Lo dicono le rilevazioni IDC per Microsoft. La scadenza del 25 maggio si avvicina, ecco cosa fare in 4 mesi per adeguarsi
Il nuovo regolamento generale sulla protezione dei dati, meglio noto come GDPR, sta per entrare in vigore: il 25 maggio 2018 cambieranno in modo significativo diritti e doveri di chi utilizza i servizi digitali e chi li mette a disposizione, ma la portata delle nuove norme è stata forse sottovalutata. Secondo le stime fornite da IDC solo il 3 per cento delle aziende italiane ha già provveduto ad attrezzarsi, mentre il 43 per cento è addirittura ancora solo agli inizi del suo percorso di adeguamento. Chi non sarà pronto il 25 maggio rischia sanzioni salate: ci sono quattro mesi di tempo per organizzarsi, bisogna pensare bene a come darsi da fare in fretta.
Soprattutto, bisogna cambiare approccio. Il 25 maggio è una scadenza, ma GDPR è qui per restare: dal momento in cui entrerà in vigore cambierà per sempre il modo in cui si gestiscono le questioni relative alla sicurezza informatica e alla privacy. Dunque non basterà semplicemente spuntare le voci di una lista: occorrerà ripensare in modo profondo come si gestiscono i dati all’interno della propria infrastruttura informatica, ed elaborare piani specifici per gestire sia l’ordinaria amministrazione che la sfortunata ipotesi in cui si verifichi un’emergenza.
Le nuove regole
GDPR significa, soprattutto, mettere l’essere umano al centro della conversazione sulla sicurezza. Se è vero che utenti e dipendenti restano e resteranno sempre l’anello debole della catena che deve tenere al sicuro le informazioni, è vero altresì che il nuovo regolamento garantisce maggiore controllo dei cittadini sui propri dati personali e impone a chiunque gestisca questi dati un quadro di regole chiare e uniche a livello continentale. Visto poi che i player del mercato europeo sono spesso attivi anche altrove, non è improbabile che di fatto GDPR diventi uno standard mondiale.
Un quadro regolamentare che si applica ad un numero enorme di comparti: dagli studi medici all’e-commerce, dalla pubblica amministrazione alle aziende private di ogni dimensione (dalle PMI alle grandi telco), tutti dovranno organizzarsi per garantire la privacy dei dati dei cittadini, la loro accessibilità ai legittimi proprietari, una policy trasparente di gestione. Soprattutto, poi, pone in capo a tutti questi soggetti una responsabilità molto seria per ciò che riguarda la salvaguardia degli archivi e la notifica tempestiva alle autorità, entro 72 ore dalla scoperta, di eventuali intrusioni.
Il quadro dipinto da IDC, in una ricerca commissionata da Microsoft, è piuttosto preoccupante da questo punto di vista: sono poche le aziende consapevoli di essere potenziali minacce di APT (advanced persistent threat, minacce mirate e persistenti) e che hanno a disposizione strumenti adeguati per tenere al sicuro il perimetro della propria infrastruttura. Oltre il 60 per cento di esse addirittura non crede di poter essere vittima di eventuali attacchi, o peggio non ha modo di accertare se tali attacchi non siano già avvenuti.
Secondo IDC la sfida principale da affrontare riguarda soprattutto la cultura relativa alla sicurezza: comprendere dove sono i dati realmente sensibili, classificarli, applicare una cifratura adeguata e soprattutto educare i propri dipendenti al rispetto delle nuove regole. GDPR, dice Giancarlo Vercellino (research&consulting manager di IDC Italia), “sarà un brusco risveglio per molte realtà: molti imprenditori dovranno fare i conti con il mondo della new economy”.
In altre parole GDPR può costituire una spinta significativa a cambiare le priorità in azienda, a rivedere al rialzo quella spesa ridotto all’osso per la sicurezza (meno dell’1 per cento in media), per evitare di incappare in sanzioni previste dalla normativa che potrebbero avere portata tale da costringere a portare i libri in tribunale in alcune situazioni.
Priorità all’identità
La chiave per iniziare un percorso virtuoso, secondo Microsoft che ha ospitato un piccolo evento dedicato proprio alla GDPR, passa dal cloud. In un contesto nel quale il phishing ha fatto segnare una crescita del 1.160 per cento in un anno, nel quale il furto d’identità consente l’accesso a intere infrastrutture informatiche che troppo spesso non dispongono strumenti adeguati al controllo di chi accede (e come) ai sistemi, l’impiego di tecnologie cloud può garantire una serie di vantaggi pratici.
Tramite gli strumenti che Redmond mette a disposizione a mezzo Azure è possibile garantire qualsiasi investimento pregresso rassicura Carlo Mauceli, national technology officer di Microsoft Italia, ed è altresì possibile sfruttare meccanismi avanzati di verifica dell’identità e valutazione dello status dell’infrastruttura in ottica ibrida. La gestione dell’identità in cloud permette di sfruttare meccanismi di doppia e tripla autenticazione, valutando anche il comportamento degli utenti: due accessi a distanza di pochi secondi, provenienti da luoghi distanti centinaia di chilometri, sono un campanello d’allarme che deve far rizzare le antenne e allertare le difese. “Più che di prodotti soltanto, vale la pena parlare di strategia” puntualizza Mauceli, che sottolinea come Microsoft investa per la propria sicurezza fino a 1 miliardo di dollari ogni anno.
Un principio, quello della strategia a lungo termine, che l’imminente entrata in vigore della GDPR potrebbe essere inculcato anche nelle aziende italiane (ma non sono solo loro a essere interessate: sanità e PA sono due settori che devono fare seriamente i conti con le nuove regole). Nel caso della GDPR non c’è un semplice prodotto da acquistare per mettersi l’animo in pace, non si dovrà semplicemente girare un interruttore: individuare una figura interna che sovrintenda la pianificazione di quanto è necessario fare, è il primo passo. Sarà quest’ultima a mettere assieme un piano per andare incontro alla scadenza di maggio: affidarsi a un partner come un cloud vendor, che ha già messo in regola i propri servizi, potrebbe essere una soluzione praticabile anche a fronte di budget non proprio stellari.
