Sono passati pochi mesi dall’entrata in vigore del GDPR (General Data Protection Regulation), il regolamento comunitario che disciplina pratiche, strumenti e figure professionali in materia di protezione delle informazioni personali. Un patrimonio ancora sottovalutato da molte aziende, spesso non in grado di sfruttarlo per ottimizzare processi interni e strategie commerciali, ma soprattutto un asset intangibile che fa sempre più gola a pirati informatici, hacker e – non dimentichiamolo – a concorrenti scorretti.
Lungi dall'essere un semplice elenco di prescrizioni e obblighi, il GDPR si sta rivelando uno strumento fondamentale per sistematizzare attività, database e meccanismi di controllo che non si limitano a tutelare la privacy di collaboratori, clienti, utenti, fornitori e partner, ma che diventano il principale ostacolo alla violazione di quello che, nell'era digitale, è destinato a diventare il vero tesoro di ogni impresa: i dati che ha a disposizione.
Trasformare gli obblighi del GDPR in opportunità
Essere compliant rispetto alla normativa vuol dire quindi non solo ottemperare agli obblighi, ma soprattutto fare in modo che quegli obblighi si trasformino in vantaggi concreti per l'organizzazione. Al di là della necessità di istituire una figura ad hoc, il DPO (Data Protection Officer), che avrà la visione e la responsabilità sui processi aziendali legati all'utilizzo dei dati, le imprese devono garantire un controllo adeguato sull'infrastruttura IT.
GDPR: come proteggere (tutti) gli endpoint
Fino a poco tempo fa backup, firewall e sistemi di autorizzazione all’accesso ai sistemi e ai dati rappresentavano nel complesso un approccio alla sicurezza soddisfacente. Oggi sono diventati il minimo sindacale e costituiscono un apparato preventivo non in grado di rispondere ai requisiti imposti dal GDPR. Senza contare che ora occorre avviare periodicamente processi di vulnerability assessment, che aiutino a tenere il polso della situazione rispetto alla continua evoluzione degli attacchi informatici, dei malware e della moltiplicazione degli access point, a cavallo di dispositivi mobile e oggetti connessi in ottica IoT.
Un cambiamento radicale a cui non tutti sono giunti adeguatamente preparati. Secondo un sondaggio condotto da SAS su un campione di 340 dirigenti aziendali nel mondo, a fine 2017 meno della metà (45%) delle imprese intervistate aveva un piano strutturato per adeguarsi al GDPR, mentre il 58% ammetteva di non essere del tutto consapevole delle conseguenze derivanti dalla mancata conformità al regolamento. Se il 45% del campione aveva avviato un processo strutturato per adeguarsi al regolamento, di queste solo il 66% si riteneva in grado di soddisfare appieno i requisiti di conformità. Una situazione che non è cambiata molto neanche con l’avvicinarsi dell’entrata in vigore del nuovo regoalmento, visto che stando allo studio “Finding The Missing Link in GDPR Compliance” realizzato da Senzing, a febbraio il 43% delle organizzazioni si dichiarava “allarmato” in relazione alle conseguenze dell'applicazione del GDPR.
Come risparmiare grazie al Cloud
Il cambiamento forse più importante è avvenuto sul piano culturale e per l'appunto metodologico, visto che sul fronte tecnologico le soluzioni in Cloud consentono ormai implementazioni rapidissime e con logiche di costo pay-per-use, oltre che dimensionate sulle reali esigenze dell'organizzazione. Ma il vero immediato vantaggio ottenuto nel momento in cui si è scelto soluzioni fornite via Cloud è che i provider certificati erano già tutti compliant rispetto al GDPR, e offrivano attraverso pacchetti modulabili servizi ben più avanzati di quelli necessari a soddisfare i requisiti minimi. Quella della cosiddetta “sicurezza gestita” rappresenta infatti solo una piccola porzione delle offerte dedicate per esempio a business continuity e disaster recovery, senza contare le funzionalità evolute per il controllo perimetrale richieste dalle applicazioni Internet of Things.
A conti fatti, è questo ciò che si intendeva quando si parlava di cogliere il reale valore che può generare il corretto adempimento del GDPR.
