“Persone, normative, tecnologia, protezione, formazione e dati viaggiano in parallelo, trascurare un elemento può compromettere gravemente tutti gli altri”: parola di Vincenzo Costantino, Senior Director, Presales EMEA Large and Global Accounts di Commvault. Le aziende moderne sono sempre più data-driven: le loro attività si basano su quantità sempre maggiori di dati, che le organizzazioni devono gestire e proteggere in modo adeguato. I benefici che i dati offrono sono indiscutibili, ma il potenziale di data breach non è mai stato così elevato, nonostante le misure di sicurezza in teoria implementate con il GDPR.
“Se esistono sistemi informatici di ogni tipo per gestire e proteggere i dati presenti in azienda, è bene ricordare che Non esistono patch per le persone, spiega Vincenzo Costantino. Ogni dipendente è responsabile dei dati, dai manager C-level a tutte le persone operative nei diversi team. Purtroppo, non c’è una soluzione istantanea per risolvere i problemi creati da una gestione non corretta dei dati da parte dei dipendenti.”
Ogni singola azienda ha fiducia nelle proprie risorse, ma nonostante questo il potenziale di rischio è elevato e la formazione resta la componente più importante da considerare quando si tratta di conformità al GDPR. I dipendenti sono l’asset di maggior valore in azienda. Bisogna incoraggiare una cultura basata sulla trasparenza, in modo che le risorse siano a loro agio nel segnalare eventuali errori, consapevoli anche delle potenziali conseguenze.
Dopo la conoscenza dei dati e delle relative responsabilità, e la certezza di garantire il giusto livello di formazione ai dipendenti, è il momento di identificare i rischi che i dati potrebbero subire:
- Mancanza di visibilità: essere in grado di visualizzare dove sono i dati e chi vi ha accesso è fondamentale per garantire la loro salvaguardia. Senza un’adeguata visibilità, non si può essere certi di proteggerli in modo completo.
- Email e altri scambi di comunicazioni: è uno dei più grandi rischi di perdita di informazioni, perché i dati condivisi nelle email possono essere intercettati e perché i messaggi di phishing possono ingannare gli utenti e convincerli a condividere dati personali o aprire link pericolosi.
- Dispositivi di archiviazione e chiavette USB personali: se un’azienda ne consente l’utilizzo, è importante che siano crittografati a ogni livello. In questo modo, in caso di furto o perdita, sarà impossibile accedere ai dati archiviati. Valutare bene anche perché i dipendenti utilizzino questi dispositivi e se non esista un’alternativa per evitarlo.
- Utilizzare il cloud: se si spostano i dati personali nel cloud, sarà necessario conoscere gli standard di protezione applicati e il luogo in cui si trova l’azienda, perché potrebbe avere un impatto sulle normative da rispettare.
Essere consapevoli di questi pericoli e sapere come evitarli è necessario per non correre il rischio di violare la compliance. Il GDPR racchiude sfide legate a persone, processi e tecnologie e bisogna essere pronti ad affrontarle. Se le risorse non hanno un livello adeguato di conoscenza del GDPR e di come possano applicare le misure di protezione nelle proprie attività, potrebbero scatenare pericolosi data breach. Se processi e tecnologie non sono conformi, potrebbe essere anche più complesso rispondere alle richieste di dati da parte dei clienti, causando ulteriori problemi di conformità.
