GDPR compliance, risk assessment e risk management sono i trend topic del momento in azienda. La scadenza del 25 maggio 2018, data della piena applicazione del General Data Protection Regulation toglie il sono non solo a CIO e CISO ma anche a CEO, CMO e CFO. Il tema della protezione dei dati è, infatti, trasversale all’organizzazione e per i suoi manager significa aver chiari processi e procedure utili a garantire la data integrity.
Indice degli argomenti
Risk management: sicurezza dei dati e sanzioni GDPR
L’obbligo di uniformarsi ai dettami del regolamento europeo sulla data protection – la cosiddetta GDPR compliance – forza le aziende a ripensare completamente le strategie di risk management. Impone, infatti, pesanti sanzioni alle organizzazioni o agli enti colpevoli di violare gli obblighi relativi al corretto trattamento dei dati personali, alla corretta gestione del consenso e alla tutela rispetto al rischio di data breach (violazioni). Le sanzioni possono arrivare fino a 20 milioni di euro o fino al 4% del fatturato mondiale annuo, a seconda di quale possa essere l’opzione più gravosa per l’azienda. Costi da capogiro, quindi, che metterebbero in ginocchio il futuro stesso dell’organizzazione. Ecco perché il risk management (la gestione oculata del rischio) assume una valenza ancora più strategica per le aziende con l’entrata in vigore del GDPR.
GDPR compliance: risk assessment, Privacy Impact Assessment (PIA) e Data Protection Impact Assessment (DPIA)
Il GDPR promuove il concetto, fondamentale per l’impianto normativo, di “privacy by design”. Cosa significa questo? Vuol dire che già nella fase iniziale di un progetto o di un’iniziativa bisogna riuscire a individuare i potenziali problemi o rischi alla privacy e mettere in moto da subito le contromisure adeguate. Fondamentale, quindi, il ruolo delle attività di assessment. Un risk assessment efficace rappresenta la chiave di volta per garantire la vera GDPR compliance.
Ma cosa è, in concreto, il risk assessment? Si tratta di un compendio di best practice di sicurezza e data protection che permette all’azienda, o più spesso ai consulenti esterni chiamati a compiere questa attività, una valutazione precisa del profilo di rischio dell’organizzazione. Questo significa, anzitutto, identificare i rischi in grado di compromettere la privacy e la sicurezza dei dati che transitano nei sistemi informativi aziendali, definire il corretto rapporto rischi/benefici e predisporre l’adozione di misure appropriate a mitigare i rischi identificati. Il GDPR richiede che questo processo sia continuo, per tenere conto non solo dell’evoluzione delle minacce e delle tecnologie ma anche di quella del business. Chiaramente, va da sé che il risk assessment è parte integrante delle strategie di risk management.
Diverso è, invece, il Privacy Impact Assessment, un processo strutturato che permette alle organizzazioni di analizzare in modo sistematico, individuare e ridurre i rischi legati alla privacy dei soggetti (clienti, impiegati, fornitori…) coinvolti nelle sue attività. Il PIA rappresenta, quindi, al contempo, una metodologia di risk assessment e di risk management focalizzata sugli aspetti della privacy.
Infine, il Data Protection Impact Assessment è una verifica preliminare, che ciascun titolare può svolgere in autonomia, per valutare necessità e proporzionalità delle attività di trattamento (elaborazione) dei dati nonché i rischi associati. Questa valutazione è funzione di due variabili: il grado di rischio connesso trattamento e il grado di innovatività della tecnologia (hardware o software) con cui il trattamento viene effettuato. Il DPIA non è obbligatorio, ma è richiesto nel caso in cui il trattamento comporti rischi elevati perché si utilizzano tecnologie particolarmente innovative. Il DPIA è un processo utile per la GDPR compliance e, in particolare, per la cosiddetta accountablity (responsabilizzazione). Permette, infatti, all’organizzazione di dimostrare di aver adottato le misure necessarie per garantire il rispetto del regolamento.
GDPR compliance: costi e adempimenti
Gli adempimenti richiesti all’azienda in ottica di GDPR compliance sono diversi e non è facile stimare il costo dell’adeguamento. Da una ricerca pubblicata di recente da EY e IAAP (International Association of Privacy Professionals), condotta su un campione mondiale di 600 esperti di privacy, emerge che l’investimento medio per garantirsi la GDPR compliance è salito dai 349.000 euro del 2016 ai 480.000 euro dello scorso anno. L’importo comprende i costi legati all’obbligo di nominare un DPO (Data Protection Officer), quelli di consulenza e gli investimenti ICT necessari per garantire l’adeguamento dell’infrastruttura di protezione dei dati ai dettami del regolamento.
La conformità al GDPR si realizza attraverso una serie di adempimenti e due sono le strade praticabili. La prima è quella che punta a un adeguamento formale al regolamento, attraverso attività di revisione dei documenti principali come il modulo per il consenso. La seconda è quella che mira a sfruttare quest’obbligo per sottoporre a una revisione sostanziale l’impianto tecnologico di gestione della data protection, per renderlo più sicuro e performante, allineandolo anche alle necessità di Business Continuity.
GDPR compliance più accessibile con l’aiuto di VM Sistemi
I costi delle attività di adeguamento al nuovo regolamento europeo sulla data protection possono essere decisamente ridotti se l’organizzazione si rivolge al giusto partner. Il GDPR spinge le aziende verso la razionalizzazione e l’ottimizzazione delle attività di Data Recovery e Business Continuity. Una scelta di buon senso è quella di implementare la regola del “backup 3-2-1”, che suggerisce di almeno 3 copie dei propri dati, archiviarle su almeno 2 supporti diversi e conservare 1 copia del backup offsite, ovvero su un sito diverso da quello principale.
La faentina VM Sistemi ha integrato questa regola all’interno della propria offerta di soluzioni scalabili di Business Continuity nel Cloud. La continuità operativa diventa, quindi, disponibile in modalità on demand e pay-per-use: una copia dei dati viene salvata periodicamente nello storage in Cloud gestito da VM Sistemi attraverso una connessione sicura. Nel caso in cui un evento accidentale, un attacco hacker o un errore umano rendessero indisponibile l’infrastruttura informatica on premise, VM Sistemi sarà in grado di intervenire attraverso i suoi Managed Services. Sfruttando la potenza di fuoco del SOC (Security Operation Center) proprietario, la società è in grado di mettere a disposizione del cliente un’infrastruttura completamente virtualizzata attivabile in brevissimo tempo, per garantire una ripartenza rapida.
GDPR compliance: il valore dell’hyperintegration
In VM Sistemi, la system integration evolve e si trasforma in iper integrazione (hyperintegration): le competenze maturate “sul campo” dai suoi consulenti, infatti, permettono di scaricare a terra i benefici delle tecnologie adottate, amplificandoli. L’hyperintegration riduce la complessità tecnologica dei progetti IT e permette di fornire risposte chiare e immediate alle esigenze di business. L’approccio di VM Sistemi si traduce in un’offerta di soluzioni scalabili, in grado di adattarsi in modo granulare e pay-per-use all’evoluzione dell’organizzazione: soluzioni di gestione documentale, di automazione dei processi, di security intelligence e prevenzione reingegnerizzate e plasmate sulla base delle esigenze operative e dei vincoli di budget dei clienti.
I servizi di vulnerability & risk assessment, in particolare si rivelano particolarmente utile per garantire un percorso organico di GDPR compliance. La business unit focalizzata sulla sicurezza informatica di VM Sistemi mette a disposizione dei clienti un team di professionisti altamente qualificati (certificati ITIL) in grado di aiutare l’azienda sia nella fase di revisione dei processi che nell’aggiornamento delle tecnologie ICT.