Normative

Oltre il GDPR: c’è ancora da fare per i Business Partner IBM

Rispettare quanto previsto dal nuovo regolamento per la privacy impone ai partner l’adozione di una strategia chiara

Pubblicato il 03 Ago 2018

Maria Teresa Della Mura

gdpr1

Lo abbiamo scritto spesso negli ultimi mesi: con l’attuazione del GDPR la tutela della privacy e la sicurezza dei dati personali non sono accessori nella strategia delle imprese, ma devono essere stesse diventare strategia di business, pienamente integrata nelle loro practice di sicurezza. In questi mesi gli operatori di canale hanno avuto un ruolo chiave nell’aiutare i loro clienti a indirizzare le tematiche del GDPR e della sicurezza dei dati in modo corretto, facendo leva sulle competenze sul data management, sulla data governance e sulla sicurezza. Un ruolo chiave che un vendor come IBM riconosce ai propri Business Partner, supportandoli con una serie di strumenti e di indicazioni importanti.

La formula di IBM per il GDPR

Nell’ambito della sua proposta di security, IBM ha sviluppato un’area del proprio sito dedicata non a caso al tema GDPR, identificando le cinque fasi che ogni organizzazione deve affrontare per dirsi davvero pronta. Si parte naturalmente dell’assessment, per comprendere qual è l’effettivo livello delle pratiche di sicurezza, quali sono le eventuali vulnerabilità, quali sono i livelli di controllo da mantenere oppure introdurre. La seconda fase è quella della remediation, utile a ridurre i livelli di rischio, cui deve far seguito quella della trasformazione, che impone un cambiamento importante di strategia e policy nella gestione dei dati e degli asset informativi. La quarta fase è quella operativa, cui deve far seguito una ulteriore fase di affinamento e miglioramento delle regole e delle policy.

I cinque punti per i business partner

Ma come si riflette tutto questo nelle attività dei Business Partner? Su questo punto ha pubblicato nelle ultime settimane un interessante contributo Steve Norledge, che per IBM segue proprio le tematiche legate al GDPR e alla sicurezza dei dati. In particolare, Norledge ha cercato di fissare i cinque punti sui quali ogni Business Partner dovrebbe riflettere per rispondere efficacemente ai propri clienti. Eccoli.

In primo luogo, comprendere perché si dispone di dati personali. Dal momento che il GDPR è un regolamento che si muove tutto nella sfera dei dati, la prima domanda è perché nella propria azienda esistono determinati dati e se vi è un motivo fondato per continuare a tenerli. IBM rende disponibili tutti gli strumenti necessari per eseguire una corretta discovery dei dati e soprattutto per tenere traccia di tutte le attività che con i dati vengono svolte.

Il secondo punto sul quale è indispensabile riflettere è quello della sicurezza. Si tratta di un tema non meno importante rispetto al precedente, non solo perché spesso sottovalutato, tanto che secondo una ricerca condotta da IBM ha stabilito che ancora nel 2017 il tempo medio di scoperta di una violazione dei dati si è attestato sui 191 giorni, ma anche e soprattutto perché con il GDPR la mancata messa in sicurezza dei dati rende le aziende passibili di sanzioni decisamente pesanti. Spetta al partner identificare quali sono i punti di vulnerabilità nelle loro infrastrutture e aiutarli nelle fasi di remediation.

Il terzo punto indicato da Norledge è la governance. Il motivo è presto detto: la sicurezza è un processo continuo, che non si esaurisce con i primi interventi. Del resto, sempre il GDPR impone che le aziende dimostrino la loro compliance in modo continuativo. In questo caso, è compito dei Business Partner fornire ai loro clienti gli strumenti di data management e di data governance che rispondano a questi requisiti.

Il quarto punto di attenzione è rappresentato dal cloud. Tanto più le aziende scelgono di affidare i propri dati al cloud, con un focus sempre più marcato verso ambienti multicloud, il tema dei dati e della loro conservazione assume una rilevanza più che mai critica. Per questo motivo fin dallo scorso anno IBM è stata tra i primi firmatari dell’EU Data Protection Code of Conduct for Cloud Service Provider per tutto quanto attiene la sua offerta di servizi cloud. Il Codice di Condotta è di fatto uno strumento pensato come misura di trasparenza e di rafforzamento della fiducia, del trust, tra i cloud provider e gli utenti degli stessi servizi cloud.

Il quinto punto, infine, riguarda la ridefinizione dei processi. Non si tratta semplicemente di mettere al sicuro i dati, ma di applicare gli stessi criteri di sicurezza ai processi di gestiscono e utilizzano gli stessi dati. E su questo punto, di nuovo, il GDPR è chiaro: le aziende devono acquisire consenso esplicito non solo per la tenuta dei dati dei loro clienti, ma anche sui processi che di questi dati fanno uso, a maggior ragione quando si tratta di attività di ingaggio diretto o di automatizzazione di processi decisionali.

Non è ancora tutto. Nelle scorse settimane IBM ha reso noto che nel quadro del programma di potenziamento della propria infrastruttura cloud, in Europa verranno realizzati sei nuovi data center, nelle zone di Londra e Francoforte, proprio con l’obiettivo di soddisfare la domanda di tutte quelle realtà che proprio in ragione di quanto previsto dal nuovo regolamento europeo sono tenute a ospitare i propri dati localmente.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 2