GDPR, le aziende non sono ancora pronte | Lo studio RISK:Value 2017 commentato da Dolman Aradori, NTT Data Italia

Dai risultati del report Risk:Value 2017 commissionato da NTT Security, che esamina l’attitudine delle aziende nei confronti dei rischi e il valore della sicurezza delle informazioni per le aziende, emerge come un numero alto di decisori aziendali nel mondo non siano consapevoli delle implicazioni del Regolamento europeo in materia di protezione dei dati personali (GDPR), nonché di altre normative come PCI-DSS e ISO27001/2. In particolare uno su cinque ammette di non sapere a quali normative è soggetta la propria organizzazione.

Il regolamento GDPR

Entrato in vigore il 24 maggio del 2016 il GDPR, una normativa unitaria e più stringente in materia di privacy, impone agli Stati membri l’adeguamento entro il 25 maggio 2018. Il Regolamento ha esteso gli obblighi informativi ed i diritti del singolo sulla proprietà dei dati, prevedendo controlli puntuali su processi, ruoli e responsabilità e mira a rafforzare e unificare la protezione dei dati personali dei cittadini dell’Unione europea (UE), pur agevolando la libera circolazione dei dati stessi all’interno del mercato unico digitale. Le principali novità introdotte dal testo riguardano: il Principio di responsabilizzazione (accountability) (artt. 5 e 24), la Pseudonimizzazione (art. 4), il Diritto all’Oblio (art. 17), il Diritto alla portabilità dei dati (art. 20), i principi di Privacy by design & by default (art. 25), l’obbligo di notifica dei data breach (art.33), il Data Protection Impact Assessment (DPIA) (artt. 35 e 36), la figura del DPO (art.37).

Rendere conforme una realtà aziendale significa assolvere agli obblighi, e non per motivi di “facciata”, ma soprattutto significa ripensare all’implementazione dei dati prioritizzando pratiche strategiche e operative finalizzate alla sicurezza digitale ed alla protezione dei dati sensibili e/o strategici per l’azienda e i suoi clienti.

L’intervista a Dolman Aradori

Sul GDPR e sulle sue implicazioni abbiamo parlato con Dolman Aradori, vicepresidente e responsabile sicurezza NTT DATA Italia, per capire anche quali siano le modalità di intervento più efficaci per correggere sia la consapevolezza (Awareness) dei decision-maker, sia la prontezza (Readiness) realmente operativa e non solo mirata ad una conformità (Compliance) di facciata.

StartupItalia! (SI!) – Visti i risultati della ricerca che misure sono consigliabili o state adottando per aumentare la conoscenza verso la compliance al GDPR presso i vostri clienti?

Dolman Aradori (DA) – Un numero significativo di dirigenti non è ancora consapevole di questa norma o la ignora del tutto. Molti clienti conoscono la norma, ma non sanno bene come raggiungere la conformità e si muovono in modo destrutturato. Proponiamo loro l’utilizzo di workshop e tavoli di lavoro in cui portiamo diverse figure aziendali: dal legal, alla compliance, dall’organizzazione alle soluzioni IT ai responsabili della sicurezza, per far capire che l’adozione del GDPR richiede un approccio a 360 gradi. Ogni funzione aziendale riceve degli schemi di priorità su cosa fare in 4 o 5 punti. La veste pragmatica viene apprezzata e dopo le prime linee guida si accompagna e segue l’evoluzione degli interventi in modalità consulenziale.

SI! – Come aumentare la reale readiness alle misure del GDPR evitando la conformità di facciata? Può indicare le azioni a cui dare priorità?

DA – Spesso la conformità è considerata un costoso adempimento che genera un valore minimo o del tutto assente. Diversamente dalle misure di conformità del passato, dotarsi dello “stretto necessario” non funziona più. Suggerisco di partire con le misure più operative che afferiscono alla security by design e by default e dalla gestione dei data breach e poi a seguire tutto il resto, (DPO, Accountability, DPIA) nella seconda fase. In tal modo si passa subito ai fatti e questo aiuta nel cambio culturale e nell’inversione di priorità che ha sempre riguardato la sicurezza informatica vista come un addon eventualmente evitabile per tenere bassi i costi.

SI! – Per favorire anche la corretta valutazione della sicurezza come investimento e non come costo è preferibile citare gli incidenti di sicurezza e i relativi danni economici o alla reuptazione, o focalizzarsi sul costo potenziale (previsto dal GDPR) delle sanzioni ascrivibili?

DA – Il GDPR rappresenta per le aziende l’occasione per considerare la protezione dei dati come parte integrante della propria strategia di business. Noi preferiamo raccontare una visione del futuro in cui la valutazione delle aziende avverrà anche in funzione dell’efficacia ed efficienza di gestione della sicurezza informatica, compresa anche una valutazione finanziaria della stessa, senza mai dimenticare la valutazione del rischio relativo alla sicurezza. Infatti, in un mondo aperto in cui tutto è parte della catena del valore, anche la sicurezza deve essere ricompresa. La credibilità di una azienda è funzione della sicurezza delle proprie informazioni per il bene stesso della propria competitività.

SI! – L’impreparazione al GDPR sembra avere caratteristiche comuni nei diversi paesi. L’Italia a suo avviso in che situazione si trova rispetto agli altri paesi?

DA – Istituzionalmente ci siamo (il GDPR non richiede adeguamenti normativi di adozione come deve avvenire per la direttiva NIS n.d.r.). In alcuni settori siamo abbastanza pronti, il settore bancario ne è un esempio, ma purtroppo in altri ambiti si riscontra awareness ma non operatività. Potremmo dire che mediamente il Belpaese è in linea con il report mentre sottolineerei come, nonostante la brexit, l’UK abbia già un buon effort e dei buoni risultati, frutto certamente della roadmap nazionale sulla cybersecurity che da diversi anni viene implementata e finanziata con investimenti mirati.

SI! – Al Belpaese mancano gli economics o la cultura e il coraggio verso scelte di rinnovamento in ottica GDPR e sicurezza? 

DA – Storicamente in Italia si preferisce lavorare per emergenze piuttosto che per prevenzione e le PMI non hanno la sicurezza come priorità. Il problema è principalmente culturale tanto che riscontriamo come alcuni interventi non siano indirizzati in modo efficace. Si riscontra anche una certa resistenza nel comprendere come investimenti mirati possano ridurre i costi per incidenti o danni correlati potenziali. Infine, esiste ancora la riluttanza verso la condivisione delle informazioni per un approccio collaborativo.

SI! – Perché tanta riluttanza a condividere visto che chiunque puo’ beneficiare di informazioni su una campagna di attacco in corso?

DA – La norma obbligherà le imprese al passaggio verso la pratica dell’infosharing, grazie all’art.33 che impone le denunce sui data-breach. Certamente la granularità delle informazioni da fornire sarà un tema importante da indirizzare per mantenere un opportuno bilanciamento fra il “Need to know” e il “Responsability to share”.

Il report Risk:Value

Il sondaggio è stato condotto da Vanson Bourne per conto di NTT DATA, da marzo a maggio 2017 tra 1.350 decision-maker (non strettamente del reparto IT) in 11 paesi (Stati Uniti, Regno Unito, Germania e Austria, Svizzera, Francia, Svezia, Norvegia, Hong Kong, Australia e Singapore). Dallo studio risulta come solo quattro intervistati su dieci ritengano che la loro organizzazione sarà soggetta al GDPR. Circa un terzo delle risposte è stato fornito del settore dei servizi finanziari. Preoccupante che uno su cinque ammetta di non sapere a quali normative è soggetta l’organizzazione. Nel Regno Unito solo il 39 per cento degli intervistati attualmente considera la GDPR un problema di conformità e il 20 per cento ammette di non saperne niente, mentre al di fuori dell’Europa il livello di consapevolezza è inferiore: appena un quarto dei decision-maker aziendali negli Stati Uniti, il 26 per cento in Australia e il 29 per cento a Hong Kong ritiene di essere soggetto a GDPR, sebbene queste norme saranno applicabili a qualsiasi azienda che tratta dati di cittadini europei. Analizzando la maturità di trattamento dei dati, risulta che un terzo degli intervistati non sa dove siano archiviati i dati dell’azienda, mentre appena il 47 per cento conferma che i dati critici sono archiviati in modo sicuro. Meno della metà (45 per cento) di chi conosce le modalità gestione dei dati si definisce “completamente consapevole” degli effetti normativi sull’archiviazione dei dati nella propria organizzazione. L’awareness maggiore è stata riscontrata tra le organizzazioni nel settore bancario e dei servizi finanziari, e in quello delle tecnologie e dei servizi informatici.