Tutti ricordano la data del 31 dicembre 1999 come cruciale per il mondo IT, quando allo scattare del nuovo millennio si testò la tenuta dei sistemi informatici del paese. Tutto allora funzionò e quella data rappresenta ormai solo la fine di una fase.
Oggi ci avviciniamo ad un’altra data simbolica per il mondo digitale, quella dell’entrata in vigore del GDPR, il 25 maggio 2018, che però a differenza della prima “deve essere vissuta dalle aziende come la data di inizio e non di fine” e non come “una tassa da pagare” ma “un’opportunità per ripensare il proprio approccio alla cybersecurity e dare avvio a un percorso di digital transformation”.
È questo il messaggio chiave che Microsoft lancia nel corso dell’incontro “Verso il GDPR”, dove l’azienda conferma il proprio impegno a supporto delle realtà italiane che si stanno organizzando per allinearsi alla nuova normativa europea per la protezione dei dati, confrontandosi su questo tema sempre più attuale.
A che punto siamo, qual è il grado di consapevolezze delle industrie italiane, quali sono le migliori strategie da adottare, sono i temi analizzati durante l’incontro – anche con il supporto delle analisi di IDC, – introdotti da Carlo Mauceli, National Technology Officer di Microsoft Italia, che da anni accompagna i clienti privati e della pubblica amministrazione verso il cloud, puntando su “chiarezza e concretezza” con l’approccio tecnologico che lo contraddistingue nell’affrontare queste tematiche.
“L’identità digitale è il nuovo perimetro da difendere ed è da qui che bisogna partire per guidare la trasformazione” è il concetto che sta alla base per Mauceli. “La sicurezza informatica – sottolinea il manager – ha un impatto sociale, perché se rubo i dati personali ad un individuo ho violato la sua privacy e quindi non c’è privacy se non c’è sicurezza”.
In Microsoft, è da oltre dieci anni che sono state stabilite delle regole di condotta per un Cloud nel rispetto di sicurezza, privacy, compliance e trasparenza, in linea con gli stessi principi che guidano il nuovo GDPR. “Siamo convinti – spiega Mauceli – che la nuova normativa rappresenti un passo importante per i diritti della privacy di ogni individuo, consentendo a coloro che risiedono all’interno dell’Unione Europea di rendere più sicura la protezione dei dati personali, ovunque questi vengano inviati, elaborati o conservati e stiamo operando per supportare le realtà italiane coinvolte nel processo di adeguamento”.
Minacce in aumento
Lo scenario delineato durante l’incontro appare piuttosto critico. Il 2016 è stato l’anno peggiore per la sicurezza a livello globale; le minacce informatiche sono aumentate del +117% e il phishing ha registrato un incremento addirittura del +1.116%, secondo i dati mostrati e riferiti a Clusit. Sotto attacco anche colossi globali; un caso su tutti, quello della Bangladesh Bank, con alcuni hackers che entrarono nel sistema bancario e usarono la rete di messaggistica SWIFT per prelevare 81 milioni di dollari dal proprio conto depositato alla Fed di New York. Ma anche Italia, il Ministero degli Affari esteri in Italia, ha per esempio subito un gravissimo attacco hacker.
L’Italia è in ritardo su questo fronte e si posiziona al quarto posto per le minacce a livello globale, con il settore sanitario valutato tra i più critici, e il Csis stima circa 900 milioni di dollari di danni dovuti ad attacchi hacker alle imprese italiane.
Peraltro – fa notare Mauceli – in Italia non c’è ad oggi l’obbligo da parte delle aziende di segnalare gli attacchi informatici, valido solo per le aziende che trattano dati sensibili, come quelle del mondo finanziario. E manca anche la collaborazione pubblico-privato oltre che a a livello globale. Se ci fosse stata maggiore collaborazione tra gli stati, molte realtà sarebbero state allertate e si sarebbero salvate dagli attacchi.
In Italia, poi, “pochi attori generano monopoli e lobbies” e “se si guarda agli investimenti, questi sono pari a zero. I 150 milioni di euro promessi da Renzi, ad oggi non si sono visti”, sottolinea Mauceli. Mentre altri paesi come Francia e Germania, al contrario, hanno già cambiato rotta ed investono in sicurezza e prevenzione.
Inadeguatezza e obsolescenza sono altri elementi che pesano fortemente; si rende perciò necessario investire in tecnologia perché, “niente è impossibile oggi. È la volontà che muove tutto”.
Panorama eterogeneo
Volontà di investire che però non sempre sembra prevalere. Eterogeneo è infatti il grado di preparazione delle realtà italiane al nuovo Regolamento per la Protezione dei dati che entrerà in vigore a breve.
Secondo le nuove elaborazioni di IDC per Microsoft, solo il 3% delle realtà con più di 10 addetti è compliant con la nuova normativa, il 43% ha appena iniziato l’analisi e il 54% ha già un piano per la conformità. Alcuni settori strategici come il Finance e la PA registrano un maggior tasso di compliance (10% e l’8% rispettivamente) e una maggiore presenza di roadmap già definite per l’adeguamento (76% e 85% dei casi). In settori come il Manufacturing e i Servizi è invece maggiore il numero di aziende che hanno da poco iniziato ad affrontare il problema, rispettivamente il 53% e il 60%. Un quadro che si conferma anche tra le realtà più grandi sopra i 250 addetti, non solo italiane, ma anche europee.
Secondo le interpretazioni di IDC, il ritardo è spesso dovuto alla percezione da parte delle aziende che alcuni requisiti della nuova normativa rappresentino delle vere e proprie sfide tecnologiche e organizzative. In particolare, in Italia oltre la metà delle imprese evidenzia come particolarmente impegnativi i requisiti tecnici del GDPR.
Giancarlo Vercellino, Research & Consulting Manager di IDC Italia, esorta a superare questo approccio e a considerare il GDPR “l’opportunità per un cambiamento strutturale, non solo dei processi di business, ma anche della cultura aziendale. L’approssimarsi dell’entrata in vigore della nuova normativa implica un ripensamento delle strategie di sicurezza e privacy delle aziende italiane. Non esiste una soluzione univoca, ma a partire da un’analisi delle peculiarità delle singole realtà è possibile definire strategie e soluzioni ad hoc”.
Il cloud computing è secondo Vercellino la valida risposta soprattutto per le organizzazioni più piccole e meno strutturate, che possono così affidarsi ad IT provider qualificati e delegare loro la compliance ai nuovi requisiti tecnici e organizzativi previsti dalla normativa. Il tutto senza dimenticare che “tra i 7 livelli della piramide della sicurezza l’anello debole è l’ottavo”, ovvero il fattore umano, che può però sovvertire tutto”.
Test di autovalutazione
Microsoft lavora da tempo in questa direzione. Ad entrare nel merito dell’offerta, spiegando come Microsoft può supportare le aziende verso questo nuovo percorso, Dario Iovane, Windows, Devices and Security Business Group Lead di Microsoft Italia. “In Microsoft – spiega il manager – non si parla di prodotti ma di strategie perchè non esiste una soluzione che copra tutte le necessità ma va creata ad hoc in traprendendo un viaggio, un percorso da studiare insieme al cliente”.
Per supportare le aziende italiane nel proprio percorso di adeguamento al nuovo regolamento, Microsoft ha sviluppato alcuni strumenti, come un test di autovalutazione online e un modello in 4 step per aiutare le aziende ad analizzare il proprio livello di conformità e ad adeguarsi alla normativa: identificazione dei dati personali, gestione degli accessi, protezione e documentazione.
Grazie al proprio ecosistema di 10.000 partner sul territorio, come ad esempio KPMG, Avanade, Ernst & Young, Microsoft dispone di device e software dotati di funzionalità di gestione delle identità e degli accessi, protezione delle informazioni, tutela dalle minacce cyber e disaster recovery, e gestione degli strumenti di sicurezza.
In particolare il Cloud di Microsoft integra alcune nuove funzionalità per aiutare le aziende ad essere in linea con i requisiti del GDPR, come Azure Information Protection per la tracciatura dei documenti o Office 365 Advanced Data Governance per gestire in modo intelligente i dati aziendali classificandoli. Anche Microsoft 365, la nuova suite che include strumenti per la creatività e la collaborazione quali Office 365, Windows 10 ed Enterprise Mobility + Security, può supportare le aziende nella protezione dalla perdita di dati personali, dall’accesso e dalla divulgazione non autorizzati, rispettando i nuovi standard per la trasparenza e privacy.
Sollecitato dalla richiesta di un nome che rappresenti un caso di successo nell’ambito di queste nuove tecnologie, Iovane indica Barilla come esempio emblematico di grande realtà italiana che ha interpretato l’importanza di questa strategia avviando un grosso percorso di trasformazione dell’offerta e della sua erogazione, sfruttando i nuovi principi della normativa, come testimonia il Centro Digitale a Roma, dove grazie al cloud vengono disegnati i supermercati e i nuovi prodotti.
© RIPRODUZIONE RISERVATA
