L’approccio al GDPR è un tema di cui si parla molto recentemente, visto la scadenza alla conformità per le aziende italiane, fissata per il 25 maggio 2018.
Questi ultimi mesi hanno visto un crescente interesse verso la normativa europea GDPR (General Data Protection Regulation) e un proliferale di offerte sia di prodotti sia di servizi per rendere le aziende “GDPR Compliant”.
Tutta questa attenzione sembra essere più rivolta ad evitare le sanzioni piuttosto che allo scopo principale per cui è nata la normativa. ovvero proteggere i dati ed in particolare i dati delle persone.
La conseguenza è che quasi tutte le aziende che lavorano nel mondo IT stanno cercando di replicare quanto fatto in passato per l’anno 2000 e per l’Euro con una differenza fondamentale: nei due casi citati era stata la funzione dell’IT ad essere impattata maggiormente e a svolgere un ruolo centrale per l’azienda nel processo di adeguamento; nella normativa GDPR l’IT invece svolge la funzione di collante fra tutte le funzioni aziendali, supportando non solo il business, ma anche tutti i nuovi processi necessari a garantire il rispetto della nuova normativa, con nuovi strumenti e soprattutto con nuove competenze.
Provo ad argomentare più dettagliatamente questo mio pensiero.
Per l’anno 2000 era evidente la necessità di revisione dei programmi per bonificare i sistemi informativi e disinnescare la tanto temuta “bomba dell’anno 2000”. L’introduzione dell’Euro ha reso necessarie altre modifiche ai programmi e alle applicazioni per consentire alle aziende di lavorare correttamente con la nuova valuta: anche in questo caso c’è stato un business legato quasi esclusivamente al mondo dell’Information Technology.
Il GDPR ci pone di fronte a dinamiche molto differenti da quelle appena citate: esso prevede che si guardi al dato con la dovuta attenzione e considerazione; richiede che si arrivi alla consapevolezza del valore del dato, non solo per l’azienda che lo registra, gestisce, manipola e trasforma ma soprattutto per chi possiede il dato e per le persone a cui i dati si riferiscono. Questo è il vero obiettivo della normativa, che non significa semplicemente adeguare il firewall o l’antivirus per non incorrere nelle sanzioni ma nemmeno, all’estremo opposto, arrivare a tracciare ogni singolo bit a cui l’utente può accedere.
L’approccio al GDPR, per essere corretto, deve iniziare con il prendere consapevolezza di come il dato viene gestito in azienda, dall’acquisizione fino alla sua cancellazione.
Purtroppo molte volte si tende a sottovalutare l’importanza dei dati, dando per scontato la loro disponibilità e correttezza, non governando adeguatamente la loro sicurezza nel senso più ampio del termine. Mi riferisco all’importanza dei dati come materia prima da cui estrarre conoscenze e informazioni per il miglioramento del business; penso all’importanza e al valore dei dati per l’azienda, agli impatti economici legati alla perdita di informazioni o alla perdita di valore delle informazioni in essi contenuto. Penso ai CryptoLocker che hanno fermato aziende per intere settimane – se non per sempre -, alla corruzione dei dati dovuti a problemi hardware che rendono gli stessi non più attendibili o incompleti, per arrivare alla fuga dei dati nel senso della copia non autorizzata – casi come Yahoo! ad esempio -.
Il valore dei dati in termini di informazione corretta e sicura che rappresenta un vantaggio competitivo per l’azienda, è solo una faccia della medaglia. L’altra è quella dei dati personali e dei dati sensibili riferiti a persone. Ma per chi hanno valore queste informazioni? Per le persone che affidano alle nostre aziende i propri dati personali e sensibili fiduciosi che verranno custoditi ed utilizzati per gli scopi concordati, vedi i contratti di lavoro, i dati dei CRM per la profilazione dei clienti, i dati di vendita, i dati legati alle carte fedeltà, i cookies del browser etc.
- Quale potrebbe essere l’impatto sull’azienda se questi dati venissero cancellati, copiati, venduti, ceduti a terzi o peggio pubblicati? Se non fossero più utilizzabili oppure se contenessero inesattezze?
- Quali gli effetti di questi possibili eventi sulla vita delle persone, dei dipendenti, dei clienti, dei fornitori e dei consulenti?
- Saremmo in grado di proseguire con le nostre normali attività? Potremmo continuare a produrre e spedire i nostri prodotti? Subiremmo dei fermi della produzione? Con quali danni economici?
- Come tutto ciò si ripercuoterebbe sull’immagine della nostra azienda?
- I nostri clienti sarebbero ancora disposti a fare business con noi?
- Quali danni arrecheremmo ai nostri interlocutori?
Questa nuova consapevolezza richiede alla funzione IT di estendere le proprie competenze e di spingersi oltre i limiti incontrati fino ad oggi. E’ necessario quindi addentrarsi nei processi aziendali, capirli, disegnarli ma soprattutto supportare l’implementazione dei nuovi processi per la sicurezza dei dati. La funzione IT deve diventare “consulente del dato” per l’azienda, proprio in virtù della sua posizione privilegiata di gestore dei dati.
Questa è, a mio avviso, la sfida che il GDPR sta lanciando alle nostre aziende: capire l’importanza del dato e della sua integrità garantendo la sua protezione. Una protezione che, come recita la normativa GDPR, deve essere “by design” ovvero insita nel processo di gestione del dato. Non dovranno più esistere livelli minimi di sicurezza ma livelli adeguati in funzione della tipologia del dato trattato. La funzione IT deve quindi iniziare a padroneggiare nuove competenze, è necessaria la conoscenza approfondita delle normative vigenti e del flusso che i dati seguono nei processi aziendali. Solo in seguito si potrà introdurre nei processi aziendali la corretta gestione del dato che dovrà tenere conto di:
- raccolta del dato in conformità alla normativa
- gestione della sicurezza e visibilità con l’accesso ai dati solo a chi è titolato; tracciatura degli accessi; alert per accessi non autorizzati
- conservazione con strumenti idonei a garantire la disponibilità del dato (backup, offsite del backup, soluzioni di Disaster Recovery e High Availability)
- protezione dai pericoli di manomissioni e corruzione (virus, CryptoLocker, danneggiamento etc.)
Tutto deve essere gestito nel quadro di un processo che entra a far parte dei processi aziendali.
Andrea Bortolan
Power System Technical leader & Cloud Manager – smeup
My LinkedIn Profile
Naviga per categoria:
Seleziona una categoria d’interesse dal nostro magazine