Che il 25 maggio sia una data importante per le aziende lo si è capito da tempo. Migliaia di annunci su piattaforme social, milioni di proclama pubblicitari sulla rete, e-mail di presentazione di centinaia di imprese e professionisti che hanno tempestivamente ribaltato il loro business e intravisto un’opportunità di affari nelle nuove regole del GDPR.

In questo contesto l’imprenditore digerisce con difficoltà le nuove disposizioni interpretandole come mere imposizioni.

Tuttavia, la riservatezza dei dati e la loro tutela è una questione di assoluta attualità che assiste ad implicazioni di giganti come Facebook, Sony, Yahoo, Apple etc etc.

Il motivo di questa eccessiva attenzione verso i dati insiste nello sviluppo della rete internet e nella rapida diffusione che un dato o una informazione può avere se esfiltrata al tenutario.

l’articolo 4 del GDPR:

“qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;”

Tuttavia, al di là delle pesanti regole imposte e sanzioni previste, il GDPR può rappresentare una opportunità per le imprese italiane (europee) per tre macro ragioni connesse tra loro

1.MONITORARE E METTERE IN SICUREZZA I PROCESSI

Identificare, memorizzare, classificare, eventualmente cancellare i dati sono tra le attività che quasi tutte le aziende si trovano a svolgere quotidianamente ed è per questo che l’applicazione del GDPR dovrebbe quindi apparire come “vantaggiosa” per migliorare, standardizzare e securizzare i propri processi interni ma soprattutto come beneficio per i clienti/utenti.

Il GDPR porta dei significativi vantaggi anche nel classificare dati spesso dimenticati e non custoditi secondo dei criteri di sicurezza aggiornati.

Se sfruttata l’occasione quindi, si potrà procedere ad una riorganizzazione e razionalizzazione dei dati aziendali al fine di evitare i rischi associati a questo regolamento, ma anche e soprattutto di fare ordine nei dati per realizzare significative economie di scala. Penso alla digitalizzazione di informazioni non correttamente custodite su carta, su vecchi supporti magnatici ancora leggibili ma a forte rischio e comunque su sistemi aziendali non più utilizzati dove magari sono rimaste memorizzate delle informazioni personali.

Anche in questi casi, l’utilizzo dello spazio di archiviazione all’interno dei data center in cloud ottimizza gli investimenti infrastrutturali, limitando la duplicazione dei dati in eccesso e rafforzando il livello di sicurezza, potendo contare su una sicurezza infrastrutturale garantita da specifiche certificazioni.

 

2.PREVENZIONE DEGLI ATTACCHI INFORMATICI

Con l’uso quotidiano di piattaforme oline come social network, gestionali, ERP, CRM, e-commerce, Internet banking e l’emergere di oggetti connessi (IoT), i dati personali sono ovunque sul web.

Sempre più frequenti gli attacchi informatici sono decisamente più rischiosi degli attacchi fisici. Le aziende sottovalutano i pericoli derivanti molto spesso dalla negligenza degli impiegati.

Con questa ampia, ma semplice definizione, il GDPR tocca di fatto, un gran numero di infrastrutture pubbliche e aziendali. L’obiettivo è chiaro: proteggere le persone dall’uso illecito dei propri dati e dai crimini informatici    in genere. È evidente che per gli hacker, i servizi online sono un obiettivo primario essendo spesso esposti a delle vulnerabilità e falle di sicurezza. Utilizzando varie modalità infatti, possono recuperare elenchi di dati bancari, dati di accesso a servizi on line e persino informazioni soggette al segreto professionale o dati altamente sensibili come quelli posseduti dalle strutture sanitarie.

Proprio riferito ai dati sanitari, l’esempio piuttosto recente (maggio 2017) di attacchi massicci con il ransomware Wannacry e Petya. Veniva richiesto il riscatto a moltissimi ospedali europei (italiani compresi) per avere indietro i dati dei pazienti che avevano criptato e che dunque, non erano più nella loro disponibilità, mettendo a rischio la vita stessa dei pazienti oltre che la loro privacy.

Ma gli attacchi non risparmiano neanche, lo si è premesso, i giganti della Terra: Sony Computer Entertainment nel novembre 2014 ed il più recente “facebook gate”.

 

3.GDPR COMPLIANCE COME CERTIFICAZIONE DI AZIENDA 4.0

Le aziende non sono monadi a se stanti, comunicano costantemente con altri partner, con clienti, con istituti di credito e con molti altri soggetti commerciali e non. Nel farlo utilizzano infrastrutture dedicate o semplicemente le più comuni caselle di posta elettronica.

L’essere “conforme” alle regole del Regolamento 679 equivale ad un cenno di assicurazione verso i terzi di una corretta gestione delle informazioni e dei dati.

Quale soggetto economico vorrebbe interfacciarsi con un partner che pone se stesso e gli altri ad un rischio di esfiltrazione che potrebbe compromettere non solo l’infrastruttura (circostanza più o meno gestibile) ma la social reputation aziendale.

Essere quindi conformi significa essere “sicuri” così come si è abituati a pensarlo per aspetti finanziari (di esposizione al debito), aspetti di sicurezza fisica (di esposizione a furti o danneggiamenti).

Insomma, ottenere il “bollino verde” equivale a continuare ad essere nel mercato nazionale, europeo e, come più volte detto, mondiale.

 

PASSI VERSO LA COMPLIANCE

Sintetizzandoli in pochi passaggi, le aziende devono essere in grado di gestire e razionalizzare le informazioni e comprendere:

  • Quali sono i dati ospitati;
  • Quali sono i metodi di raccolta;
  • Quali sono i metodi e le tecnologie di trasferimento;
  • Quali sono gli attributi di sicurezza;
  • Quali sono i metodi di autenticazione.

E’ utile concludere ribadendo che non sono solo i sistemi informatici coinvolti nel “piano di cambiamento” del GDPR. Non è sufficiente acquistare il miglior prodotto tecnologico sul mercato.

La sicurezza passa prima dalle persone e dal livello di consapevolezza che queste hanno del pericolo che un comportamento non corretto può avere effetti impattanti per tutta l’organizzazione per cui lavorano.

Insegnare le regole, modificare i sistemi informatici ma … periodicamente aggiornarsi per due motivi:

  • Rinfrescare la conoscenza
  • Rincorrere l’evoluzione tecnologica.

Di Nicola Tigri

© 2018 Observere Srl P.Iva 10220640964

logo-footer