. Machine Learning e Memory Introspection sono elementi imprescindibili ed occasioni di rinnovamento dei controlli tecnologici adottati. Non solo più ransomware quindi, che peraltro continua la sua ascesa e polimorfismo nella sua diffusione, ma anche attacchi di tipo Script Based o Power Shell, modalità di attacco in rapida crescita nelle statistiche, fortemente impattanti e che illustreremo durante l’intervento. L’obiettivo che il workshop in collaborazione con LAN Service si prefigge è quindi quello di illustrare una metodologia implementativa per affrontare il tema sicurezza e data protection, in funzione della GDP  in modo sistemico e sotto tutti i punti di vista: tecnologico, normativo, organizzativo. Durante la sessione sarà presentato un caso reale di implementazione di una realtà Industriale nazionale, come riferimento e spunto di riflessione sul percorso virtuoso che ci attende, nella gestione delle nuove dinamiche di Cyber Security.