A cura di Richard Bennett, Head of Accelerate & Advisory Services EMEA, VMware
Quando si parla di conformità normativa non viene immediatamente da pensare all’automazione, eppure tra le due cose esiste un collegamento. Per avere successo, anziché rimanere ancorate al solito approccio reattivo, le imprese devono restare sempre al passo, assorbendo i regolamenti e le nuove norme agevolmente, evitando così le insidie delle sanzioni locali o di settore.
Tuttavia, aderire a ogni nuova direttiva è più facile a dirsi che a farsi: tra il 2009 e il 2012, sono state pubblicate oltre 50.000 normative nei Paesi del G20, numero che è salito a oltre 50.000 aggiornamenti normativi solo nel 2015, e non ci sono segni di rallentamento del fenomeno: una ricerca, indica che i costi di regolamentazione per le istituzioni finanziarie potrebbero più che raddoppiare entro il 2022. Comunque, non è solo il numero di norme a causare problemi alle aziende: la lunghezza e la complessità di alcune possono richiedere enormi investimenti di tempo. L'implementazione di MiFID II è un ottimo esempio; questo nuovo regolamento finanziario (che mira a proteggere gli investitori e ad assicurare che i mercati finanziari siano aperti ed equi) si estende per oltre 30.000 pagine e 1,7 milioni di paragrafi: un notevole investimento in termini di tempo e risorse.
La complessità della compliance
Gli ultimi decenni hanno visto un aumento della complessità aziendale. Sullo sfondo di una crescente competizione internazionale, le aziende sono diventate sempre più globali indipendentemente dalle loro dimensioni. Il nucleo di questo successo deriva dalla trasformazione di un vasto quantitativo di dati in informazioni.
Nel contempo, la digitalizzazione delle imprese si traduce nella creazione da parte delle applicazioni IT di dati non solo sensibili, come nel caso di banche e ospedali, ma anche in enorme quantità, come per le fabbriche IoT che generano petabyte di dati ogni mese. Da questo emerge una sfida specifica: in che modo le aziende possono rimanere conformi quando i dati sono generati sia da umani che non? Come gestire e integrare entrambe le cose proteggendo l'utente o le informazioni dei consumatori?
La risposta risiede nella capacità di adattarsi digitalmente a un insieme sempre crescente di regole, standard e processi. Più ci si avvicina all'innovazione, più i dati risultano esposti, e in modo ancor più esponenziale nel momento in cui vengono analizzati e compresi. La prossima generazione di CISO può avere successo solo dando importanza prioritaria alla protezione delle informazioni dei clienti e degli utenti.
Tuttavia, come conseguenza di questa rivoluzione globale dei dati, dove la legislazione si sta orientando verso la sicurezza dei consumatori e dei clienti, le aziende stanno inavvertitamente creando una serie di fronti regolatori internazionali per opporsi. Questo, a sua volta, sta causando difficoltà ai leader IT più senior nello sviluppare e mantenere strategie tecnologiche di business tanto innovative quanto conformi. Questo lavoro, sia su base regionale che internazionale, è percepito come un ostacolo alla cultura stessa dell'innovazione che la tecnologia sta abilitando.
L’innovazione e la compliance possono andare d’accordo?
Per rimanere competitive, le organizzazioni sanno che devono essere all’avanguardia nei propri settori di attività quando si tratta di insight dei consumatori, efficienza operativa e, soprattutto, innovazione. Tuttavia, allo stesso tempo, devono prepararsi costantemente per affrontare le minacce informatiche, gestire la fidelizzazione dei consumatori e la competizione delle start-up, rimanendo comunque pronte a prendere precauzioni in caso di cambiamenti normativi. Considerando il settore della vendita al dettaglio come esempio, le imprese sono determinate a rendere lo shopping sempre più semplice per i consumatori, ma il Chief Information Security Officer (CISO) deve impegnarsi per garantire che tutte le nuove funzionalità o tecnologie siano sicure da utilizzare e conformi alle sempre crescenti normative digitali, senza compromettere le funzionalità dell'applicazione. Sebbene ogni fornitore di tecnologia affermi di conoscere il GDPR, questo è un esempio reale di come una strategia di protezione dei dati risulti essere più importante di un singolo elemento di conformità.
I venditori di tecnologia stanno vivendo questa tensione naturale tra conformità e innovazione in prima persona. Nonostante la sicurezza obbligatoria, la regolamentazione può causare gravi ripercussioni al motore di un'azienda: una situazione simile a quella di mettere i piedi sull'acceleratore e frenare allo stesso tempo.
Naturalmente le organizzazioni devono rispettare le regole, come evidenziato da alcuni esempi recenti come TalkTalk, la telco che ha subito un grave data breach nel 2015. Sebbene abbia ricevuto una multa da parte dell'ICO per i propri difetti di sicurezza, la conseguenza più dirompente è stata il danno alla reputazione del marchio, come dimostra l'esodo di quasi 100.000 clienti poco dopo la violazione.
Un cambiamento di mentalità
Ciò che emerge chiaramente è la necessità di trovare una soluzione per abilitare la conformità normativa, garantendo al tempo stesso applicazioni aziendali flessibili e rotte innovative sul mercato. L'avvento della cyber hygiene (cinque principi incentrati sulle informazioni aziendali e il loro valore) in sostituzione della tradizionale cyber security, rende tutto questo possibile. L'avvio di un sistema di aggiornamenti di sicurezza solo in seguito a una grave violazione non è più sufficiente e con l'automazione, il machine learning e l'intelligenza artificiale a disposizione dei potenziali hacker, una strategia di cyber security reattiva che non attui un approccio igienico sta gradualmente perdendo significato.
Per questo motivo, molti CISO sono convinti che l'era della cyber security reattiva sia finita e che abbia ceduto il passo al mondo della cyber-igiene, in cui le aziende integrano la sicurezza direttamente e fin dall’inizio nei propri prodotti e sistemi. Allo stesso modo, il numero di nuove norme introdotte rende un approccio a posteriori alla conformità insostenibile nel lungo periodo e implica che le aziende debbano passare da un approccio tattico a uno strategico. Le imprese devono collaborare con organizzazioni che comprendano il passaggio innato dalla sicurezza hardware verso reti software-defined sicure.
Conformi fin dal principio
Il concetto di cyber hygiene riguarda un piano continuo, non una risoluzione temporanea o una "soluzione finale". Le organizzazioni devono essere in grado di automatizzare la conformità e "integrarla" nei propri sistemi IT da subito, al fine di rimuovere il lavoro approssimativo e affrettato prima di un potenziale controllo per assicurarsi che tutti i dati siano presenti e corretti.
Questo approccio coerente ha funzionato particolarmente bene per il colosso dei media Sky, molto tempo prima della recente legislazione GDPR. La società non ha dovuto lavorare su una strategia reattiva specifica per il GDPR perché aveva già implementato una strategia di protezione dei dati coerente, dimostrando come un approccio olistico alla protezione dei dati, traducibile in una cultura di cyber hygiene, sia vincente.
Questo dimostra che investire nell’integrazione dei requisiti di conformità nelle prime fasi del ciclo di vita del servizio o del prodotto ripaga sotto più punti di vista: riducendo le potenziali multe, per non parlare del risparmio di tempo che sarebbe altrimenti stato speso per intraprendere misure correttive.
Le aziende non possono più permettersi di non adottare questo approccio, soprattutto ora che le leggi cercano di tenere il passo con la rivoluzione digitale e l'intelligenza artificiale e il machine learning sono sempre più abili a imitare l'hacker umano. Più dati saranno prodotti, più ricca sarà la fonte cui attingere. Più le organizzazioni diventano trasparenti, e più i modelli di lavoro vengono adottati su qualsiasi dispositivo, ovunque e in qualsiasi momento, più ampi sono i fattori di rischio in termini di compliance e regolamentazione.
Le organizzazioni non possono più temporeggiare e pensare che basti fare il minimo necessario per rispettare le leggi e le regole appena introdotte; ora devono anticiparle. È una questione di integrità e ownership. Una sorta di tacito rispetto in materia di dati personali.