Ora che il GDPR è in vigore, le aziende di ogni tipo devono essere certe di avere implementato processi e misure di sicurezza necessari per qualificarsi come GDPR compatibili. Potrebbe sembrare solo un mal di testa, ma alla fine questo regolamento sarà una leva molto positiva perché rappresenta la spinta che serviva a tutti per comprendere l’importanza di prestare maggiore attenzione al bene più importante delle nostre aziende: i dati.
Se l’anno scorso ci ha mostrato qualcosa, è che i dati possono essere estremamente vulnerabili e che le aziende e le persone sono esposte a continue violazioni. Proteggere questi dati da potenziali attacchi, siano essi accidentali o pianificati, sarà fondamentale per le aziende che operano in un’era sempre più incentrata sull’informazione.
Approccio aziendale completo
Spesso i clienti ci chiedono come poter raggiungere la compliance al GDPR. Secondo Forcepoint, diventa molto più facile essere pronti per GDPR quando lo si comprende fino in fondo, tenendo in considerazione persone, processi e tecnologia. Le misure da adottare per la piena conformità devono essere considerate parte di un approccio aziendale completo e non solo una revisione delle tecnologie sul posto di lavoro. La sola tecnologia non rende le aziende conformi al GDPR.
Dal punto di vista del canale, ciò che sentiamo dai nostri partner è che più clienti stanno cominciando a capire questa sfumatura e vogliono un maggiore supporto su come raccogliere, archiviare e gestire in modo appropriato i loro dati, oltre a salvaguardare il modo in cui il loro personale opera. I clienti stanno cominciando a capire meglio il significato del comportamento degli utenti e come potrebbe avere un impatto sul futuro della loro attività, e hanno compreso che possono prevenire molto concentrandosi sui comportamenti e sulle motivazioni dei dipendenti come pietra angolare strategica del loro attuale piano di sicurezza.
E’ umano
Non c’è da meravigliarsi. Che sia intenzionale o accidentale, il comportamento umano è la più grande minaccia alla sicurezza di un’azienda, con l’81% delle violazioni dei dati causate dal furto di credenziali dell’utente da parte di hacker per ottenere l’accesso ai sistemi interni. Le aziende possono spendere somme sostanziose sulla più recente tecnologia di cybersicurezza progettata per identificare e mitigare le minacce quando emergono, ma saranno sempre a rischio significativo se non troveranno modi per tener conto dell’imprevedibilità del comportamento umano. La combinazione vincente per un piano di sicurezza post GDPR richiede quindi un mix di appropriata tecnologia di cybersecurity con un approccio focalizzato sugli individui e sulla sicurezza sul lavoro, l’unico in grado di supportare le aziende grazie ad una comprensione e risoluzione più accurata delle attività a rischio dei dipendenti, in tempo reale.
Il principale vantaggio è che, essendo in grado di analizzare diversi tipi di comportamenti degli utenti, che si tratti di accesso a app basate su cloud, connessioni da dispositivi sconosciuti o tentativi di visitare siti Web che ospitano codici dannosi, le aziende possono prevenire incidenti potenzialmente rischiosi.
Quando si tratta di proteggere dalle violazioni al GDPR, il fattore “tempo reale” non potrebbe essere più significativo. Evitare sanzioni finanziarie potenzialmente astronomiche deriverà dalla capacità di fermare i rischi per tempo, prima che diventino incidenti.
Una maratona, non uno sprint
“Quando guardiamo una gara, sappiamo per certo che non tutti i corridori in pista attraverseranno il traguardo allo stesso tempo. Alcuni arriveranno inevitabilmente più tardi rispetto ad altri, e quando si tratta di conformità GDPR, ciò che sentiamo anche dai partner è che alcuni dei loro potenziali clienti non si sentono sicuri al 100% di essere pienamente preparati – commenta Alessandro Biagini, Manager Regional Sales Italy di Forcepoint -.
I rivenditori hanno ora la responsabilità di trasmettere ai clienti che le normative sono molto più complesse di quanto potrebbero apparire a un primo sguardo, e può servire anche molto tempo per garantire che ogni casella venga spuntata con successo. Quanto prima le aziende adotteranno una visione a lungo termine del regolamento, tanto meglio sarà”.
Disorientato e confuso
Molte violazioni iniziali verrebbero probabilmente da aziende mal preparate o confuse dagli articoli più intricati all’interno del GDPR. Questo è più probabile se non ci si prende abbastanza tempo per valutare tutto correttamente prima della scadenza. Tutte, dalla mancata osservanza in un tempo ragionevole del diritto all’oblio, alla cancellazione, al diritto alla portabilità e al diritto di rettifica, potrebbero rivelarsi sorprese sgradite.
La confusione sulle differenze tra il consenso e l’interesse legittimo per l’elaborazione, ad esempio, potrebbe essere una sgradita sorpresa: il GDPR richiede il consenso di un soggetto per dati archiviati con uno scopo trasparente definito prima che i dati possano essere raccolti. Un coordinamento da parte dei legal che giustifichi questo consenso per legittimo interesse commerciale potrebbe risultare estremamente complicato e richiedere una grande quantità di tempo a seconda delle dimensioni dell’azienda coinvolta e della sua impronta geografica.
Ci sono risorse che possono semplificare il processo. Forcepoint ha collaborato con lo studio legale Hunton e Williams per produrre un white paper che illustri i passaggi e le linee guida che le aziende possono adottare per aiutarle nel loro cammino verso la conformità GDPR. Il rapporto può assumere anche la funzione di check list per coloro che ritengono di dover raccogliere ulteriori informazioni prima di poter completare i piani di conformità.
Uno sguardo al futuro
I fornitori di tecnologia e i rivenditori hanno un ruolo chiave da svolgere nel garantire che le aziende abbiano tutto ciò di cui hanno bisogno per essere in grado di navigare in sicurezza in accordo con il nuovo regolamento. Ruolo che può assumere molte forme, come l’implementazione di una soluzione di prevenzione della perdita di dati (DLP) che può offrire sicurezza incentrata sull’interazione delle persone con i dati (inclusi creazione, archiviazione, posta elettronica, webmail, dispositivi personali e applicazioni cloud).
Oppure potrebbe anche essere una direzione consultiva sugli strumenti che possono aiutare a comprendere più accuratamente i rischi di violazione che possono insorgere all’interno dell’azienda. Soluzioni come Forcepoint CASB (Cloud Access Security Broker) sono particolarmente adatte a questo, contribuendo a eliminare gli angoli ciechi offrendo visibilità e controllo sui dispositivi degli utenti e sulle app in cloud, consentendo alle aziende di comprendere meglio il ritmo delle loro persone e il flusso dei loro dati.
Se svolgeremo con efficacia la nostra parte per garantire che le aziende siano preparate in merito a tutti e tre i pilastri – persone, processi e tecnologia – la vita post GDPR sarà molto più facile.
© RIPRODUZIONE RISERVATA
