Cultura e formazione giocano oggi un ruolo di primo piano per la protezione delle informazioni e dei dati personali, aspetti assurti a priorità assoluta nell’agenda di qualsiasi azienda dall’introduzione del GDPR in poi. La quasi totalità delle aziende (83%), infatti, ha intenzione di mantenere gli investimenti destinati a tale scopo nel breve termine e, anzi, più di 1 società su 5 intende investire di più nei prossimi 12 mesi. È quanto emerge dall’indagine sulla gestione della privacy, condotta da DNV – ente di terza parte – su 493 aziende appartenenti a diversi settori in Europa, Nord America, Centro e Sud America e Asia.
Compliance, una priorità per le aziende (ma non basta per garantire la business continuity)
In quanto a gestione della privacy, le aziende sono molto concentrate sulla compliance: 1 azienda su 2 ha una policy ad hoc, con obiettivi specifici; il 43% ha creato una specifica funzione o assegnato l’incarico e il 40% dichiara di effettuare regolari verifiche per assicurarsi di essere in regola con le normative. Dal punto di vista operativo, tuttavia, c’è ancora da fare. Solo 1 azienda su 4, ad esempio, affronta la questione secondo il principio della “privacy by design”, ovvero prevedendo che la protezione dei dati sia integrata nell’intero ciclo di vita della tecnologia, dalla primissima fase di progettazione. Quanto a gestione delle emergenze, inoltre, sono ancora molte le aziende che ritengono di essere non del tutto pronte da un punto di vista tecnico. Il 16,4% non ha un sistema valido per gestire gli incidenti e le violazioni dei dati e il 33,7% lo ha implementato solo in parte.
Errore umano, il rischio più grande. Focus sulla formazione e sullo sviluppo di una cultura organizzativa
La principale fonte di rischi? Le persone. Le aziende sono preoccupate principalmente dagli errori umani (45%), dalla mancanza di consapevolezza o cultura organizzativa (28%) e di competenze legali (25%). Una situazione speculare al 2019, quando la prima edizione dell’indagine sulla gestione della privacy è stata realizzata. Rispetto a due anni fa, però, è cambiata la reazione da parte delle aziende. Allora, si concentravano per lo più sul potenziamento dell’infrastruttura IT, mentre oggi l’attenzione si sta spostando verso le persone.
Quasi 1 partecipante al sondaggio su 2 ha ritenuto prioritario investire per la formazione del personale, mentre il potenziamento della sicurezza IT è al secondo posto in classifica (43,6%). Segue a ruota sul podio delle priorità, la messa a punto/miglioramento di un sistema di gestione e dei processi utile a migliorare la cultura organizzativa (22%).
“Le aziende che si concentrano sullo sviluppo di competenze e consapevolezza, puntano anche a implementare un sistema di gestione. Affrontare le problematiche relative agli errori umani facendo leva solo sulla formazione risolverebbe, infatti, il problema solo temporaneamente. Un sistema di gestione della privacy conforme è un investimento più a lungo termine, capace di creare una cultura organizzativa che investe l’intera azienda: non si perderà con gli avvicendamenti di personale e sarà facilmente assorbita dai nuovi talenti che si uniscono all’azienda”, spiega Massimo Alvaro, Managing Director Italy & Adriatics per Business Assurance in DNV.
Oltre ai benefici in termini di vantaggio competitivo riferiti dalle aziende (dalla capacità di soddisfare i requisiti di legge, al miglioramento delle prestazioni, fino alla piena soddisfazione dei clienti), dotarsi di un sistema di gestione della privacy basato sulle buone pratiche formalizzate nello standard ISO 27701 consente anche di capitalizzare sulla formazione. Lo standard, infatti, prevede aggiornamenti periodici e un focus continuativo sullo sviluppo di consapevolezza, per assicurare lo stesso livello di coerenza in tutta l’organizzazione e aumentare l’engagement dei dipendenti.
Massimo Alvaro continua: “Un sistema di gestione conforme ai requisiti ISO 27701 aiuta le imprese non solo a soddisfare i requisiti normativi, ma anche a mitigare l’errore umano. Le aziende che hanno scelto di seguire questa direzione, infatti, sono meglio attrezzate sia per gestire i rischi legali, sia per garantire una solida cultura della sicurezza trasversale a tutte le funzioni aziendali. Anche perché, in una società multiconnessa, le minacce alla privacy spaziano dalla sicurezza delle informazioni all’utilizzo dei dati, fino alla loro conservazione e cessione”.