Il GDPR rappresenta indiscutibilmente una grande opportunità per le aziende e in particolar modo per quelle italiane che, spesso restie agli investimenti di lungo periodo, di fronte a regole stringenti si trovano “costrette” a fare un salto di qualità in termini di digital transformation.
Siamo alla fine del periodo transitorio del GDPR; dalla prossima settimana la norma diventa attuativa, extraterritoriale, impone a soggetti pubblici e privati di agire in sicurezza, avvia un percorso di adeguamento verso gli standard europei, richiede maggiore responsabilizzazione e trasparenza, può dare vita a sanzioni.
Un tema sensibilissimo per le imprese italiane – affrontato a Milano nel corso dell’IDC Security Conference 2018 – che fa emergere come l’attenzione alla sicurezza sia oggi molto alta ma anche come nella maggiorparte dei casi le realtà del nostro paese siano ancora lontanissime dall’essere in linea con le nuove norme.
Una fascia ridotta le aziende compliant
Lo dimostrano i dati: quello più evidente che emerge dalle analisi di IDC è che solo il 17% delle imprese italiane sopra i 250 addetti si dichiara già in regola. Nel 2018 il valore di spesa prevista per le imprese italiane trainata dal GDPR è di circa 200 milioni di dollari, con una spesa in sicurezza IT che crescerà tra il 2017-2021 del 15,3%, contro una crescita media dell’Europa Occidentale del 19,5%. Il picco di spesa nel nostro paese avverrà nel 2019, con investimenti che nelle aziende arriveranno ai 230 milioni di dollari.
Nello scenario delle criticità che le aziende italiane si trovano ad affrontare nel percorso di adempimento, nel confronto verso l’Europa, spicca una particolare preoccupazione verso le 72 ore, termine entro cui il titolare del trattamento dei dati avrà l’obbligo legale “senza ingiustificato ritardo” di rendere note alle autorità compententi i data breach; non solo un attacco informatico quindi, ma anche accessi abusivi o incidenti; in alcune situazioni le persone di cui sono stati sottratti i dati dovranno essere avvertite.
Normative italiane spesso uno scoglio
Le cause del ritardo italiano non sono solo interne al business aziendale, ma anche legate a normative governative ancora incerte e contraddittorie, dove sussistono sovrapposizioni di regolamenti, che necessitano ancora di un intervento governativo.
Lo sottolinea Maurizio Mensi, Professore SNA e Luiss Guido Carli, che evidenzia un rischio di confusione normativa in tema di privacy e sicurezza, “un fitto mosaico di norme e direttive che richiedono armonizzazione e cogenza” e la cui mancanza potrebbe danneggiare le aziende.
“La normativa UE del 13/09/2017 compie un passo decisivo iniziato nel 2013 e si avvia a creare uno spazio integrato per regole comuni che poggia sull’elemento della certificazione con un obiettivo noto, un quadro semplificato, regole semplici, con il compito di eliminare le variabili regolatorie delle singole nazioni – spiega Mensi –. Ma bisogna anche capire quali siano le regole applicabili, come è il caso del codice Privacy del 2003, che non è ancora chiaro se sarà abrogato o sarà ancora attuabile. Il legislatore è al lavoro in questi giorni per adottare un DL applicabile senza un periodo transitorio che risolva il problema senza aggiungere altre criticità”. Anche la Direttiva NIS sulla sicurezza delle reti – un nuovo pilastro in arrivo con le sue norme attuative, che allarga il raggio d’azione della direttiva a banche, borse valori, e nuovi settori come Pa, energia, ambiente, protezione civile, chimica e nucleare, per stabilire quali sono gli operatori dei servizi essenziali – è all’analisi del Governo in questi giorni.
Insomma, nel processo di attuazione del nuovo regolamento UE, altri paesi hanno sfruttato questi due anni per adeguarsi alla normativa e avviare nuovi processi, mentre l’Italia è costretta ad arrancare e rincorrere; l’auspicio condiviso è che questi disallineamenti si risolvano in fretta.
Cambia il quadro delle minacce
Il fronte normativo è solo uno degli aspetti che le aziende si trovano ad affrontare in questa fase. La sicurezza IT resta infatti uno dei primi motivi di preoccupazione, visto il trend crescente delle minacce informatiche e degli attacchi degli ultimi anni.
“Il volume mensile di vulnerabilità e falle di sicurezza è più che raddoppiato – illustra Giancarlo Vercellino, Research & Consulting Manager, IDC Italia –. Nello scenario sino a dicembre 2016 si assisteva sostanzialmente ad un numero medio mensile di 500 nuove CVE (common vulnerabilities and exposures), nel 2017 il numero si è alzato a 1.200, con picchi di 4.000, dovuti sostanzialmente ad alcuni eventi come Vault7 legato a WikiLeaks, e Shadow Brokers, legati a spionaggio elettronico per trafugare dati in aste pubbliche sfruttando strumenti come Eternal Blue per mettere a segno pericolosi attacchi come Wannacry e pandemie”.
La criminalità oggi è imprenditoria
Il sentiment generale si riassume nell’hastag #IoSonoPreoccupato, con cui Alessio L.R. Pennasilico, Information & Cyber Security Advisor, Security Evangelist, Clusit esprime preoccupazione per le crescenti minacce: “Stiamo vedendo la luce in fondo al tunnel, ma è il treno che sta arrivando… Purtroppo nonostante gli investimenti lato difesa, i cyber attack stanno diventando sempre più numerosi e devastanti”.
La preoccupazione deriva dal fatto che il crimine informatico è divenuto una vera e propria organizzazione, la si può definire Cyber Crime SpA, “oggi composta da gruppi strutturati come vere e proprie società, anzi spesso ancora più organizzate ed efficienti delle realtà lecite”, spiega Pennasilico.
“L’insicurezza è la nuova normalità – lo dimostrano i 160 attacchi quotidiani alle aziende italiane – e deve spingerci a mettere la gestione del rischio al centro del business aziendale”, è concorde Giulio Vada, Country Manager, G DATA . Il lavoro è arduo ma il processo va sfruttato in modo proattivo. “L’evoluzione normativa è una piccola rivoluzione copernicana ed è oggi l’unico modo disponibile in questo contesto per alzare il livello di sicurezza – spiega Vada -, secondo cui “bisogna mettere la gestione del rischio al centro del business aziendale e del percorso di adeguamento al regolamento ed aumentare la sicurezza, al di là delle tecnologie. Il GDPR è un’opportunità perché aiuta a fare cultura; accountability e responsabilizzazione sono altri aspetti importanti per calare il GDPR nel contesto di ogni realtà, aspetto centrale per ripensare il modo di fare impresa”.
Nuove tecnologie, la leva per evolvere
Una parte sempre più importante dell’IT risiede oggi al di fuori del perimetro aziendale, dove i confini tra ambienti fisici e digitali sono sempre meno definiti. “In questo scenario, gli approcci alla cyber security messi in campo sino ad oggi non sono più efficaci e la corsa alla digitalizzazione delle imprese, degli stati e dei consumatori eleva il rischio rimuovendo del tutto ogni forma di sicurezza perimetrale” spiega Vercellino. Oggi nonè infatti possibile immaginare come evolveranno i ransomware, ma è certo che evolveranno. E già si intravedono i primi attacchi che sfruttano l’IoT, robotica e intelligenza artificiale.
IDC prevede che nel 2021 il 25% dei dati personali degli individui di tutto il mondo non solo risulterà compromesso, ma sarà raccolto in data lake analizzati e utilizzati da gruppi organizzati di cyber attaccanti.
Per far fronte all’inaspettato, occorrerà creare un ecosistema di sicurezza basato su nuove tecnologie, come il machine learning e nuove competenze, soprattutto sul fronte analytics. Lo sottolinea Luca Martelli, Senior Director Identity & Security Solutions, Oracle EMEA: “Servono nuove tecnologie con forte capacità computazionale da aggiungere all’apporto umano, dall’IA al ML che possono dare una mano ad evitare data breach interno ed esterno ed individuare azioni sospette; quello che noi stiamo facendo in questa direzione, grazie a Oracle Data Protection Oracle Autonomous Cloud Platform – spiega – è rendere il cloud autonomo, nel proprio data center, con il beneficio di avere flessibilità ma in casa propria, una prassi spesso imposta dalle stesse nuove regole”.
© RIPRODUZIONE RISERVATA