A cura di Vincenzo Costantino, Technical Services Director South Emea, Commvault
La scadenza del GDPR è ormai alle porte. Tra meno di sei mesi tutte le organizzazioni che in qualche modo trattano dati di cittadini europei dovranno mettersi in regola, per evitare sanzioni che si preannunciano pesanti. A maggior ragione, la prima azione da intraprendere è quella di iniziare ad affrontare il problema. Il 20% delle organizzazioni è fermo, attende la pubblicazione di nuove linee guida, o che qualcuno all’interno della stessa struttura prenda il controllo della questione. Ma il GDPR introduce concetti complessi e articolati, e garantirsi una completa compliance è un processo che richiede tempo.
Qui di seguito, indichiamo cinque passaggi importanti da seguire:
- Creare un team cross-funzionale dedicato alla data governance, che preveda un data protection officer e partecipanti in rappresentanza sia dell’IT che del business, che assuma la responsabilità della compliance al GDPR e che riporti direttamente al consiglio dell’azienda. Questo team dovrebbe anche occuparsi della documentazione di processi e decisioni e della definizione di policy, oltre a operare verifiche regolari delle stesse policy, ma anche di processi e scelte tecnologiche.
- Lanciare un progetto di mappatura e analisi dei dati. Identificare i dati sensibili per la privacy distribuiti tra applicazioni, server, storage, dispositivi endpoint e nel cloud rappresenta la base per la compliance al GDPR. E’ fondamentale conoscere i propri dati per gestirli e governarli in modo adeguato. Il proprio storage è un buon punto di partenza, perché lì confluiscono praticamente tutti i dati, ed è possibile effettuare analisi sulle copie secondarie senza impatto negativo sulle performance delle copie primarie. Condurre un’analisi dei flussi di dati permetterà di comprendere meglio come i dati si muovono all’interno dell’organizzazione, dove vengono create loro copie, e dove anche queste copie vengono salvate.
- Usare una piattaforma unica per data governance e policy management, ed estendere il controllo e la governance anche ai dati che si trovano nel cloud. Data store frammentari, non solo nelle principali applicazioni di produzione, ma anche a livello di storage secondario, come nel caso di applicazioni disparate di backup e archiviazione, rappresentano una sfida importante per ottenere e mantenere la conformità al GDPR. Solo una volta che i dati siano stati identificati e che sia possibile verificarli da un’unica console di gestione, sarà possibile rispondere a richieste di accesso e di eliminazione, comprendere l’impatto di eventuali data breach, soddisfare richieste di portabilità e, in ultima analisi, ottenere la compliance. Fare uso di una piattaforma unica per backup, archiviazione e data management è anche fondamentale per garantire protezione e disponibilità agli stessi dati.
- Definire lo stato dell’arte a livello di processi e caratteristiche tecnologiche rispetto a dati strutturati e non strutturati. Adottare soluzioni di un vendor innovativo renderà più semplice restare all’avanguardia dell’evoluzione tecnologica e ridurrà il rischio di non sfruttare al meglio quello che la tecnologia oggi offre per consentire una reale compliance al GDPR.
- Sviluppare un processo di incident response per le comunicazioni sia con le autorità locali responsabili dei dati che con il pubblico, in modo da poter controllare quali informazioni vengono distribite una volta che avviene un breach. Definire un processo preciso di data governance e avere piena visibilità sui propri dati permetterà di essere precisi e accurati nella comunicazione.
