Di GDPR e di obbligo di notifica dei data breach

D

Negli scorsi giorni, a partire da alcune analisi che stiamo facendo per dei clienti su sistemi Windows sto rimettendo mano alle questioni relative all’incipiente GDPR.
Tra le varie opzioni che sto validando ci sono i sistemi di cifratura di disco e le misure biometriche per l’accesso, che dovrebbero dare un livello superiore di sicurezza nel caso di password di “questionabile” complessità…
Non solo: la protezione dei device “in mobilità” diventa sempre più necessaria e deve essere comoda e veloce (e le impronte lo sono) anche alla luce delle rinnovate prescrizioni sulla “disclosure” dei breach e della perdita di dati.

Infatti se attualmente, in molti paesi UE, le aziende che subiscono una violazione o una perdita di dati non sono tenute a informare alcuno della circostanza, con l’entrata in vigore del regolamento GDPR la segnalazione non più facoltativa, ma assolutamente obbligatoria: chi non segnala una violazione entro 72 ore dovrà pagare una sanzione.

Non solo questo, visto che è necessario anche giudicare e determinare la “gravità della violazione”, che diventa impossibile in quel lasso di tempo per quelle quelle aziende che non hanno messo in opera tecnologie e processi *(la sicurezza è un processo, non un prodotto…)* appropriati.

Nella segnalazione, infatti, si è tenuti non solamente a dichiarare genericamente che “è successo un patatrac e abbiamo perso dati”, ma le domande sono un po’ più complesse ed eterogenee e riguardano:

* Cosa è stato perso?
* In che modo?
* Come si intende rimediare?
* Come assicurerete che la cosa non si ripeterà?

Essere in grado di rispondere in modo preciso e puntuale a questo tipo di domane presuppone una competenza e preparazione superiore alla mera “constatazione”, ed una soglia di attenzione che deve cambiare rispetto a quella normalmente rilevata all’interno delle tipiche strutture aziendali.
Perché se è vero, come dice il Ponemon Research Institute, che il tempo medio necessario ad una azienda per rilevare una violazione è di circa 190 giorni, allora un processo di questo tipo necessita di molta più attenzione…

È importante cambiare l’atteggiamento verso la sicurezza tout court, osservando attentamente quali sono le minacce più importanti e soprattutto attrezzarsi per tenere a bada i tentativi di furto di dati ed il rischio di smarrimento degli stessi, con un approccio incentrato sul processo di gestione dei dati stessi.

Ed in questa particolare configurazione un particolare non certo indispensabile ma incredibilmente utile sono le misure biometriche sui dispositivi, che associate ad una cifratura dei dischi può evitare che la perdita di “un pezzo di ferro” come un portatile diventi la perdita di “un pezzo di azienda” come i dati…

**Nota: ho scritto questo articolo durante una collaborazione con HP per la creazione di contenuti Business utili per meglio comprendere alcune dinamiche di sicurezza informatica.**

l'autore

Matteo Flora

Mi chiamo Matteo Flora, sono imprenditore seriale, docente universitario e keynote panelist e divulgatore. Mi occupo di cambiare i comportamenti delle persone usando i dati.
Puoi trovare informazioni su di me ed i miei contatti sul mio sito personale, compresi i link a tutti i social, mentre qui mi limito a raccogliere da oltre quattro lustri i miei pensieri sparsi.
Buona lettura.

1 commento

  • Il GDPR contiene tutta una serie di obblighi e di regole che, rispetto alla vecchia normativa sulla Privacy, prevede multe e salassi veri e propri. Se di fronte a questa minaccia non si svilupperà una cultura di sicurezza e considerazione attenta dei dati altrui… beh allora nulla può. Grazie Matteo, ottime valutazioni.

Matteo Flora

Mi chiamo Matteo Flora, sono imprenditore seriale, docente universitario e keynote panelist e divulgatore. Mi occupo di cambiare i comportamenti delle persone usando i dati.
Puoi trovare informazioni su di me ed i miei contatti sul mio sito personale, compresi i link a tutti i social, mentre qui mi limito a raccogliere da oltre quattro lustri i miei pensieri sparsi.
Buona lettura.