Regolamento generale sulla protezione dei dati: perché è arrivato il momento di valutare la tecnologia esistente

Regolamento generale sulla protezione dei dati: perché è arrivato il momento di valutare la tecnologia esistente

Manca poco al termine ultimo per conformarsi al Regolamento generale sulla protezione dei dati (GDPR), eppure la maggioranza delle aziende non è ancora pronta e rischia di incorrere in multe salate.

Il Regolamento generale sulla protezione dei dati entrerà in vigore il 25 maggio 2018, eppure la maggioranza delle aziende non è ancora pronta e rischia di incorrere in multe salate, spiega Sudeep Venkatesh, esperto di tecnologie aziendali nonché responsabile globale della divisione di prevendita di HPE.

La maggior parte delle aziende che incontra settimanalmente, fra cui istituti finanziari, rivenditori, società di telecomunicazioni ed enti sanitari, elabora una quantità enorme di dati personali.

Per descrivere la preparazione dei CISO nei confronti del Regolamento generale sulla protezione dei dati, Venkatesh usa tre categorie: nella prima rientra la maggior parte delle organizzazioni globali.

"Il primo gruppo è consapevole di cosa comporterà il Regolamento generale sulla protezione dei dati e ha la possibilità di creare un ufficio dedicato alla privacy o di assumere un responsabile della protezione dati (DPO). Alcuni stanno già esaminando i requisiti legali o hanno ottenuto un budget per queste consulenze". Il 90% delle aziende appartiene a questa categoria, ovvero a coloro che stanno ancora pensando a come muoversi", spiega.

Alla seconda categoria appartengono invece le organizzazioni che sono più avanti nel processo (circa il 5%), e stanno verificando le tecnologie a disposizione e quelle ancora adottare per conformarsi al Regolamento generale sulla protezione dei dati, spiega Venkatesh. Alcune società più grandi hanno già investito in uno o più DPO dedicati, e stanno attivamente controllando i loro requisiti legali.

La terza categoria è rappresentata dalle organizzazioni che risultano perfettamente conformi al Regolamento generale sulla protezione dei dati; si tratta però di una percentuale molto esigua.

"A conti fatti, la maggior parte delle aziende ha una preparazione ancora carente, soprattutto per quanto riguarda i requisiti tecnologici. Definire politiche e assumere professionisti del settore legale serve fino a un certo punto", puntualizza Venkatesh.

Aggiunge inoltre che molte organizzazioni, sebbene i CISO e i team addetti alla sicurezza delle informazioni siano consapevoli della necessità di adeguarsi, non hanno ancora iniziato a esaminare la situazione e a valutare misure specifiche per adeguarsi al Regolamento generale sulla protezione dei dati.

Multe per i trasgressori

Uno dei fattori che spingerà le aziende a conformarsi ai requisiti del Regolamento generale sulla protezione dei dati sarà il timore di incorrere in pesanti sanzioni, fino a un massimo di 20 milioni di euro o, se superiore, al 4% del fatturato annuale dell'intero gruppo aziendale.

Venkatesh ci spiega che, secondo HPE, le sanzioni non saranno menzionate a titolo di "spauracchio", ma verranno massicciamente applicate. "Abbiamo motivo di credere che gli enti di controllo inizieranno a comminare sanzioni fin da subito; gli enti del Regno Unito hanno infatti dichiarato che non ci sarà nessun margine di tolleranza per chi non rispetta il Regolamento generale sulla protezione dei dati".

Il danno economico è solo uno dei tanti svantaggi di non adeguarsi ai nuovi standard. Infatti, ricevere una multa per violazione della sicurezza dei dati o per il mancato rispetto delle leggi comporta un danno di immagine che è altrettanto lesivo.

"Siamo sicuri che con l'avvicinarsi dell'entrata in vigore del Regolamento generale sulla protezione dei dati e la maggiore consapevolezza dei consumatori, rispettare il regolamento tornerà utile all'immagine del brand e offrirà un notevole valore aggiunto ai clienti", spiega Venkatesh.

I cittadini non sanno ancora molto dei cambiamenti in atto, soprattutto riguardo la portabilità, l'eliminazione dei dati e il diritto all'oblio", spiega Venkatesh. Prevede però che presto le autorità di controllo inizieranno a diffondere la notizia attraverso i mass media per informare i cittadini dell'esistenza del Regolamento generale sulla protezione dei dati e dei nuovi diritti di protezione dei dati personali per i consumatori europei. "Ritengo che spetti a tutti il compito di informare le persone sui loro diritti".

 

La tecnologia giusta

Secondo Venkatesh, il segreto per rispettare pienamente le nuove norme sulla protezione dei dati è affidarsi alla tecnologia giusta.

"Molti requisiti del GDPR prevedono l'uso di strumenti in grado di agevolare il rispetto della conformità, come soluzioni di crittografia, storage, gestione della classificazione e archiviazione, ma le aziende si dimostrano piuttosto pigre nell'usare e nell'implementare queste tecnologie".

E aggiunge: "Noi offriamo da 10 anni soluzioni per la crittografia e la creazione di pseudonimi. Per esempio, una grande società di telecomunicazioni usa la nostra crittografia in ben 550 delle sue applicazioni. 8 gestori di pagamento su 10 si avvalgono della tecnologia di crittografia HPE per criptare in modo affidabile i dati di tanti diversi sistemi".

Quello che HPE cerca di far capire ai suoi clienti è che la crittografia, da sola, non basta. Se utilizzata a livello di rete, per l'invio di dati, protegge, ad esempio, solo dai tentativi di intromissione nella linea o nel tunnel. A livello di storage aggiunge ulteriore protezione, ma, anche qui, deve essere rafforzata con crittografia dei dati sensibili a livello di campo, così da proteggere alcuni campi di dati specifici come nome, indirizzi, e-mail, numeri di telefono, informazioni sulla localizzazione GPS, dati di pagamento e comportamenti di acquisto.

"Molte organizzazioni stanno già implementando questa tecnologia, che può prevenire efficacemente l'attacco ai dati" spiega Venkatesh.

Supporto da parte del corpo dirigenziale

Tutto lo staff di un'azienda è responsabile di proteggere i dati personali, a partire dai top manager, spiega Venkatesh.

"Le organizzazioni che si sono già conformate al GDPR spesso commentano dicendo che quando si tratta di protezione, i responsabili aziendali mostrano piena disponibilità. Per verificare se un'azienda sta adottando l'approccio corretto, basta chiedere a un dirigente di livello C perché la sua organizzazione deve proteggere i dati e come lo sta facendo, e vedere se riesce a spiegarlo chiaramente con un'unica frase".

Un altro segnale è la perfetta collaborazione fra team di sicurezza, team addetti alle applicazioni e responsabili della protezione dati. "In genere, si riscontra un 'braccio di ferro' fra il dipartimento di sicurezza, che conosce le tecnologie relative a crittografia e creazione di pseudonimi, e i numerosi team di sviluppo delle applicazioni, che sono invece più interessati ad arricchire le loro app di nuove funzioni e ad aumentare le vendite", commenta Venkatesh. L'intervento dei dirigenti aziendali diventa quindi essenziale per assicurare che tutti i team lavorino in sinergia allo stesso obiettivo: proteggere i clienti".

Per concludere, Venkatesh dà un consiglio alle aziende che ancora non si sentono pronte a recepire il Regolamento generale sulla protezione dei dati: "CISO ed esperti di sicurezza devono comprendere appieno i requisiti del regolamento e identificare i prodotti giusti per la sicurezza delle applicazioni, come sistemi di gestione degli incidenti, crittografia e creazione di pseudonimi. Investire del tempo per prendere visione della tecnologia esistente e delle nuove esigenze può rivelarsi molto utile".

Crittografia Responsabile della sicurezza di informazioni e comunicazione (CISO) Violazione dei dati

Condividi con noi la tua opinione e partecipa alla discussione su LinkedIn!

SOTTOSCRIZIONE

Iscrivetevi per ricevere gli aggiornamenti di GDPR & Beyond