A cura di Nicola Attico, Solutions Consultant Manager ServiceNow Italy
Il General Data Protection Regulation (GDPR) entrerà in vigore a maggio 2018 ed è stato pensato per uniformare la protezione dei dati all’interno dell’Unione Europea. Il GDPR regola anche l’esportazione dei dati personali al di fuori dell’Unione Europea e per questo motivo le sue implicazioni saranno globali e significative per tutte le aziende internazionali. Le aziende, sia all’interno che fuori dall’Europa, si stanno già organizzando per capire come implementare i requisiti del GDPR al loro interno.
L’importanza della tempestività
Con il GDPR il tempo diventerà una criticità. Se un’azienda è consapevole di essere stata vittima di una violazione di dati ha la responsabilità di dimostrare come si è mossa per risolvere questa criticità nel più breve tempo possibile e questo influirà sull’ammontare della sanzione che potrebbe essere inferta.
Se prendiamo come esempio un’azienda come il gigante manifatturiero e farmaceutico Reckitt Benckiser, l’ampiezza e la dimensione delle sue operazioni mostrano come si sia sempre dovuto misurare con una grande sfida in termini di identity management, da una prospettiva di data management.
Reckitt Benckiser dispone infatti di una grande quantità di dati che risiedono nei sistemi di Customer Relationship Management (CRM), nei motori di ricerca e nelle varie ricerche correlate agli utenti che acquistano i prodotti.
Le domande sono quindi molteplici. Dove risiedono i dati? Chi può accedervi? Quali sono le policy che regolano la loro disponibilità e come sono gestite nella quotidianità?
Il controllo delle policy
Le aziende sono sempre a rischio di un potenziale furto di identità e il GDPR vuole promuovere una tutela maggiore. Le aziende devono chiedersi se hanno dei controlli di policy capaci di assicurare che le informazioni non vengano diffuse sul mercato o sul web, oppure devono essere in grado di indicare dove le informazioni siano state rilasciate.
Siamo quindi sicuri che le aziende stiano lavorando correttamente per adeguarsi al GDPR, definendo le loro responsabilità, mettendo in sicurezza i dati e gestendo adeguatamente le comunicazioni a fronte violazioni?
GDPR: i passi pratici
Dobbiamo mappare il regolamento GDPR e misurarlo su come le aziende stanno lavorando per proteggere i loro dati. Questo significa capire come le aziende utilizzano le password per proteggere i dati, che tipo di crittografia hanno adottato e su che tipo di dati, come classificano i dati e così via…
In questo modo, le aziende possono iniziare ad acquisire nozioni qualitative e quantitative su cosa stanno realmente combinando e con quali informazioni. Tipi diversi di dati hanno livelli di importanza diversi per il GDPR. Per esempio, i dati su quello che una compagnia di credito pensa su un cliente specifico sono molto più critici che il semplice nome e indirizzo. Noi lavoriamo a questo punto dolente, ovvero l’essere in grado di categorizzare e gestire il flusso di informazioni in ogni tipo di organizzazione e in ogni tipo di flusso IT.
7 mosse per essere conformi al GDPR:
- Fondamenta – Serve una valutazione per aiutare un’azienda a conoscere il punto in cui si trova nel suo percorso di compliance. È anche a questo punto che si chiarisce se l’azienda ha in mano dati di cittadini europei
- Policy – Le aziende devono stabilire policy e procedure per essere conformi alle richieste del GDPR e ai principi di confidenzialità, integrità, disponibilità e resilienza
- Staff – Le aziende devono nominare un DPO (Data Processing Officer), è obbligatorio
- Rilevare – Le aziende devono essere in grado di rilevare e valutare i cambiamenti alla sicurezza dei loro dati, in tempo reale e in qualsiasi momento. In questo modo saranno in grado di analizzare la gravità di ogni violazione di dati nel caso dovesse accadere. Questo processo di rilevamento permetterà alle aziende di valutare e calcolare i costi e l’impatto finanziario di eventuali violazioni
- Rispondere – Tutte le aziende devono implementare controlli regolari sulla reale applicazione del GDPR e inserirli in un piano di auditing di risk & security. È a questo punto che le aziende possono accelerare la remediation e la gestione attraverso l’automazione
- Monitorare – C’è una reale esigenza di monitorare i dati e avere degli insight in tempo reale sullo stato di compliance per avere la valutazione di rischio di ogni azienda. Tracciando gli stati di rischio possiamo utilizzare controlli di remediation quando diventano necessari. Il monitoraggio ci aiuta a rivedere velocemente i servizi di business più lontani dall’essere compliance e determinare se la criticità è di tipo tecnico o correlata al personale
- Ottimizzare e prevedere – Nel momento in cui il GDPR diventerà la norma, le aziende devono crearsi un base di regole che aiutino a risolvere velocemente i problemi che si ripetono e in grado di prevedere potenziali minacce e violazioni future
Il segreto è comprendere l’applicabilità del GDPR nei confronti dei partner e degli stakeholder. Le aziende devono creare sistemi e processi per tutelare tutte le aree che sono coinvolte dal GDPR e comprendere l’importanza della responsabilità dei dati.
Rispetto a quello che possiamo fare noi in termini di GDPR, nel momento in cui ogni azienda sarà nel suo viaggio verso la compliance, è aiutare i nostri clienti a progredire insieme attraverso una piattaforma capace di elevarli sopra i rischi delle violazioni di dati.