Protezione dei dati: i falsi miti sul GDPR

Giu 22, 2017 Marco Schiaffino Approfondimenti, In evidenza, Privacy, Prodotto, RSS, Scenario, Tecnologia 0

---

Serve una cornice d’insieme

Passando da una prospettiva legale a una tecnica, i cambiamenti in arrivo con il GDPR riguarderanno, in buona sostanza, il modo stesso di lavorare. L’adeguamento al regolamento non richiede solo a una serie di adempimenti burocratici, ma un cambio d prospettiva che, nell’ottica della sicurezza informatica, può essere estremamente salutare.

Non possono più essere di “compartimenti stagni” che non dialogano l’uno con l’altro. Il nuovo regolamento, infatti, impone una stretta collaborazione tra tutti i reparti e questo avrà dei riflessi positivi anche nella gestione complessiva della sicurezza aziendale.

“Credo che un aspetto importante nel confrontarsi con il GDPR sia quello di tenere pèresente qual’è il suo obiettivo” puntualizza Rashmi Knowles, Chief Security Architect EMEA di RSA. “Il regolamento è pensato per proteggere gli utenti e mantenere questa prospettiva aiuta anche a interpretare la norma. È qualcosa che le aziende dovrebbero già fare. Ora ci sono solo delle regole messe nero su bianco che aiutano a segnare un quadro entro il quale muoversi”.

Questo tenendo presenta anche che il mondo del digitale è refrattario ai confini nazionali e, molto probabilmente, gli operatori che devono adeguarsi al GDPR dovranno preoccuparsi anche delle legislazioni di altri paesi extra-UE. Solo negli Stati Uniti dal 2008 sono stati introdotti 25.155 regolamenti federali.

“In realtà dobbiamo tenere presente che regolamentazioni di questo genere sono già presenti più o meno in tutti i paesi” spiega Knowles. “Nessuna società parte da zero, si tratterà soltanto di fare in modo che il sistema si adatti ai requisiti fissati dall’Unione Europea”.

Secondo Gianni Napoli di RSA è fondamentale fare ricorso a un approccio sistemico. “L’importante è avere il quadro complessivo, le tecnologie e le competenze per riuscire a valutare i rischi e avere pronte delle risposte” puntualizza Napoli.

Quello che RSA propone è di avere a disposizione una piattaforma che consente in qualsiasi momento di adattare le procedure e le caratteristiche dei servizi a eventuali normative particolari. Insomma: avendo tutto sotto controllo è anche più facile introdurre una variazione o una modifica nel momento in cui il modello di business cambia e impone nuovi adempimenti.

“Il primo passo è mettere in campo delle procedure a cui attenersi. Una volta assimilate, qualsiasi cambiamento può essere gestito con la massima facilità perché il quadro di insieme resta lo stesso. Attraverso sistemi automazione si può avere la certezza che qualsiasi nuova funzione o struttura sia sottoposta ai controlli necessari per assicurarne una protezione adeguata”.

Ci sono però aspetti della protezione dei dati che il regolamento non considera e che, secondo Rashmi Knowles e Gianni Napoli rivestono la stessa importanza dell’implementazione di sistemi di verifica e controllo tecnico.

“Molto spesso si sottovaluta il fattore umano” spiegano. “Le cronache recenti ci insegnano invece che la gestione delle risorse umane, anche nella chiave della sicurezza dei dati, è fondamentale. Ultimamente stiamo assistendo a nuovi fenomeni, come tentativi da parte di gruppi criminali di ottenere dati e informazioni corrompendo i dipendenti delle aziende”.

La governance degli accessi e dei permessi, di conseguenza, diventa fondamentale e nell’ottica di RSA l’uso di una piattaforma centralizzata permette di gestire al meglio anche questi aspetti.

“Una volta identificati i dati critici che devono essere protetti, diventa anche più facile gestire i permessi di accesso di impiegati e collaboratori” spiegano Napoli e Knowles. “Le aziende capiranno rapidamente che un approccio di questo tipo consente non solo di adeguarsi al GDPR, ma anche a migliorare notevolmente il livello complessivo della sicurezza.

---

• GDPR, RSA

---

---