GDPR, il conto alla rovescia è cominciato

Ancora limitata la platea di aziende titolari di un progetto strutturato di adeguamento al Regolamento UE

Meno di 90 giorni, poco più di sessanta lavorativi, al fatidico 25 maggio. Un lasso di tempo sufficiente per un ultimo sforzo in vista del traguardo. Allo stesso tempo però per alcune aziende un termine ormai troppo ravvicinato per colmare il ritardo in termini di adeguamento delle proprie procedure al dettato del Regolamento UE.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

[spacer color=”8BC234″ icon=”fa-info” style=”1″]

Data Manager mette a disposizione un White Paper a download gratuito sul GDPR.

Un documento completo per affrontare in maniera esaustiva tutto ciò che c’è da sapere per essere in regola

Clicca qui per scaricarlo gratuitamente

[spacer color=”8BC234″ icon=”fa-info” style=”1″]

Strumenti a disposizione delle aziende

In aiuto dei ritardatari e di tutte quelle organizzazioni in apprensione prima dell’accensione dei motori, Symantec in collaborazione con IDC mette a disposizione un questionario di autovalutazione per stabilire con ragionevole approssimazione il proprio posizionamento in vista della scadenza e un webinar dal titolo 90 giorni al GDPR ideato per aiutare i partecipanti a comprendere la propria posizione in materia e fornire una serie di consigli pratici immediatamente spendibili. Tre le dimensioni principali prese in esame (conoscenza della situazione dati personali, consapevolezza del rischio, valutazione e mitigazione; approccio aspirazioni e leadership) per determinare il posizionamento della propria organizzazione lungo una griglia rappresentata da cinque stadi di avanzamento. «Lo stadio 1 è quello che con un eufemismo identifica il punto di avvio. Una fase in cui c’è ancora poca conoscenza del dettato legislativo, a cui corrisponde anche una scarsa consapevolezza o mentalità aziendale verso il GDPR. Il limbo dentro al quale si trova probabilmente la maggioranza delle organizzazioni» afferma Giampiero Nanni, Government Affairs EMEA Symantec, speaker del webinarUn dato confermato anche dalle risposte raccolte durante la sessione live. Con il 46% dei rispondenti (un campione di diverse centinaia di partecipanti) che dichiara di trovarsi in questo stadio. Da qui la necessità per le aziende effettuare al più presto un cambio di marcia. Sterzata che Nanni suggerisce di effettuare partendo dalla verifica in azienda di una serie di concetti fondamentali come accountability, dati personali, diritti (accesso, cancellazione, obiezione, rettifica), valutazione d’impatto sulla protezione dei dati, ecc. Individuando quattro scenari di rischio da considerare: le false soluzioni; l’insidia nell’ecosistema; lo shadow IT; l’insidia dell’insider. Uno sforzo a tutto tondo per comprendere quali passi restano ancora da compiere per adempiere al dettato del Regolamento.

Leggi anche:  Il ruolo dell'IA Generativa nella sicurezza informatica è centrale

Consigli pratici

Passando in rassegna tutti gli stadi di appartenenza, Nanni elargisce una serie di consigli utili sia sul breve che a medio termine. Per coloro che ad esempio si trovano ancora al primo, il consiglio è di procedere con il lock down a livello di device e di encrytion. Una sorta di catenaccio, equivalente al bloccare tutto o quasi di default. «Solo successivamente passare all’analisi dei rischi – facendo riferimento ai quattro scenari individuati in precedenza – e alla verifica della capacità di incident response; per approdare infine a tutte quelle attività mirate di formazione del proprio personale in materia di misure di sicurezza tecnologiche, organizzative e procedurali» sintetizza Nanni. Sul lungo termine il suggerimento invece è quello di rispondere in maniera esaustiva al quesito di fondo relativo alla localizzazione fisica e logica dei dati personali, procedere con il raffinamento delle policy di accesso e consolidare le proprie capacità di breach detection. Senza trascurare il rafforzamento delle difese e delle misure per mitigare i rischi di sicurezza nel cloud.