A seguito dell’entrata in vigore del GDPR, che sarò obbligatorio dal 25 maggio 2018, abbiamo voluto approfondire la tematica facendo un paio di domande a Vincenzo Costantino, Director EMEA South Technical Services, Commvault:
Quanto è importante per le aziende la scelta del cloud provider per lo storage dei dati e perché? (ad esempio, perché quando il GDPR entrerà in vigore, il cloud provider sarà il “data processor”)
Scegliere il giusto cloud provider è molto importante in tema di GDPR. Innanzitutto, i dati nel cloud possono risiedere praticamente ovunque, ed è quindi importante essere certi di utilizzare un fornitore che consenta di controllare il luogo in cui si trovano e dove siano custodite le loro copie. Se tutte le informazioni risiedono nell’Unione Europea, il provider dovrebbe adottare le giuste misure per assicurare che i dati vengano mantenuti in modo conforme ai requisiti normativi, ma resta comunque la necessità di verificare le loro credenziali rispetto al GDPR. In caso i dati fossero conservati al di fuori dell’Unione Europea, bisognerà essere certi che il paese ospitante abbia uno status equivalente, come nel caso degli Stati Uniti (solo per le aziende che hanno firmato l’accordo Privacy Shield).
In secondo luogo, sarà necessario esaminare attentamente come viene gestita una violazione dei dati. Se le informazioni vengono compromesse nel cloud, serve sapere quali sono le policy del proprio cloud provider e le disposizioni relative alle responsabilità per la conformità. La sicurezza del cloud è una responsabilità condivisa, quindi entrambe le parti potrebbero essere a rischio. Creare copie di backup dei dati cloud è importante, così come prendere molto seriamente anche il rispettivo ruolo nella sicurezza cloud.
Con virus e malware in grado di raccogliere e tenere traccia dei dati (rientrando quindi in ambito GDPR), ci sono modi semplici con i quali le aziende possono assicurare la protezione dei dispositivi dei propri dipendenti? (ad esempio, incoraggiare il personale a considerarli come device da utilizzare sul posto, e non aprire link obsoleti; essere certi di possedere la soluzione antivirus più aggiornata, incoraggiare le divisioni IT a organizzare sessioni di drop-in per gli utenti, per la verifica e l’aggiornamento dei dispositivi).
Purtroppo è molto difficile difendersi dal malware e la maggior parte delle aziende considera non il “se”, ma il “quando” sarà colpita. Naturalmente, questa non è una ragione per trascurare protezione e formazione, ma significa che è molto più importante assicurarsi che i tutti i dati siano protetti correttamente dal backup, inclusi quelli su laptop. È consigliabile educare il personale a non conservare informazioni rilevanti dal punto di vista del GDPR sui propri laptop, se non in caso strettamente necessario. Profilare i dati aziendali, inclusi quelli conservati sui laptop, fornirà un’idea del livello di esposizione e consentirà di prendere provvedimenti per proteggere o cancellare dati personali come previsto dalla normativa.
