La tua azienda è a prova di GDPR? O meglio, la sua security è in grado di ottemperare alle nuove norme europee in materia di privacy e trattamento dati? Per scoprirlo, ci sono alcuni step basilari che devi assolutamente considerare.
Prima di addentrarci nel cuore del problema e scoprire quali sono i 4 passi per una security a prova di GDPR, facciamo una breve, ma necessaria, premessa.
Il Regolamento generale sulla protezione dei dati, all’articolo 32, prevede espressamente che il titolare del trattamento debba: “adottare misure tecniche e organizzative adeguate al fine di garantire, ed essere in grado di dimostrare, la conformità del trattamento al Regolamento, tenendo conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche. Le dette misure debbono essere periodicamente riesaminate e aggiornate”.
Questo significa che per essere compliant con la nuova normativa non basta né effettuare un adeguamento una tantum, né - a maggior ragione - fare copia e incolla della privacy policy di qualche competitors senza, di fatto, cambiare nulla nelle modalità di raccolta, conservazione e protezione dei dati. Il rischio, come è stato già sottolineato da più parti è di incorrere in multe davvero salate (fino a 20 milioni di euro o al 4% del fatturato annuo complessivo, a seconda di qual è il maggiore). Un bel deterrente, non c’è che dire.
Il punto è che rafforzare la sicurezza aziendale è utile a prescindere dal GDPR che, probabilmente, rappresenta l’occasione giusta per fare un check e capire qual è il grado di security aziendale in fatto di protezione dati. Perdere i dati in seguito a un attacco informatico, infatti, può costare molto caro a qualsiasi impresa, sia in modo immediato e diretto sia indirettamente, dovendo far fronte ad eventuali azioni legali e a risarcimento danni.
Ma al di là degli aspetti prettamente giuridici, vediamo quali sono gli step tecnici per scoprire se la security della tua società è conforme a tutti gli standard imposti dalla GDPR.
Le 4 tappe del percorso per proteggere i dati
Ci sono almeno 4 passi decisivi per una security informatica conforme al nuovo Regolamento Europeo. Quattro come le tappe del percorso elaborato da Gli Osservatori Digital Innovation della School of Management del Politecnico di Milano che sintetizzano perfettamente la strada da compiere rispetto alle proprie modalità di trattamento e protezione del dato.
- Censire e mappare
- Proteggere e adeguare
- Controllare e reagire
- Verificare e migliorare
1. Censire, mappare e analizzare i rischi
La prima cosa da fare è quella di capire quanti e quali dati vengono trattati e conservati nei data center aziendali e in che modo questo avviene. La fase di mappatura è un requisito fondamentale per quello che è l’obiettivo finale. L’idea è che l’azienda (in concreto CEO, CIO e DPO) elaborino una strategia in 3 fasi:
- Analisi dei rischi
- Scelta delle misure da adottare per ridurli al minimo
- Un piano di emergenza che consenta all’azienda di passare ad un modello alternativo di gestione dei dati in attesa della completa riattivazione del sistema principale
In particolare, nell’analisi dei rischi per la sicurezza dei dati è bene considerare non solo l’ipotesi di furti da parte di hacker e pirati informatici ma eventuali distruzioni o perdite accidentali.
2. Proteggere e adeguare con la cifratura e la pseudonominizzazione dei dati
Il primo modo per proteggere un dato è quello di renderlo incomprensibile ai malintenzionati che provano a sottrarlo. Per questo è importante attuare misure finalizzate alla cifratura e pseudonominizzazione dei dati.
Sebbene la norma non ne preveda espressamente l’obbligo, la cifratura dei dati e degli archivi e la loro pseudonominizzazione rappresentano soluzioni ideali per aumentare la protezione dei dati, soprattutto di quelli sensibili, e per essere compliant alla GDPR.
Ormai tutti i data center in cloud si avvalgono della crittografia SSL (Secure Sockets Layer) o, meglio ancora, Transport Layer Security (TLS) per cifrare e destrutturare le informazioni così da renderle di fatto inutilizzabili in caso di furto. Questa misura permette una comunicazione sicura dalla sorgente al destinatario (end-to-end).
3. Controllare e reagire con soluzioni di disaster recovery
In caso di malware o attacco informatico, quando cioè non è più possibile prevenire una violazione, è essenziale una soluzione di disaster recovery per il pronto ripristino del sistema. Non è un caso che il regolamento europeo ponga l’accento proprio sulla capacità da parte di ogni azienda di reagire in modo efficace e tempestivo ad eventuali criticità, dovute ad incidenti fisici o tecnici, per il pronto ripristino di disponibilità e accesso a tutti i dati personali oggetto di trattamento.
Ogni azienda deve riuscire a garantire la disponibilità e l’integrità delle informazioni.
In caso di violazioni, si hanno solo 3 giorni per rispondere in modo adeguato. Infatti, secondo il regolamento europeo tutte le aziende che subiscono una violazione devono denunciarla entro e non oltre le 72 ore dalla sua individuazione. Quindi è importante avere una crisis management strategy per gestire al meglio la “crisi”.
4. Verificare e migliorare
Questa è forse l’indicazione più generica, ma non meno importante di tutto il percorso di compliance. L’obiettivo del legislatore, infatti, non è solo quello di ottenere un adeguamento una tantum da parte delle aziende.
La sicurezza dei dati aziendali, e in particolare dei dati più sensibili, diventa un percorso di innovazione, perciò il suo livello va periodicamente verificato e migliorato per far fronte anuovi rischi e minacce sempre più sofisticate.
Per questo è bene che nessuna realtà sottovaluti sistemi di Intelligenza Artificiale (AI), che grazie al machine learning,permettono di aumentare il livello di protezione adeguandosi automaticamente, prevenendo sempre più precisamente futuri attacchi.
I rischi e le minacce infromatiche aumentano ogni giorno, per questo puntare sulla sicurezza di tutta l’architettura IT aziendale è il miglior investimento per rispettare la GDPR, ma soprattutto per proteggere i dati e le intellectual property aziendali.