Ripensamento sostanziale nel modo di salvaguardare i dati personali a beneficio di consumatori e clienti. Il regolamento GDPR è un testo non facile da interpretare e le sanzioni preoccupano. Ma rappresenta per tutti una opportunità di revisione e di efficientamento
Intorno ai temi della Tavola Rotonda dedicata al nuovo regolamento europeo in materia di protezione dei dati personali, in collaborazione con Assicurazioni Generali, Data Manager propone uno speciale approfondimento, focalizzandosi sia sull’aspetto giuridico sia su quello più tecnico. L’obiettivo è anche di allargare virtualmente, attraverso la rivista e il suo sito, la platea della discussione, per prendere il polso del percorso che tutti – dalle ditte individuali alle grandi società – devono affrontare ai fini della compliance prevista dal General Data Protection Regulation. La sensazione generale è che un’azienda su due non abbia un piano strutturato in vista della scadenza di maggio 2018. E soprattutto le più piccole non sono del tutto consapevoli dell’impatto del regolamento. Anche se non lo dichiarano apertamente, molti restano alla finestra per vedere se le sanzioni previste dalla normativa scatteranno come una tagliola oppure no. Le aziende che non si adegueranno alla normativa entro i termini stabiliti saranno passibili di sanzioni che potrebbero arrivare fino al quattro per cento del fatturato. Di certo, se la natura della normativa non fosse autoapplicativa, tutti avrebbero già scommesso sulla proroga del regolamento.
[spacer color=”8BC234″ icon=”fa-info” style=”1″]
Data Manager mette a disposizione un White Paper a download gratuito sul GDPR.
Un documento completo per affrontare in maniera esaustiva tutto ciò che c’è da sapere per essere in regola
Clicca qui per scaricarlo gratuitamente
[spacer color=”8BC234″ icon=”fa-info” style=”1″]
Accountability, risk assessment e “privacy by design”, ruolo del DPO. Come cambiano i paradigmi della protezione dei dati in senso giuridico e tecnico? La tavola rotonda esplora premesse e conseguenze della compliance in materia di tutela di dati personali, ponendo a confronto le prime esperienze implementative delle aziende. Ai panelist è stato chiesto di illustrare come il regolamento GDPR si inserisca nelle strategie di sicurezza, quali ostacoli pone la normativa, quali sono i possibili ruoli di consulenti, system integrator e dei loro strumenti software e metodologici. La norma – che come ha ricordato Alessandro Cecchetti, general manager di Colin & Partners, è entrata in vigore senza necessità di recepimento, trattandosi di “regulation” e non di “directive” – riprende molti dei temi già attuati in passato, creando tuttavia un binomio inscindibile tra misure tecniche e misure organizzative. Il testo – che offre ampi margini di discrezionalità e interpretazione – è al momento, in attesa di schemi di certificazione e codici di condotta che con tutta probabilità non arriveranno prima di due anni.
UNA VISIONE DI INSIEME
«Inizialmente – spiega Cecchetti – è stata letta come una normativa molto “cartacea”, che prevede la distribuzione a tappeto di documenti e informative. Non è così e non era così neanche prima: il nuovo regolamento va in direzione della data protection, tanto che tra le misure di sicurezza da adottare si fa riferimento alla 27001, la norma ISO sulla gestione della sicurezza informatica». Ed è proprio questo il punto chiave di una norma che Cecchetti definisce trasversale sia dentro all’azienda sia tra i settori di industria cui si rivolge, un regolamento che non deve essere demandato esclusivamente a figure come il data protection officer, che tra l’altro, è anch’esso una figura già nota. È il modo di concepire la privacy, che cambia completamente. «Eravamo abituati con il decreto 196 del 2003 – il Codice in materia di protezione dei dati personali, poi passato alla storia come Legge sulla privacy – ad alcuni provvedimenti che sostanzialmente erano una lista di cose da fare. Il GDPR non ha questa struttura: siamo passati da una sorta di elenco a un regolamento che ragiona per macro-obiettivi, rimettendo all’azienda il compito di raggiungerli. Spetta a ogni singola organizzazione – in funzione del core business, del modo di trattare i dati e di tanti altri fattori – andare a calare il testo della norma nella propria realtà». Secondo l’esperto di Colin & Partners, è inevitabile che una norma che si applica alla tutela del dato – nella casa farmaceutica come nella banca, nello studio del professionista come nella multinazionale, in Italia come in Belgio o Germania – venga giudicato come «a maglie troppo larghe». Ma questa apparente genericità cela l’obbligo, per il legislatore europeo, di andare a coprire la questione della tutela della riservatezza digitale in un ambito praticamente infinito.
Quest’ultima è una considerazione da tenere presente anche nell’affrontare le misure di sicurezza che il regolamento prevede, introducendo tra l’altro un principio di responsabilità, di “accountability”, in base alla quale le aziende devono dimostrare la consapevolezza sulle misure adottate, ovvero nell’intera gestione del regolamento e della sua applicazione. Di analoghi margini di interpretazione godono le strutture preposte ai controlli, in Italia la Guardia di Finanza. «Fino a oggi, le verifiche sulla compliance duravano da uno a tre giorni e potevano essere svolte sia da un punto di vista documentario sia attraverso un team in cui era presente un esperto tecnico per le valutazioni sui sistemi. Da adesso in poi, la Guardia di Finanza resta, ma a quanto siamo venuti a sapere dai nostri contatti, i controlli potranno durare fino a 5 giorni perché gli esperti devono avere il tempo di capire le logiche con cui il regolamento è stato applicato alle diverse situazioni».
UN TESTO TUTTO DA INTERPRETARE
Esistono già dei criteri generali, delle linee guida da seguire nell’implementare e certificare la compliance? «Le strade per applicare un regolamento sono in genere tre» – risponde Cecchetti di Colin & Partners. «La prima. Leggere la norma e cercare di applicarla al meglio nel proprio contesto aziendale. La seconda. Seguendo degli schemi di certificazione. La terza. Applicando dei codici di condotta. Dai nostri contatti con l’autorità e gli enti certificatori, codici di certificazione e linee guida non saranno disponibili prima di due o tre anni. È un rischio concreto, perché le aziende che hanno già avviato il loro processo di adeguamento rischiano di avere dei disallineamenti rispetto a eventuali future impostazioni, ma al momento non resta che leggere il testo e cercare di applicarlo alla propria organizzazione». Non è un compito banale – avverte Cecchetti. La famosa “accountability”, il fatto di essere chiamati a dimostrare di aver adottato misure efficaci, è stata introdotta proprio perché il regolamento GDPR prevede l’introduzione di misure tecniche e organizzative “adeguate”. «Si passa in altre parole a un binomio inscindibile: diventa cioè inutile adottare misure tecniche molto evolute se sul piano organizzativo non riesco a controllare gli accessi dell’amministratore di sistema ai database, o ai siti in outsourcing, o se lascio aperti gli account dei dipendenti che hanno lasciato l’azienda. Così come non posso avere procedure a prova di bomba se tecnicamente ho una grossa falla». Il GDPR, osserva Cecchetti, equivale in pratica all’obbligo di adottare un sistema gestionale, non prima di aver analizzato le procedure in atto e le peculiarità delle singole aziende, o aver controllato che sul piano tecnico ci siano discrasie con quanto prescritto dal regolamento. Altra importante novità sono i concetti di “privacy by design” e di “privacy by default”. «Entrambi incidono sulla cronologia degli adempimenti – sottolinea Cecchetti – perché il “by design” viene per esempio demandato anche ai fornitori che mettono sul mercato prodotti che hanno un impatto tecnologico, introducendo una precisa co-responsabilità: i fornitori in base al regolamento devono assicurarsi che le loro soluzioni rispettino la “privacy by design” e anche loro dovranno effettuare opportune analisi di conformità». La “privacy by default” – invece – può essere considerata come una responsabilità dell’azienda che acquista determinate soluzioni e le deve impostare. Anche se – avverte Cecchetti – non sempre le reciproche responsabilità sono così chiare: «Pensate allo sviluppo di software congiunto o su commissione, dove le responsabilità sono reciproche». In ogni caso, conclude l’esperto, il problema dei due tipi di privacy va affrontato cronologicamente per primo e deve riguardare anche le soluzioni software già presenti. In altre parole, occorre effettuare una mappatura, tracciare i criteri che rientrano o non rientrano nelle definizioni di “privacy by design” o “by default”, tenendo conto della diversa misura in cui le informazioni personali possono impattare un applicativo: «Un ERP che si limita a tracciare le autenticazioni di chi accede a un magazzino – spiega Cecchetti – non impatta come un CRM che custodisce informazioni molto più dettagliate degli stessi utenti».
BUONE PRATICHE DI SICUREZZA
Alla fine della sua introduzione, Cecchetti affronta il tema dei Privacy Level Agreement (PLA) o Data Processing Agreement (DPA), a seconda della tipologia di trattamento. Si parla al proposito di integrazioni contrattuali pensate dal punto di vista della privacy e non riguardano le implementazioni e le clausole di conformità previste dalla legge 196. «I PLA vanno a disciplinare aspetti che hanno effetti legali evidenti, ma impattano soprattutto sul piano tecnico: i backup, gli accessi degli amministratori di sistema e la loro “loggatura”, la mappatura dei subfornitori, la destinazione finale dei dati alla chiusura di un contratto o con l’eventuale passaggio dal fornitore A al fornitore B. Soprattutto la parte delle subforniture che nel testo di legge è molto lunga». Molte logiche del passato vengono ribaltate dal nuovo regolamento, che invita chi stipula un contratto di outsourcing a “smarcare” fin dall’inizio il tema della privacy per perimetrare in modo preciso i ruoli svolti dai responsabili dell’azienda e dai suoi fornitori. Claudio Telmon, membro del Direttivo e del Comitato Scientifico di CLUSIT, si riaggancia al tema della accountability per avviare la sua presentazione della nuova privacy vista dal punto di vista tecnico della sicurezza. «In assenza di indicazioni puntuali sulle misure da adottare, il regolamento GDPR ci chiede di adottare una logica di gestione del rischio, la stessa richiesta dagli standard di sicurezza IT. La norma si allinea insomma a quelle che dovrebbero essere le buone pratiche della sicurezza dei sistemi informativi, e in termini organizzativi si dovrebbe collocare nell’ambito della gestione dei sistemi di sicurezza aziendale». Telmon si riferisce soprattutto all’articolo 32 (Security of processing), che inizia parlando di una gestione del rischio che tenga conto dello stato dell’arte, della natura dell’oggetto del trattamento, dei rischi e dei costi di attuazione commisurati a tali rischi. Un passo avanti, dice Telmon, rispetto a normative che imponevano le loro contromisure a prescindere dalla tipologia di dati e del loro contesto di trattamento. «Oggi, c’è più flessibilità, ma resta il principio della responsabilità di dimostrare di aver fatto del risk management concreto e in questo senso ci si può riferire alle norme ISO in materia di sicurezza. Un passaggio interessante del citato articolo è quello che ci impone di tutelare i dati dell’interessato da rischi di varia natura, per esempio di integrità, disponibilità e sicurezza del dato». Telmon è molto attento a rilevare come anche i rischi che non derivano strettamente da violazioni, per esempio quelli che nascono da errori di implementazione o procedurali, possono rientrare in questa casistica. Il GDPR insomma non “scatta” solo sui problemi dovuti a violazioni e attacchi dall’esterno: non ci si deve preoccupare solo degli hacker.
AL CENTRO, IL REGISTRO
Al centro del processo gestionale voluto dal regolamento c’è, secondo Telmon, il requisito del registro di trattamento. In base alle definizioni e alle prescrizioni sul contenuto di questo documento, esso può fare da collegamento tra il business, i processi operativi dell’azienda e il sistema informativo. «Poiché l’azienda vede nel suo complesso i processi, i trattamenti e gli applicativi che li supportano, e viceversa chi gestisce il sistema informativo ha l’applicativo come interfaccia verso l’azienda, la mappatura fra trattamenti e applicativi è il punto che unisce queste due prospettive» – afferma Telmon precisando che per il registro di trattamento è prevista una forma scritta: «Può trattarsi di un file elettronico ma non di un semplice database». Alla base, lato sistemi informativi, è consigliabile disporre di un buon inventario degli applicativi e dei flussi, uno strumento sempre auspicabile dal punto di vista gestionale, ma non facile da realizzare. Insieme al registro, aggiunge poi Telmon, il regolamento GDPR chiede di fare un “impact assessment”, che ha tuttavia una logica diversa. «La gestione del rischio riguarda tipicamente le implicazioni che possono derivare per l’azienda dai vari tipi di minacce e incidenti. L’impact assessment valuta le potenziali conseguenze del trattamento dei dati sull’interessato».
A proposito di questo trattamento e del tema della “privacy by default”, Telmon mette in forte evidenza l’indicazione verso la cosiddetta “data minimization”. La normativa prevede che la quantità dei dati raccolti e trattati sia sempre ridotta al minimo indispensabile. «Questo significa che il tema della “minimization” non può essere a esclusivo carico di chi si occupa dei sistemi informativi: ridurre la quantità di dati necessari parte dai processi aziendali» – osserva l’esperto di CLUSIT. Nella stessa direzione della minimizzazione va anche uno dei temi più significativi del GDPR, la pseudonimizzazione, che consiste nel rendere non immediatamente identificabili gli utenti, mantenendo però la possibilità di associare a un profilo l’identità originaria. Prassi, ricorda Telmon, che va applicata ovunque sia possibile e che può comportare serie difficoltà di implementazione su sistemi e processi pre-esistenti. Tra pseudonimizzazione e minimizzazione è possibile ridurre lo spazio di esposizione al rischio, aspetto fondamentale per una norma che estende e formalizza la prassi del rilevamento e della tempestiva denuncia delle violazioni (data breach).
UFFICIALE E MEDIATORE
Le ultime osservazioni di Telmon riguardano aspetti che non sono propriamente delle novità rispetto alla Legge 196 ma su cui il testo GDPR attirerà maggiore attenzione. Un punto più specifico di altri è quello dell’estrazione dei dati personali per la riconsegna all’interessato e della portabilità dei dati in un formato standard che renda possibile il trasferimento delle informazioni da un provider all’altro. Con il regime sanzionatorio attivato dal regolamento, avverte Telmon, è opportuno mettere in atto un processo che sia in grado almeno in via preliminare di rispondere alle richieste degli utenti in tempi chiari. Più nuova e tecnicamente sfidante, conclude Telmon, è però la questione della data retention, principio in base al quale il registro dei trattamenti deve contenere precise indicazioni sulla durata del periodo di conservazione dei dati e il loro termine di cancellazione. Infine, qualche osservazione di entrambi gli esperti sul data protection officer, anche qui non una figura nuova né obbligatoria, ma che in tanti contesti può avere un ruolo importante nel consigliare. Il DPO non deve essere in conflitto di interesse con le attività su cui è chiamato a esercitare un ruolo di controllo e quindi «non può dunque essere un responsabile IT» – precisa Telmon. Secondo Alessandro Cecchetti, quella del DPO sarà una funzione ricercata e interdisciplinare, abbastanza impegnativa da individuare: dovrà avere competenze specifiche sul regolamento e sulle specificità delle aziende e dovrà essere dotato di “soft skill” utili al suo ruolo più di intermediatore che di guardiano.
ADEGUATEVI PER COMPETERE
La seconda parte della tavola rotonda ha visto una serrata discussione ispirata sulle prime esperienze maturate dalle aziende presenti, che hanno sollecitato diversi pareri dai rappresentanti del mercato dei prodotti e security. Remo Marini, group chief information security officer di Assicurazioni Generali, dice di apprezzare la lungimiranza di una norma che ha demandato la sicurezza dei dati alle aziende stesse, evitando un approccio basato su direttive predeterminate. La complessità di un gruppo assicurativo come Generali, presente in 60 nazioni diverse, ha indotto a procedere con un duplice livello di controllo, a livello di gruppo con l’obiettivo, dice Marini, di produrre processi robusti e avere condivisioni a 360 gradi all’interno del gruppo, demandando alle singole nazioni il supporto delle attività proprie delle singole entità legali. «Un problema concreto riscontrato – riferisce Marini – riguarda gli applicativi forniti da grandi protagonisti del software che non sono compliant e per i quali fatichiamo a ottenere informazioni». Un punto, a parere di CLUSIT, sul quale la normativa chiama a rispondere l’intero sistema delle forniture, stimolato – aggiunge Alessandro Cecchetti – dalla consapevolezza che un mancato adeguamento può comportare, oltre alle sanzioni, anche un serio svantaggio competitivo. «Stare fermi non è la risposta» – avverte Massimo Ceresoli, head of business solutions – Southern and Central Europe di Orange Business Services. L’intero sistema, aziende e partner, deve seguire i percorsi di adeguamento: il regolamento GDPR non farà sconti e anche in questo senso dobbiamo considerarla una opportunità». Stefano Volpi, nominato recentemente country manager di Symantec, a proposito del problema sollevato dal CSO di Generali, auspica l’arrivo di una maggiore semplificazione in aziende che spesso faticano a indirizzare i loro obiettivi di adeguamento. «Troppi prodotti che faticano a dialogare tra loro, troppe interfacce di accesso per gli amministratori. Questo non aiuta a normare, a controllare e a portare a termine un percorso» – spiega Volpi, invitando a privilegiare i fornitori che sono in grado di offrire «architetture integrate e gestibili». Tornando a Generali, la prima sponda di riferimento per la sicurezza coordinata da Marini è la “group regolatory compliance”, funzione che al tavolo è rappresentata da Roberta Lacagnina, responsabile italiana. Rilevando la complessità e le infinite sfaccettature del gruppo assicurativo globale, Lacagnina mette in evidenza le analisi di “scoping” (copertura) svolte dal suo gruppo e i risultati “mai scontati” ottenuti da questo monitoraggio. «Anche noi potremmo fornire delle linee guida – osserva la manager della compliance – ma la governance di un processo non potrà mai essere ben definita». Lacagnina nel suo intervento richiama le sinergie che il suo ufficio e la sicurezza devono avere con la figura del compliance officer che la legge impone per la parte assicurativa, con l’obiettivo di costruire un compliance program da includere nella “protection policy”.
REGOLAMENTO DI SISTEMA
Si può calare l’esperienza di una organizzazione così ramificata e complessa sulle esigenze – più circoscritte ma diversificate – del nostro sistema di imprese? Per Roberto Mignemi, CEO di OmnitechIT, system integrator specializzato in sicurezza e capillarmente presente in diverse nazioni europee, l’assenza di un approccio “puntuale” rende il nuovo regolamento GDPR particolarmente adatto ad accompagnare la crescita e la maturazione di tutto il sistema produttivo europeo. «Mi soffermerei su tre punti fondamentali: l’accountability, l’attenta mappatura prevista dall’articolo 32 e la stesura di un piano dettagliato. Le aziende hanno la possibilità unica di guardare alla sicurezza in modo sistemico, come vera opportunità in chiave di digital transformation. Per questo – ha ricordato Mignemi – OminitechIT ha messo a punto, insieme a una società portoghese, strumenti di assessment e data discovery». Se Alessandro Cecchetti di Colin & Partners condivide l’opportunità di un impianto regolatorio “a maglie larghe”, aggiungendo una importante annotazione sulla continuità di regole e provvedimenti pregressi che il GDPR non ha abrogato, Remo Marini di Generali e Augusto Fedriani, business continuity & disaster recovery manager di Costa Crociere, obiettano che anche l’assenza di prescrizioni ben definite può essere problematica, in modo particolare quando si tratta di interloquire con gli enti di certificazione e controllo. «Anche Costa Crociere è un gruppo multinazionale. Anche noi abbiamo fatto le nostre prime valutazioni. Ma vedo davvero molte incertezze, e mi conforta vedere che a questo tavolo non sono il solo». A queste osservazioni, dal punto di vista tecnico e di diritto, gli esperti ribattono che la nuova normativa offre comunque ampi margini di intervento sulla base di quattro prescrizioni di fondo: pseudonimizzazione/minimizzazione, cifratura, continuità e recovery. Secondo Claudio Telmon di CLUSIT, è lecito aspettarsi che anche in termini di sanzioni, l’intervento delle autorità di controllo sarà graduale: «Nessuno si aspetta multe di grande entità, almeno inizialmente». E Volpi, di Symantec, osserva che queste regole aiutano le aziende a difendersi meglio da rischi che sono concreti ed elevati: «Una buona prassi consulenziale in ambito security porta a una forte aderenza alla compliance, per questo non bisognerebbe guardare alla GDPR come a un obbligo».
GDPR E RACCOMANDAZIONI PER LE PMI
L’esperienza di Mediobanca raccontata da Diego Pogliani, head of IT regulation, IT compliance and business continuity, sembra inserirsi in questa visione di sperimentazione virtuosa. «ll programma di adeguamento al GDPR è guidato dalla Compliance ed è organizzato con diversi cantieri specialistici tra cui l’IT. L’approccio specifico sull’IT in Mediobanca non è dissimile da quello seguito in Generali» – afferma Pogliani. «Il primo punto è interpretare il regolamento GDPR per realizzare un sistema di gestione di data protection. Per Mediobanca era anche l’occasione per evolvere la sicurezza centrata sul tema del dato. Lo abbiamo fatto identificando soluzioni che indirizzano sia tematiche trasversali che a livello dei singoli servizi applicativi, con un assessment in funzione della tipologia di rischio dei dati gestiti a seconda delle applicazioni. In un secondo momento, abbiamo definito la baseline di sicurezza, a sua volta mappata sui vari livelli di criticità. Contestualmente, abbiamo condotto una gap analysis che ha portato a definire un piano di remediation. Insomma – conclude Pogliani – non una normativa piena di “compitini” da svolgere, ma una richiesta di forte accountability» – e che lascia ancora aspetti organizzativi da affrontare come la privacy impact analysis, o il tipo di governance che seguirà a questa fase.
Quali indicazioni si possono fornire alle aziende di dimensioni inferiori, che operano in settori non altrettanto regolamentati, e che il più delle volte non sono strutturate al proprio interno per perseguire in completa autonomia l’obiettivo dell’adeguamento? Una prima risposta viene da Giorgio Sonego, business unit manager cybercrime e digital forensics di Datamatic, una realtà consulenziale inserita in un grande gruppo di distribuzione di prodotti IT. «Datamatic – spiega Sonego – ha una duplice anima, da un lato una struttura che offre servizi di compliance basati sulla nostra esperienza nel campo della sicurezza e dell’investigazione forense; dall’altro siamo una struttura al servizio della rete dei nostri dealer. La sfida è proprio quella di spiegare ai rivenditori e all’intero mercato che il GDPR è un’opportunità anche per le imprese medio-piccole che vogliono diventare più efficienti e veloci». Datamatic mette a disposizione di entrambi un team formato da uno staff tecnico e da esperti del mondo “legal”, frutto di un accordo con le associazioni dei giuristi informatici. Una struttura distribuita sul territorio, conclude Sonego, che basa la sua azione sull’impianto dello standard 27001 e lavora su tempistiche ragionate. «In genere, occorrono tre mesi per una fase di assessment e altri tre per la parte legal e remediation. Una seconda sfida – sottolinea il manager di Datamatic – sta proprio nel riuscire a parlare al mercato non in termini di specifici prodotti». Obiettivo arduo in un mercato confuso anche a causa di messaggi eccessivamente semplicistici.
LA TUTELA SI FA INSIEME
Ci sono poi esperienze come quella di Consitex Ermenegildo Zegna, il cui ICT architecture e security manager, Giovanni Gugliotta, porta all’attenzione del tavolo una sensibilità diversa nei confronti del dato. «Zegna produce abbigliamento di lusso: la percezione sul dato è meno critica, il nostro rapporto con la clientela non genera conflittualità e di conseguenza la percezione del rischio privacy è bassa. Eppure, continuo a vedere problematiche per me insormontabili, in particolare la mole di dati non strutturati che sono un problema serio e il diritto all’oblio. Con il regolamento GDPR, gli individui hanno il diritto di richiedere la cancellazione o il trasferimento dei propri dati personali a un’altra organizzazione. Ma l’eliminazione del pulsante “esporta dati” non può essere la soluzione». In definitiva, gli aspetti tecnici del regolamento GDPR preoccupano, e mentre Claudio Telmon commenta dicendo che il problema non si esaurisce sul piano tecnico e che come avvenuto in passato per la normativa sulla privacy (anch’essa in apparenza impossibile da implementare) anche per il GDPR si tratta «di una cultura da costruire» – Gugliotta invita scherzosamente provider come Symantec a trovare una soluzione. Forse, ha ragione Massimo Ceresoli di Orange Business Services, che in uno degli interventi conclusivi invoca una modalità di approccio “comunitaria”. «Vedo grosse differenze tra chi è abituato a trattare enormi moli di informazioni, dispone di budget e di risorse, e le aziende medie, che per quanto possano essere meno esposte, hanno il problema di come farsi aiutare». L’aiuto, suggerisce Ceresoli, può venire da organizzazioni a livello di consorzio o di associazione di categoria, soggetti che possono fare massa critica. «Le maglie del GDPR sono larghe anche perché il legislatore non può parlare delle tante cose che non esistevano prima: penso al riconoscimento facciale di iPhone X o alla IoT. L’idea di Orange è fornire servizi dal punto di vista di una community della sicurezza, mettendo a fattor comune risorse per dare un servizio a certe realtà».
GDPR, la crittografia non basta
Rispettare la nuova direttiva sulla privacy è una grande opportunità di revisione ed efficientamento dei processi aziendali. Per Datamatic Sistemi e Servizi il metodo deve prevalere sulle generiche soluzioni adottate
Per Giorgio Sonego, B.U. manager per il cybercrime e digital forensic di Datamatic Sistemi e Servizi, primario distributore nel mercato della sicurezza IT, la discussione alla tavola rotonda organizzata da Data Manager e Generali sulla nuova normativa europea a tutela della privacy è la conferma di un sentiment già emerso dal contatto con il mercato. «Tra qualche confusione e parecchi dubbi, le imprese italiane sono in ritardo. Anche le grandi organizzazioni, malgrado le loro risorse, sono ancora in una fase iniziale di un percorso di adeguamento che secondo i nostri calcoli non può richiedere meno di sei mesi di tempo per una impresa di medie dimensioni».
Valutazione dei livelli di rischio – Aree come la responsabilità diretta della tutela lasciano ancora ampi spazi di soggettività e inducono, avverte l’esperto, a un atteggiamento attendista, di prudenza forse eccessiva. E il fatto che molti provider di tecnologie lancino messaggi rassicuranti – osserva Sonego – non aiuta. «Il rischio è di far passare il messaggio sbagliato. Per essere conformi al regolamento Gdpr non basta acquistare specifici prodotti, si deve partire piuttosto con una valutazione accurata dei livelli di rischio all’interno della propria organizzazione». Datamatic Dss, che fa parte di un gruppo controllato da uno dei maggiori distributori IT italiani, rifiuta le scorciatoie e adotta un approccio orientato appunto al risk management, proponendolo come servizio direttamente ai suoi clienti ma anche ai tradizionali partner di canale, con l’obiettivo di costruire un network di rivenditori a valore aggiunto capace di veicolare servizi di compliance GDPR a un mercato molto più ampio e capillare.
Strategia in tre fasi – I problemi vengono fatti risalire a una cultura della compliance immersa in un mondo di soluzioni software dominato da fornitori extraeuropei «In più, le aziende si affidano a soluzioni applicative che puntano tutto sull’aspetto funzionale, lasciando la sicurezza per ultima. C’è chi pensa di risolvere tutto con la crittografia, che è importante, ma non basta ad assicurare la compliance». Datamatic Sistemi e Servizi vuole affiancare i suoi clienti in un percorso strutturato verso l’obiettivo dell’adeguamento e contemporaneamente formare un canale che permetterà di raggiungere nuova clientela. «Lo facciamo curando sia l’aspetto legale sia l’aspetto tecnico, rafforzato attraverso una recente alleanza con un gruppo di consulenti specializzati». Il pacchetto di servizi si articola, precisa Sonego, in tre fasi. Un pre-audit di una settimana o meno, per una prima campionatura di dati e documenti. A questo, segue la fase di risk assessment, in cui l’intero assetto normativo GDPR viene per così dire calato nella realtà dell’azienda che persegue il suo obiettivo di compliance. E infine la fase realizzativa, che si conclude con un attestato di conformità. Giorgio Sonego sottolinea ancora una volta l’importanza del saper valutare correttamente l’impatto che il rispetto del regolamento GDPR finisce per avere sui processi interni e sui dati aziendali come asset. «In questo senso, l’adeguamento va visto come una straordinaria opportunità. Non si tratta solo di evitare possibili sanzioni ma di riscoprire il reale valore delle informazioni, trovare spazi anche inattesi di efficientamento del proprio business».
Mettere il dato al centro
Un approccio mirato solo alla protezione può diventare controproducente, avverte OmnitechIT. La compliance GDPR privilegia il disegno complessivo di una informazione ben gestita
«L’evento organizzato da Data Manager ha permesso di mettere in luce la centralità del dato e della sua gestione» – esordisce così Roberto Mignemi, CEO di OmnitechIT system integrator specializzato in sicurezza, forte di un team multinazionale di 170 specialisti in materia. La data strategy è un aspetto che tende a passare in secondo piano quando il tema della Gdpr si affronta in modo troppo esclusivo con il tradizionale taglio della IT security. Il processo di adeguamento, in Italia come in Europa, non è certo in fase avanzata, ma per Mignemi il bicchiere è da considerarsi mezzo pieno. «Molti dei clienti che pensavano la tutela della privacy finalizzata a punti specifici, hanno incontrato un regolamento che richiede invece un approccio molto più esteso». I regolatori europei hanno lanciato anche un secondo messaggio, osserva il responsabile di OmnitechIT. «Adeguarsi non significa soltanto evitare sanzioni, ma mettersi in condizioni di sfruttare tutte le opportunità del cambiamento. Se oggi vuoi essere parte attiva della digital transformation devi ripensare a come gestisci e metti in sicurezza il dato».
La governance del dato – La vera priorità cui rispondere riguarda quindi il disegno complessivo, la reale comprensione di dove si nasconde il valore del dato e dell’informazione. «La governance del dato è la cosa che conta e una parte del problema consiste proprio nel fatto che nella maggior parte dei casi i clienti non riescono a gestire una parte dei dati che sono distribuiti ovunque». Una preoccupazione ulteriore, osserva ancora Mignemi, è che questa pervasività impatta su un’industria dello sviluppo del software che deve assicurare la privacy by design, ma che è essa stessa in ritardo sul piano della certificazione, specie in un contesto applicativo popolato da mille piattaforme di fornitori diversi. «OmnitechIT basa i suoi interventi su un approfondito assessment che non solo è tecnologico ma soprattutto organizzativo. Solo da questa valutazione può derivare la proposta di un piano commisurato ai livelli di rischio». Che cosa significa tutto ciò? Il limite di una visione dominata dalla preoccupazione della protezione totale, sta nell’imposizione di barriere che ostacolano il lavoro e invita a comportamenti rischiosi.
Discovery e valutazione dei dati – «La normativa induce a privilegiare una corretta valutazione e gestione, perché non tutti i dati vanno protetti nello stesso modo». Il modello generale applicato dai consulenti OmintechIT prevede l’impiego di metodologie e tool software specifici per la cosiddetta “discovery” e la valutazione dei dati. L’azienda romana, con sedi proprie in Italia e in diverse nazioni europee, mette a disposizione del cliente un’offerta di servizi gestiti, dal security operation center all’incident response team, in piena sintonia con una normativa che prevede un forte grado di coinvolgimento delle aziende anche nel monitoraggio e nella reportistica degli attacchi subiti e delle contromisure che possono essere messe in campo. «La filosofia dell’outsourcing, la condivisione di conoscenza e di risorse – conclude Mignemi – avranno un ruolo molto importante nel mercato dei servizi finalizzati alla compliance in ambito GDPR».
Per sempre compliant
La normativa sulla privacy apre finalmente la strada a una sicurezza pervasiva e connaturata ai processi aziendali, premiando l’approccio analitico perseguito da Orange Business Services
La normativa sulla privacy comporterà sicuramente un grande sforzo di adeguamento, riconosce Massimo Ceresoli, head of business solutions per l’area europea centro-meridionale di Orange Business Services. «Ma è anche un forte segnale di sveglia per le organizzazioni che devono ripensare i loro processi anche in un ambito come quello della sicurezza: il mondo è profondamente cambiato, non possiamo restare a difesa di un perimetro che il cloud ha cancellato». Occorrono strategie nuove per evitare eventi importanti come quelli subiti da un importante motore di ricerca americano, con tre milioni di account di posta violati. «Con tutti gli attuali margini di interpretazione – afferma Ceresoli – il regolamento GDPR fornisce le indicazioni necessarie e guiderà i futuri investimenti mirati alla protezione delle applicazioni, aiutando le aziende ad apprezzare il valore della protezione del dato come asset, non come costo aggiuntivo».
Limiti e vantaggi – Proprio il fatto che tutti gli attori in gioco, aziende e clienti, guardino a questa normativa come a una concreta opportunità rappresenta un segnale positivo, di maturità complessiva. A destare giuste preoccupazioni è semmai il ritardo nel recepimento. Dalle valutazioni fatte da alcuni analisti, meno di un quarto delle aziende europee ha avviato un progetto di adeguamento già nel 2016 e solo il 90 per cento riuscirà a rispettare le scadenze fissate. «Riteniamo che il restante 75 per cento avrà bisogno di un aiuto e supporto esterno per completare la preparazione – riconosce Ceresoli – ma almeno in questo, le aziende italiane sono in buona compagnia nello scenario europeo». Nelle organizzazioni multinazionali, è possibile che questo ritardo sia anche legato ai limiti imposti sui budget, ma soprattutto al fatto che questi budget sono strutturati localmente. «Il regolamento Gdpr richiede una governance estesa, ma anche una vision che non può essere troppo frammentata tra i vari comparti aziendali. Il vantaggio, in uno sforzo di adeguamento di questo tipo, consiste nel poter ripensare ai processi senza più emulare il passato in un ambiente hybrid cloud e SDN, come è avvenuto in alcuni casi finora».
La risposta di Orange Business Services – Partendo dall’assunto che ai fini della compliance non esiste una soluzione valida per tutti, proprio perché il principio è quello della sicurezza by design, il system integrator francese segue un approccio consulenziale che punta innanzitutto alla comprensione del cliente e dei suoi obiettivi, fino alla creazione di un progetto che può essere “multi-tier”, con Orange Business Services chiamata a seguire specifici aspetti. «In virtù della nostra approfondita conoscenza delle tecnologie – ribadisce Ceresoli – possiamo aiutare il cliente nella scelta delle soluzioni più opportune in una ottica di continuità che vede la compliance Gdpr come un cammino continuo». L’auspicio è che le aziende possano affrontare questo percorso in tempi adeguati perché in un mondo di minacce in costante evoluzione, l’esigenza di assicurare la massima protezione possibile ai dati dei clienti è fondamentale. «Sarà interessante seguire l’evoluzione di una normativa molto ampia, che introduce anche il concetto di verifica e aggiornamento delle contromisure adottate» – conclude Ceresoli. Orange Business Services continuerà a prefiggersi l’obiettivo dell’analisi e della personalizzazione, evitando la trappola del “one size fits all”.
GDPR, la ricetta giusta
La forza di Symantec consiste nella sua capacità di indirizzare la domanda verso un approccio integrato, in cui le contromisure più complesse interagiscono ai fini della sicurezza delle informazioni. No allo “spezzatino” di soluzioni
Per Stefano Volpi, recentemente nominato responsabile della filiale italiana del fornitore globale Symantec, è importante che tutti gli stakeholder del processo di adeguamento alle nuove normative sulla privacy – e più in generale del processo di protezione e governance dell’informazione digitale – abbiano la possibilità di riunirsi intorno a tavoli di relazione che diventano ogni giorno più fondamentali, sul piano della cultura e della piena consapevolezza. «Le aziende sembrano apprezzare questa possibilità di confrontarsi, di “navigare” tra i tanti aspetti di una normativa che per contro lascia ancora molti dubbi sulle cose da fare e da non fare». Il contributo di vendor come Symantec e dei rappresentanti della consulenza e della system integration deve andare anche in direzione di una maggiore chiarezza sui temi della sicurezza e della compliance. «Su tavoli come questi stiamo lavorando per il futuro del business digitale e il mio timore è che se da un lato si stanno mettendo in atto molte delle cose previste dal regolamento Gdpr, dall’altro bisognerebbe prendere misure ancora più serie per una security e una privacy reali, curando tuttavia l’aspetto della contemporaneità delle minacce e delle tecnologie da usare per contrastarle. In questo senso, c’è ancora molto da fare e Symantec può offrire una visione concreta, aggiornata».
Indirizzare la domanda con più chiarezza – Secondo Volpi, le organizzazioni aziendali devono acquisire una mentalità orientata a una sicurezza concretamente end-to-end e questo implica una maggiore capacità del mercato di indirizzare la domanda verso le soluzioni adeguate. Ma qual è la risposta che Symantec può dare a questo bisogno di chiarezza? Il punto fondamentale, afferma Volpi, è l’offerta di una piattaforma davvero integrata, capace di riportare l’attenzione sulla sicurezza del dato, dell’informazione. «Dal nostro punto di vista è sbagliato affrontare il problema implementando più soluzioni specifiche che non sono in grado di comunicare tra loro». Anche attraverso la sua politica di acquisizione, da anni Symantec centralizza le proprie strategie, concentrandosi sul piano tecnologico e sulla protezione del traffico web e sulla messaggistica, i due ambiti più esposti agli attacchi.
Approccio integrato alla protezione – «Centralizzare vuol dire che a fronte di infrastrutture sempre più in cloud e di una sostanziale impossibilità di circoscrivere il dato in un preciso perimetro, tutte le varie misure che siamo tenuti a implementare – la cifratura, la protezione di tutti gli end point, l’autenticazione “forte” delle identità, la protezione dalle fughe di dati, sul cloud come sulla rete aziendale – devono avvenire in un contesto di totale integrazione, di dialogo tra le diverse funzioni» – spiega Stefano Volpi. Le dimensioni di Symantec – oggi, il maggior fornitore di soluzioni e servizi di security al mondo – e la sua expertise, servono a concretizzare un’offerta che include un aspetto analitico, consulenziale. «Infine – aggiunge Volpi – c’è il fondamentale capitolo della sicurezza gestita, che Symantec può dominare grazie al suo esclusivo network globale di quaranta data center. La compliance alle nuove normative non si esaurisce con la scelta della soluzione corretta, ma deve proseguire nel tempo attraverso una gestione intelligente». Che in molte situazioni è difficile assicurare attraverso l’esclusivo impegno di risorse interne.
[spacer color=”8BC234″ icon=”fa-info” style=”1″]
Data Manager mette a disposizione un White Paper a download gratuito sul GDPR.
Un documento completo per affrontare in maniera esaustiva tutto ciò che c’è da sapere per essere in regola
Clicca qui per scaricarlo gratuitamente
[spacer color=”8BC234″ icon=”fa-info” style=”1″]
