Per garantire il rispetto del GDPR occorre conoscere i dati, i dipendenti della propria azienda, e i rischi derivanti dalla loro interazione

Conoscere i dati per evitare data breach e sanzioni

Indipendentemente dalla tipologia di azienda, i dati sono indubbiamente al centro di tutto. E se da un lato questo aspetto porta una serie di vantaggi, dall’altro il costante aumento del volume di informazioni può rappresentare una fonte di preoccupazione per le aziende. Mai come oggi, infatti, il rischio di data breach e perdita di dati – e conseguenti sanzioni previste dal GDPR – è così elevato.

Al fine di garantire il rispetto della normativa, è fondamentale conoscere i dati, i dipendenti della propria azienda e i rischi derivanti dall’unione di questi due fattori.

Comprendere i dati a 360°

I dati possono essere complessi, fuorvianti o di difficile interpretazione, e garantire che non “mandino all’aria” gli sforzi impiegati per raggiungere la conformità al GDPR non è un compito da poco. Per far fronte a tutto ciò occorre guardare al GDPR come un’opportunità per riflettere sulla tipologia di dati che si ha a disposizione.

È realmente necessario porsi delle domande, per esempio su cosa si raccoglie e perché, dove avviene tale raccolta e con quale modalità. Vi è trasparenza con i soggetti da cui si acquisiscono le informazioni e i dipendenti sono consapevoli delle responsabilità derivanti da questa attività? Le aziende non dovrebbero cadere nella trappola di utilizzare dati vecchi per perseguire nuovi obiettivi, oppure affidarsi a un’ambigua dichiarazione sulla privacy dei dati (per “coprirsi le spalle”), è inaccettabile nell’attuale era della data protection.

Il GDPR prevede nel proprio dettato normativo un’enorme varietà di dati personali, compresi quelli contenuti nei dispositivi dei dipendenti, come laptop e cellulari. Tuttavia, ciò che molte aziende non riconoscono è il rischio per la sicurezza che questi device rappresentano.

I casi di accessi non autorizzati nei data center sono davvero rari, ma il numero di furti di portatili e smartphone è in costante crescita. Se nelle mani sbagliate, questi dispositivi potrebbero essere utilizzati per accedere a informazioni sensibili o critiche per il business, ponendo così l’azienda a rischio di violazione del GDPR oltre che mettere in pericolo il proprio business. La mappatura dei dati – individuando quelli personali, il loro contenuto e profilo di rischio – consente ai team IT di comprendere il “pre e post” di una violazione che, a sua volta, aiuta a prevedere dove potrebbe verificarsi una perdita dei dati e il potenziale impatto da essa derivante.

Gli incidenti sono inevitabili, i team IT devono, quindi, tenerne conto in fase di pianificazione e imparare da ogni evento, al fine di prepararsi al meglio per eventi simili in futuro.

Non esistono patch per le persone

Tutti i dipendenti di un’azienda sono responsabili dei dati, dal dirigente fino ai singoli membri dei team più operativi. L’aspetto fondamentale da tenere a mente è che non esistono patch per le persone. Per quanto lo si voglia, non vi è un rimedio nel caso i dipendenti incontrino difficoltà nello svolgere il proprio ruolo di garanti di una buona governance delle informazioni. Ogni azienda si affida ad essi in qualità di asset imprescindibili ma, nonostante ciò, sono pur sempre l’anello debole della catena e una loro formazione appropriata risulta essere lo strumento più efficace se si vuole garantire la conformità al GDPR.

Conoscere i rischi per evitarli

Una volta compresi i dati a disposizione e le responsabilità derivanti dalla loro gestione, nonché essersi assicurati che i dipendenti ricevano il training necessario, il passo successivo è rappresentato dall’identificazione dei principali rischi che i dati raccolti dall’azienda possono comportare.

In primo luogo, la mancanza di visibilità. Essere in grado di sapere in ogni momento dove si trovano i dati e chi vi ha accesso è un aspetto fondamentale ai fini della loro sicurezza. Occorre inoltre prestare molta attenzione alle e-mail e ad altre forme di messaggi, sia a causa delle informazioni che vengono con essi condivise e che possono essere intercettate, sia per i tentativi di phishing che inducono i dipendenti a fornire informazioni personali o ad aprire link dannosi. Chiavette USB e storage di backup personale non sono da meno. Se ammessi dalle policy, è fondamentale che siano crittografati per scongiurare che dati sensibili cadano nelle mani sbagliate in caso di smarrimento. Infine il cloud. Se ci si affida a un provider per archiviare dati personali, è necessario conoscerne gli standard di protezione, così come informazioni meno ovvie, come ad esempio il luogo in cui ha sede, in quanto ciò può avere un impatto sulle normative a cui deve attenersi.

Il GDPR rappresenta una sfida per le persone, i processi e la tecnologia, e deve essere affrontato tenendo conto di questi fattori. Se i dipendenti non sanno come operare in conformità ai principi di protezione dei dati potrebbero inavvertitamente causare un data breach dalle conseguenze devastanti. Se processi e tecnologia non sono all’altezza, le aziende potrebbero non riuscire a soddisfare le richieste dei clienti, causando ulteriori problemi di conformità.

Mentre lo scenario globale relativo alla compliance dei dati continua a evolversi, una cosa è certa: è opportuno che le aziende adottino subito le contromisure necessarie per guardare al futuro con fiducia e scongiurare potenziali incidenti.

A cura di Edwin Passarella, Manager, Sales Engineering di Commvault Italia