A cura di
Elizabeth Maxwell, Emea Technical Director di Compuware
È essenziale che le aziende definiscano una strategia accorta, una sorta di progetto di conformità. Possedere un piano realistico ed eseguibile minimizzerà i costi iniziali richiesti per adeguare le applicazioni e le procedure alle nuove norme, comprovarne il rispetto e mantenere la conformità.
Ecco cinque passi da considerare nella messa a punto di un piano per adottare, comprovare e mantenere la conformità.
– Capire le implicazioni della legge sulle operazioni della propria azienda. Il primo passo in direzione della conformità dovrebbe essere quello di comprendere le implicazioni delle normative attuali e di quelle future sulle proprie operazioni, comprese le modifiche da effettuare e il relativo impatto sulla spesa IT complessiva. E l’impatto è notevole: molte aziende utilizzano ancora i dati effettivi dei clienti e dei consumatori nello sviluppo e nei test delle applicazioni senza badare troppo alla protezione dei dati sensibili. Per questo, con la nuova normativa, le aziende dovranno ripensare il proprio approccio ai test applicativi.
– Analizzare dove risiedono i dati personali e sensibili. Prima di mappare una soluzione tecnica, le aziende dovrebbero valutare attentamente il proprio utilizzo dei dati nei vari ambienti per capire dove esista un rischio di violazione dei dati. In altre parole, chi può accedere ai dati e dove risiedono i dati. È importante notare come l’analisi di questi elementi – dove risiedono i dati personali e sensibili, e come essi interagiscano con altri dati – possa richiedere molto più tempo di quello preventivato inizialmente.
– Determinare come desensibilizzare i dati pur utilizzandoli. Una volta mappate le collocazioni dei dati personali e sensibili nonché i potenziali rischi di sicurezza, sarà più semplice decidere come desensibilizzare i dati stessi. È possibile introdurre tecniche di anonimato nei workflow e nei processi già esistenti, oppure creare nuovi workflow da zero in maniera conforme alle ultime normative. Questo passaggio aiuterà anche a stabilire i requisiti di un’eventuale soluzione fornita da terze parti, qualora sia necessaria.
– Sviluppare la soluzione mediante una serie selezionata di strumenti. Una volta determinati i requisiti di una soluzione per la riservatezza dei dati, occorre procedere allo sviluppo di un sistema che aiuti a proteggere le informazioni e rispettare la conformità. Una soluzione può essere costituita da un nuovo insieme di processi di business, dalla revisione dei diritti di accesso ai dati, da una tecnologia per la gestione dei dati (di test), o una combinazione di tutte queste e di altre misure adatte alla situazione e all’approccio prescelto.
– Inserire la soluzione nel framework operativo esistente della divisione IT. L’analisi che identifica i punti in cui risiedono i dati personali e sensibili e la loro interazione con altri dati può richiedere molto più tempo rispetto a quanto inizialmente previsto. La maggior parte delle aziende ha bisogno di assistenza per riuscire a rispettare le normative già in vigore, quindi figurarsi la preparazione alla nuova Direttiva. Ciò di cui hanno bisogno sono esperienza e capacità di valutazione prima di intraprendere delle decisioni che, se errate, possono risultare costose da un punto di vista sia progettuale che sanzionatorio.
E adesso?
Mentre la Commissione Europea segue l’iter parlamentare della Direttiva, è essenziale che i reparti IT inizino a pianificare sin da ora l’adeguamento dei loro sistemi per conformarsi alle nuove normative. Anche con la prevista finestra di adeguamento di due anni, le cose da fare sono molte: si pensi ai volumi di dati coinvolti, alla complessità delle relazioni esistenti tra gli oggetti di dati (in molti casi non documentate) e all’integrità interpiattaforma, tutti elementi di cui tenere conto nell’approccio alla minimizzazione e a rendere anonimi i dati che riduce i rischi organizzativi di violazione delle informazioni.
Le aziende che hanno bisogno di assistenza nel prepararsi alla Direttiva dovrebbero considerare la possibilità di rivolgersi a una società specializzata che possieda un alto livello di esperienza e conoscenze nella protezione e nella gestione dei dati, oltre a mettere a disposizione servizi di consulenza che possano garantire supporto nel corso del processo. Affidarsi a competenze esterne riduce l’appesantimento di divisioni IT già oberate di lavoro, abbatte i costi della conformità appiattendo la curva di apprendimento e, cosa più importante, mitiga i rischi di fallimento del progetto.