Quando oggi si affronta il tema della sicurezza, non si può fare a meno di ricondurre le preoccupazioni più “calde” alla prossima entrata in vigore (25 maggio) del Gdpr, con il suo portato di adeguamenti in termini di protezione dei dati e comunicazioni obbligatorie alle autorità. Analisti ed esperti consigliano di prendere spunto dalla scadenza ormai imminente per rifinire o mettere a punto una strategia che tenga conto dei vari rivoli collegati all’argomento portante dell’adeguato controllo sulle potenziali falle dei propri sistemi o delle procedure di utilizzo dei dati da parte dei soggetti collegati all’azienda.
In un incontro tenutosi di recente a Londra, Rsa Security ha convogliato vari operatori del settore, allo scopo di mettere in evidenza alcune aree forse meno considerate in questa fase di corsa, spesso convulsa, alla compliance, ma altrettanto importanti per garantirsi, almeno sulla carta, una sicurezza sui dati a 360°. I rischi che derivano dai rapporti con le terze parti, per esempio, sono destinati a crescere, soprattutto in una fase come questa, con le aziende impegnate nell’adozione di nuove tecnologie senza le necessarie competenze in termini di comprensione e relative misure di prevenzione dai possibili pericoli. Questa espansione, infatti, sta avvenendo soprattutto attraverso l’esternalizzazione verso soggetti dotati di skill in aree come IoT o intelligenza artificiale: “La trasformazione digitale”, ha osservato Rashmi Knowles, European field chief technology officer di Rsa Security, “spinge molte realtà a integrare servizi esterni, aprendosi alla minaccia di nuove vulnerabilità di sicurezza. Il Gdpr introduce criticità importanti, poiché, ad esempio, portare i dati di cittadini Ue in cloud crea responsabilità anche per chi possiede e controlla il dato e non solo per chi lo gestisce”.
Qualche indicazione interessante è arrivata da Javier Sanchez-Ureta, data officer director di Banco Sabadell, il quale ha indicato come nel suo istituto siano stati individuate quattordici potenziali aree di rischio, sulle quali si è lavorato per includere regole molto strette nella stipula di contratti di outsourcing. Ma Anthony Lee, partner della società di consulenza legale Dmh Stallard, ha ammonito: “I contratti con le terze parti stanno diventando sempre più complessi, con varie interrelazioni fra fornitori primari e subfornitori. Qui il Gdpr richiede di prestare particolare attenzione quando sono coinvolti dati sensibili di cittadini Ue”.
Dal punto di vista della governance, risk and control (Grc), le organizzazioni devono assicurarsi di potenziare i propri processi: “Occorre identificare le informazioni di valore”, ha suggerito Raef Meeuwisse, esperto di Grc e autore di saggi sul tema, e” analizzare quale sia sempre il loro percorso, perché questo definisce dove concentrare il controllo di sicurezza. Troppo spesso i processi si fermano al perimetro della rete, dando ai fornitori una fiducia non sempre ben riposta”. Meeuwisse ha indicato come occorra anche prestare più attenzione ai rapporti con i cloud provider, perché tipicamente non si attivano tutte le azioni di prevenzione necessarie e ci si espone a rischi inutili.
Il ruolo del marketing nell’era del rischio
Il tema della sicurezza, in questo frangente storico, non riguarda solo l’It, ma tutte le funzioni di prima linea e il marketing è fra quelle che devono acquisire una maggior cultura specifica in quest’ambito: “È un dato di fatto che si tratti di una funzione che pesa molto negli investimenti tecnologici, ma è altrettanto vero che la cultura sulla sicurezza resta piuttosto arretrata”, ha analizzato Holly Rollo, Cmo di Rsa Security. “Il Gdpr, poi, introduce nuove sfide anche su come si deve ingaggiare il cliente quando lui effettivamente vuole. Il marketing è l’ambasciatore di ogni brand, quindi deve promuoverlo, ma anche difenderlo dai possibili danni di immagine. Meglio costruire una roadmap dei processi e basarsi sulla privacy by design per non correre rischi”.
Tra le varie novità introdotte dalla normativa europea, spicca l’obbligo per le aziende di rimuovere a richiesta i dati personali dei clienti. Si tratta di un tema che causa più di un grattacapo alle funzioni marketing, oltre che a quelle tecnologiche: “I dati giocano un ruolo centrale nelle nostre strategie”, ha confermato Helena Theakstone, responsabile dell’area digitale di Oasis Fashion. “In passato la cancellazione era un’operazione semplice, mentre ora, di fronte a richieste che coinvolgono diversi database integrati fra loro, tutto diventa più complesso. Di certo, noi prestiamo attenzione a come catturiamo i dati e come li rendiamo utili per i clienti. Inoltre, abbiamo rafforzato gli investimenti nel Crm per costruire una visualizzazione unico per cliente dai vari canali usati per le interazioni con noi”.
Come affrontare scetticismo e furbizie dei consumatori
Il controverso rapporto fra marketing e sicurezza trova ulteriore conferma in un’indagine che Rsa ha commissionato a YouGov e che ha riguardato anche l’Italia. Si rileva, fra l’altro, che il 55% degli intervistati (56% da noi) ha dichiarato che eviterà di fornire informazioni personali a un'azienda che in passato abbia venduto o utilizzato i dati senza consenso. Rispetto al totale (78%), tuttavia, gli italiani si fanno meno influenzare (64%) dalla reputazione di un’azienda su questo fronte quando deve fare degli acquisti.
I nostri connazionali (30%) sono stranamente anche meno “furbetti” degli altri (41%) nel falsificare le informazioni personali al momento della registrazione su un sito per prodotti o servizi online. La percentuale sale però (47%) se si isolano i giovani. Le preoccupazioni più significative restano la protezione delle credenziali bancarie e finanziarie e delle informazioni di sicurezza, mentre quasi la metà ha dichiarato di temere di essere ricattato con immagini o messaggi privati rubati (sul campione totale siamo al 46%). Otto italiani su dieci, infine, dichiarano di limitare attivamente la quantità di informazioni personali che mettono online o condividono con le aziende.
Quanto evidenziato dalla ricerca appare strettamente connesso alle sfide del Gdpr. Suzanne Carter-Williamson, direttore marketing della National Dance Company Wales, ha puntato l’attenzione sulla necessità di creare un approccio coerente alla gestione dei dati: “Noi abbiamo fatto un’attività di mappatura, che ci ha consentito di capire dove siamo più forti e cosa dobbiamo fare in futuro. L’opportunità di pensare a come usiamo i dati e la condivisione ci ha fatto sentire più sicuri”.
Chris Daly, chief executive del Chartered Institute for Marketing, infine, ha riconosciuto come l’attenzione sia oggi puntata soprattutto sulle multe collegate alla mancata osservanza delle norme contenute nel Gdpr: “Si tratta però di un approccio riduttivo. Dal punto di vista del marketing, questo passaggio offre l’opportunità di riguadagnare fiducia nel rapporto con i clienti. Anziché sulla comunicazione, è meglio concentrarsi sull’esperienza per supportare lo sviluppo del brand. L’uso etico dei dati aiuterà a costruire un rapporto più solido”.