Compliance o conformità? Chiamatela come volete

Ricominciare ogni volta dall’inizio oppure dotarsi di un processo strutturato di gestione? Il Regolamento Europeo sulla Privacy accende nuovamente l’attenzione alle tematiche di conformità

Investire su un processo strutturato di gestione potrebbe costituire l’opportunità di abbattere i costi, aumentare l’efficacia degli interventi e predisporsi a future evoluzioni normative. Per taluni è stato un regalo sotto l’albero, per altri un ulteriore problema da dover gestire nel prossimo futuro: poche settimane fa si è avuta conferma della versione definitiva del Regolamento Europeo sulla Privacy. A breve, inizierà quindi il solito circo di interpretazioni più o meno rigide del Regolamento, di presentazioni di prodotti che “fai come vuoi, ma ricordati delle multe e degli impatti penali”, delle proposte dei fornitori “veniamo da te, facciamo un assessment e ti raccontiamo che cosa c’è da fare” (che poi saranno progetti che da soli ci si potrebbe comprare il prodotto di cui sopra…). Chi pensa che si tratterà (per l’ennesima volta) di fare un po’ di lavoro di messa a punto per stare in pace negli anni successivi, dovrà ricredersi: di progetti di conformità, nei prossimi anni, le imprese italiane se ne dovranno attendere un numero sempre maggiore!

E questo per diverse ragioni: sono aumentate nel numero le autorità che possono imporre regole (anche) in ambito ICT, ovviamente in relazione ai settori di mercato. Questo non accade solo per effetto della maggiore presenza delle autorità europee, ma anche per la crescente consapevolezza della rilevanza dell’ICT nell’attuazione dei processi di business. Da tempo, stiamo poi assistendo a una semplificazione delle norme generali a favore di misure settoriali che toccano di volta in volta diversi ambiti di mercato, come dimostrano i vari provvedimenti emessi dal Garante Privacy Italiano. Infine, molte disposizioni sono collegate all’agenda digitale europea e dei singoli paesi, la cui attuazione prevedrà modifiche, aggiustamenti ed evoluzioni.

Il salto di qualità

Gestire le esigenze di compliance come attività estemporanee rischia pertanto di essere tanto oneroso quanto inefficace, anche per le PMI. Il salto di qualità potrebbe essere, finalmente, quello di dotarsi di una gestione strutturata della conformità in ambito IT, con lo scopo di indirizzare tutte le evoluzioni normative in modo integrato con il cambiamento e l’evoluzione dell’IT. Tale approccio sarebbe in linea con l’orientamento adottato dalle unità di business delle imprese in molti settori di mercato, in particolare quelli fortemente regolamentati (es: bancario, medico, …) o fortemente esposti alla tutela di interessi diversi e al controllo delle “authorities” (commercio, finanza, energia, …).

Leggi anche:  Cyber Security Month: i 10 consigli di Cisco per una corretta cyber hygiene

Con quali modalità?

Innanzitutto definire (e mantenere) una mappa degli ambiti IT impattati dalle diverse normative (es: tutti i sistemi che trattano dati sensibili, di pagamento, etc…). Tale quadro può più facilmente essere gestito tramite un inventario degli asset IT, per le aziende che se ne sono dotate.

In secondo luogo, dotarsi di un framework di contromisure (anche) di sicurezza che tenga conto sia delle esigenze di protezione che di conformità dell’azienda. Tali misure dovranno essere censite (diventeranno lo “standard aziendale”), associate ai regolamenti e standard pertinenti e ai sistemi ove sono implementate, per ottimizzare gli interventi in caso di evoluzioni delle normative.

Quali i vantaggi?

Innanzitutto la garanzia che le disposizioni di legge siano mantenute nel tempo, con maggior efficacia e minori costi per le future evoluzioni (ad es. evitare i costi di assessment e mantenere sotto controllo la spesa per la compliance). Inoltre, la standardizzazione delle misure aziendali porta di solito a minori costi di realizzazione e gestione, e migliora anche il livello di sicurezza. Inutile ricordare, infine, che il significato del termine “compliance” non è limitato agli aspetti normativi, ma abbraccia la conformità alle regole di cui si dota l’azienda, e agli standard e certificazioni a cui essa aderisce per poter essere competitiva nel proprio mercato.

Luca Bechelli, membro del Direttivo e del Comitato Tecnico Scientifico di Clusit