Per Alessandro Vallega, Security Business Development Directo di Oracle Italia i dati sono un bene sempre più prezioso e chi è in grado di estrarre dai dati che raccoglie e crea il massimo del valore si mette in posizione di vantaggio.
Perché questo avvenga su larga scala, ci sono però ancora alcuni ostacoli da superare, legati in particolare ai temi della compliance e della sicurezza; infatti, non è solo il valore dei dati ad essere cresciuto, è aumentata anche l’attenzione su come essi sono raccolti, archiviati, utilizzati e su come, dove e chi può accedervi.
Violazioni e furti di dati che si sono verificati nel mondo hanno in evidenza quanto negativo possa essere l’impatto di problemi di questo tipo sulle imprese che ne sono vittima e sui loro clienti.
Per questo per Vallega bisogna “amare” i propri dati e proteggerli, senza considerare questo compito un’attività da gestire a denti stretti. Ogni organizzazione dovrebbe fare in modo che i suoi processi, i suoi percorsi di formazione, la sua cultura si fondino sul riconoscere e rispettare il valore dei dati.
In tutti i casi la protezione dei dati dovrebbe essere assegnata chiaramente a una figura aziendale, un Data protection officer (DPO) che lavori a stretto contatto con un responsabile della sicurezza, un Chief Information Security Officer.
Detto questo, definire quale sia il corretto livello di protezione dei dati non spetta solamente alle aziende. I governi e i legislatori intervengono sempre più spesso, stabilendo e rendendo obbligatori una serie di standard.
L’introduzione, a maggio 2018, della General Data Protection Regulation (GDPR) costituisce l’esempio più recente e ad alto impatto di come una nuova normativa incida sul modo in cui le organizzazioni devono gestire e usare i dati, e in specifico i dati dei consumatori.
Le aziende che non si adegueranno a quanto previsto dal GDPR rischieranno sanzioni pari fino al 4% del loro fatturato globale. A fronte di un rischio del genere, sarebbe ovvio aspettarsi che tutti si siano mossi per assicurarsi la compliance il prima possibile; in realtà. Gartner ha previsto che il 50% delle aziende mancheranno in modo significativo questa scadenza.
È certamente vero che rispettare alla lettera ogni normativa è un processo difficoltoso; nonostante ciò il bisogno di rivedere, raffinare, migliorare continuamente le proprie misure di compliance e sicurezza dovrebbe essere al centro del modo di lavorare di ogni azienda che gestisca dati di valore. Non dovrebbero essere necessarie nuove norme per spingere a verificare se si sta facendo abbastanza per proteggerli!
GDPR: come fare?
Al cuore della direttiva GDPR c’è un focus molto chiaro sul tema dell’assesment, della prevenzione e dell’individuazione dei rischi e questi sono certamente dei punti di partenza utili, anche se di alto livello, per iniziare a proteggere i propri dati e trattarli con rispetto e responsabilità.
Assessment
L’assessment è cruciale. Molte organizzazioni sono cresciute nel tempo in modo disordinato, ritrovandosi ad avere linee di business che lavorano isolate dalle altre e introducono proprie applicazioni e processi. Allo stesso modo, può accadere che nel tempo alcuni dipendenti inizino ad aggirare regole e policy in modi che per loro hanno senso ma che mettono in discussione la protezione dei dati e la compliance. Bisogna avere un quadro chiaro dei problemi prima di poterli risolvere.
Prevenzione
Una volta stabilito dove risiedono i dati dell’organizzazione e come sono usati, le aziende devono stabilire e far rispettare le regole – e dotarsi di robuste difese che prevengano azioni non autorizzate. Questo significa proteggersi da minacce che vengono dall’esterno ma anche dall’interno, che si tratti di problemi accidentali o di azioni deliberatamente malevole. Il passo successivo è fare in modo che nessuno al di fuori dell’organizzazione – o nessuno che abbia diritto di accesso – possa usare dati sensibili. La crittografia è uno strumento molto efficace per ottenere tutto questo – così come l’uso di token, il mascheramento dei dati, l’anonimizzazione e i sistemi di controllo degli accessi.
Le aziende dovrebbero anche analizzare i dati che usano per capire quali controlli sono adatti ad ogni circostanza. Ad esempio, rendere anonimi i dati dei clienti può avere poco impatto sul loro utilizzo in ottica di analisi dei trend di vendita, ma può ridurre in modo molto significativo il loro livello di sensibilità.
Individuazione delle minacce
Un’attenta vigilanza è parte integrante delle migliori pratiche di compliance e security. L’automazione qui può avere un ruolo significativo nell’aiutare a identificare comportamenti anomali e implementare misure di difesa, sulla base di criteri prestabiliti. I sistemi devono essere in grado di comprendere in modo intelligente chi sta accedendo alle informazioni, quando e perché, e basare la risposta alla minaccia su modelli creati in precedenza, ad esempio chiudere un utente fuori dal sistema prima che possa accedervi, spostare dati sensibili o usarli.
Avere davanti una scadenza come il GDPR è un buon modo per focalizzare l’attenzione su un tema; detto questo, anche se le normative possono sembrare un carico pesante, le aziende non dovrebbero aspettare di essere “costrette” per trattare i loro dati come cose preziose. Come segno del proprio desiderio di avere successo in un’economia data-driven, dove sapere è davvero, chiaramente, mezzo per avere potere, si dovrebbero amare i propri dati abbastanza da volerli proteggere a tutti i costi.
Chi farà questa scelta avrà la capacità e la sicurezza per poter sfruttare davvero al 100% il valore dei dati: la compliance è il punto di partenza per il successo nel mondo digitale, non una cosa fine a se stessa. In un’economia data driven la compliance è una necessità, ma non è un fattore di differenziazione. Quello che distingue le aziende è come esse usano i dati per ottenere informazioni approfondite e di valore , creare nuovi modelli di business e offrire ai propri clienti servizi ancora più personalizzati sulle loro esigenze.
