Obiettivo per il 2022: rendere la governance dei dati parte delle soluzioni di sicurezza aziendali

Nove suggerimenti per rendere la gestione dei dati a prova di cyberattacchi nell’era del lavoro da casa

Manlio De Benedetto, Director System Engineering di Cohesity, evidenzia la necessità di gestire la frammentazione dei dati, facendo del processo di data governance un elemento intrinseco della soluzione di sicurezza adottata dall’azienda

Una governance efficace dei dati non è mai stata così importante. Le organizzazioni di tutto il mondo stanno facendo sempre più affidamento sulle informazioni per orientare il proprio business; se però non possono fidarsi dei dati a loro disposizione, non potranno neppure prendere decisioni essenziali per il benessere dei propri clienti. Ed è qui che la tecnologia può venire in aiuto.

Le aziende hanno accesso a un’ampia gamma di strumenti – dalle tecnologie di data management agli algoritmi guidati dall’intelligenza artificiale – in grado di semplificare la ricerca nei database, migliorare la classificazione dei dati e permettere di trovare ciò che rende possibile offrire servizi e prodotti personalizzati ai propri clienti.

Prendere decisioni guidate dai dati non è soltanto questione di portare benefici ai clienti o rafforzare l’efficienza operativa. Sebbene queste preoccupazioni siano decisive per il successo nel lungo termine, la possibilità di beneficiare delle informazioni contenute nei dati dipende anche dal rispetto di una serie di norme e regolamentazioni, a cui occorre che le aziende si adeguino se vogliono conservare il vantaggio competitivo rappresentato dai dati.

Orientarsi tra le priorità

Bilanciare i due aspetti non è semplice. Da un lato le organizzazioni sono intente a raccogliere il numero più alto possibile di informazioni sui propri clienti, dall’altro devono comunque assicurare il rispetto del diritto alla privacy. La mancata osservanza delle norme in materia condurrebbe infatti a serie conseguenze.

Nel settore finanziario, gli standard KYC (Know Your Customer) assicurano che i consulenti finanziari abbiano informazioni dettagliate sulla propensione al rischio, la conoscenza degli investimenti e la posizione finanziaria dei propri clienti. Gli standard KYC sono stabiliti in una serie di leggi e linee guida adottate dai singoli Paesi – in Italia la Banca d’Italia – per proteggere sia le persone che acquistano prodotti finanziari sia le società che li vendono.

Leggi anche:  Zyxel per una scuola a prova di cyber attacchi

In effetti, le società di servizi finanziari devono sottostare a una serie di normative, come la direttiva Markets in Financial Instruments II dell’Unione Europea (MiFD II), nonché agli obblighi introdotti dal GDPR (General Data Protection Regulation). Queste normative impongono alle società finanziarie di raccogliere e processare i dati in modo sicuro.

In particolare la direttiva MiFD II richiede la raccolta e la conservazione di un ampio volume di informazioni sul cliente, inclusi tutti i dati sulle comunicazioni elettroniche. Questi dati devono essere resi disponibili per le autorità regolatrici entro 72 ore dalla richiesta. Di contro, il GDPR ha introdotto il diritto per l’interessato di chiedere la cancellazione dei dati, con la previsione di multe salatissime per le società che non adottino le misure necessarie.

Questi requisiti imposti dalle normative creano una pressione significativa sui manager che devono gestire la cosiddetta compliance. A ciò vanno aggiunto l’impegno simultaneo a conoscere i propri clienti e a proteggere i loro diritti e la sempre crescente mole di informazioni che le aziende continuano a raccogliere, con il risultato di avere organizzazioni chiamate ad affrontare un vero e proprio enigma nella gestione dei dati.

Le cose stanno cambiando: in quale direzione?

Cosa possono fare, allora, le aziende per gestire questa sfida apparentemente impossibile? La risposta è nella tecnologia. Mentre infatti la mole di dati raccolti continua a crescere inesorabilmente, lo stesso accade alla capacità della tecnologia di analizzare e indagare i trend su queste informazioni.

Tuttavia, sebbene negli ultimi anni le tendenze chiave in materia di tecnologia abbiano evidenziato il bisogno di un passaggio al data management, una ricerca di Deloitte rivela che molte aziende continuano a procedere lentamente in questo processo di assorbimento. La società di consulenza sottolinea come le organizzazioni impieghino ancora approcci tradizionali alla governance dei dati, focalizzandosi ampiamente sui processi, sulle policy e su singoli domini di dati transazionali.

Leggi anche:  Viaggi e vacanze nel mirino di una intensa campagna phishing

Un’alternativa potrebbe essere il passaggio all’Intelligenza Artificiale (AI) e al Machine Learning (ML). I modelli di AI e ML possono essere allenati a trovare schemi e anomalie in ampi set di dati. Se usati in maniera efficace, possono rafforzare le tecniche di classificazione dei dati e consentire ai team di data governance di identificare automaticamente processi e problemi che altrimenti rimarrebbero scoperti.

Tutto ciò appare quasi una scorciatoia verso una governance dei dati più efficace, ma i business leader dovrebbero essere coscienti della possibile trappola che si nasconde all’orizzonte. Sebbene la tecnologia emergente possa aiutare a risolvere alcune sfide del data management, le società che fanno ormai un affidamento crescente sugli algoritmi devono porsi anche delle preoccupazioni di natura etica. Secondo Deloitte, infatti, le imprese che usano l’AI avranno bisogno di procedure normative che assicurino la correttezza affidabilità, sicurezza e responsabilità dei risultati automatici.

Una tecnologia che aiuta ad automatizzare i processi associati al KYC e alle altre normative può offire grandi benefici operativi alle aziende, ma le decisioni prese dagli algoritmi devono essere comprensibili: se vengono adottate in segreto da scatole nere il cui funzionamento non è comprensibile all’esterno, la fiducia del cliente probabilmente ne risentirà.

Un’ulteriore complicazione è rappresentata dal fatto che i sistemi che verificano automaticamente il rispetto dei criteri KYC possono lasciare le aziende esposte all’ira delle autorità regolatrici. Per l’azienda essere in grado di spiegare il processo decisionale automatizzato è un requisito legale imposto dal GDPR. Se si vuole automatizzare il processo, occorre dimostrare in che modo la tecnologia adotta le sue decisioni.

La tecnologia viene in soccorso

Tecnologie emergenti, come l’AI e il ML, possono aiutare le aziende a gestire i dati in modo più efficace. Tuttavia, l’automazione non è una bacchetta magica. Fare affidamento soltanto sulle tecnologie e rimuovere la componente umana dai processi di classificazione dei dati può rivelarsi un errore: la fiducia del cliente ne potrebbe risentire, le vendite potrebbero calare e l’azienda potrebbe finire sotto la lente di ingrandimento delle autorità regolatorie, con multe e costi conseguenti.

Leggi anche:  Dopo 5 anni da WannaCry, qual è lo stato attuale dei ransomware?

Il primo passo da compiere è gestire la frammentazione dei dati. Invece di avere dati custoditi in luoghi differenti, è meglio affidarsi a una piattaforma di gestione innovativa e software-defined dei dati. Il processo di data governance dovrebbe, dunque, diventare un elemento intrinseco della soluzione di sicurezza adottata dall’azienda.

Oltre a mantenere al sicuro i dati, ogni organizzazione dovrebbe implementare un approccio di gestione dei dati che crei dei registri delle operazioni per la protezione dei dati, aiuti ad assicurare che le informazioni personali siano ridotte al minimo e custodite in maniera sicura e che la piattaforma notifichi automaticamente eventuali criticità.

Una gestione dei dati efficace è cruciale per il successo del business. Scegliere l’automazione non significa, però, astenersi dai processi di decision making. Al contrario, la scelta migliore è quella di rendere la governance dei dati parte integrante della soluzione di sicurezza, implementando una piattaforma che aiuti il business a creare un’automazione basata su policy che rendano più semplice garantire il rispetto dei criteri KYC, del GDPR e di una serie di altre norme e regolamenti.