Fin dalla sua adozione avvenuta un anno fa (25 maggio 2018), il Regolamento europeo sulla protezione dei dati (GDPR) ha cambiato significativamente il panorama della sicurezza in Europa. Il GDPR ha permesso alle organizzazioni di aumentare la propria maturità in materia di sicurezza, ha comportato un incremento delle notifiche delle violazioni e ha permesso di aprire discorsi su argomenti che, in precedenza, erano spesso scarsamente trattati o, addirittura, “tabù”.
Le organizzazioni aziendali sono diventate, a seguito del GDPR, molto più trasparenti per quanto riguarda la comunicazione sulle violazioni dei dati, fornendo maggiore disponibilità a discutere su questi argomenti e sulle relative notifiche. Le aziende sono ora sfidate a modificare le modalità con cui gestiscono i dati, in quanto sono state obbligate a passare da una semplice raccolta, ad un loro trattamento in modo ben documentato.
Secondo quanto riferito in una nota ufficiale da David Grout, EMEA CTO, FireEye: «Nonostante il GDPR sia ormai generalmente ben compreso, ci sono ancora delle sfide da affrontare. Ad esempio c’è quella del fattore umano, che non è una sfida nuova per il settore della cyber security ma che si è riproposta con forza a seguito dell’avvento del GDPR».
Le organizzazioni, per essere in linea con la normativa, sono obbligate a nominare un responsabile della protezione dei dati (DPO), che ha necessità di un team dedicato per gestire la complessità dei requisiti del GDPR.
Da qui la necessità, secondo Grout, di avere chiarimenti in merito all’Articolo 33 del Regolamento, che richiede 72 ore per notificare qualsiasi violazione. Secondo il l’EMEA CTO di FireEye, sarebbe da definire cosa si intende per notifica e quali sono le informazioni che deve contenere.
“Ad esempio, ricevere un alert su una potenziale violazione non è la stessa cosa di un incidente, ed entrambi hanno requisiti di notifica differenti. La necessità è che questo aspetto sia compreso più a fondo”.