L’ondata di email, a rasentare quasi lo spam, è servita a far parlare del Gdpr nei giorni del suo debutto in Italia o meglio nei giorni del passaggio alla fase di recepimento obbligatorio della nuova normativa: le aziende devono ora dimostrare di essere in linea con il regolamento voluto dall’Europa, o almeno di aver intrapreso passi concreti verso l’obiettivo della compliance. Eppure la valanga di messaggi di posta elettronica, giunta nei giorni intorno al 25 maggio, non necessariamente ha fatto chiarezza. Non tutte le aziende italiane hanno compreso le reali implicazioni dell’obbligo di conformità, concentrandosi solo sugli aspetti più formali o solo su quelli tecnologici, in ogni caso trascurando spesso una più profonda revisione dei processi interni. È questa la testimonianza di chi, come Wintech, fa da tramite fra vendor e clienti realizzando progetti su misura.
System integrator attivo sul mercato italiano da più di trent’anni, si occupa di progettazione e implementazione di soluzioni informatiche, con particolare riferimento alla sicurezza (firewall, data loss prevention, crittografia, log management, disaster recovery e business continuity) ma propone anche un’offerta di servizi di formazione e consulenza, abbracciando anche l’assessment e la verifica della compliance al Gdpr. Abbiamo chiacchierato su questo tema con Rudi Gaspardo, major account manager & security specialist di Wintech.
Il Gdpr è ora pienamente operativo, al netto del recepimento della delega da parte del Governo. Come si sono mossi i vostri clienti?
Il Gdpr è stato un trend topic e per certi versi fonte primaria di spam, cosa che non ha di certo aiutato a creare una corretta consapevolezza. L’impatto che il regolamento comporta in azienda è stato percepito con notevole ritardo. Le aziende, per lo più, sono arrivate in affanno alla scadenza, complice sicuramente il fatto che la questione sia stata a volte approcciata squisitamente per l’ambito tecnologico e che non sia stata supportata da un processo trasversale di governance della sicurezza. Governance che sarebbe bene adottare a prescindere dall’aspetto cogente del regolamento. Altri, soprattutto i clienti con modello di business B2C, hanno riservato maggior sforzo all’aspetto formale e di informativa, talvolta trascurando l’ambito tecnologico. In ogni caso, comunque, non è stato capito lo spirito che deve necessariamente coniugare tutti gli ambiti. In questo panorama, i nostri clienti hanno potuto usufruire del nostro framework, un assessment di “Gdpr readiness”, opportunamente pensato sotto tutti i punti di vista e mirato a fornire una gap analysis organizzativa e infrastrutturale. Hanno avuto modo così di affrontare le varie tematiche, apprezzandone le funzionalità, non solo per la tematica dei dati personali ma più ambiziosamente come una best practice della gestione delle informazioni aziendali.
Quali aziende si sono mosse meglio e prima sul fronte della sicurezza dei dati?
Secondo quanto da noi osservato, le aziende spaziano dalla piccola realtà che però tratta massivamente dati personali dei propri clienti e che correttamente deve dotarsi di misure di sicurezza idonee, alla grande azienda operante in ambito B2B, la quale partiva dalla convinzione di essere poco impattata ma, col tempo, si rendeva conto ad analisi fatta che le informazioni da tutelare non erano poi così limitate.
Quali sono i problemi più rilevanti incontrati dai clienti nell’approcciare la conformità al Gdpr?
Uno degli aspetti più complessi da far digerire è stato il passaggio dall’approccio del Decreto Legislativo 196, testo che prevedeva delle “misure minime”, al concetto di misure sufficienti e idonee alla protezione introdotto dal Gdpr. Questo regolamento, sia per la sua portata sia per la sua filosofia sottostante, non poteva essere prescrittivo in un mondo che è in continua evoluzione tecnologica. Altro scoglio è stato sicuramente il far capire che la questione non era di sola pertinenza amministrativo/legale, e questo in alcuni casi è stata una spiacevole scoperta per il cliente.
Quali soluzioni tecnologiche vi vengono più richieste per proteggere i dati aziendali e quindi la privacy?
Fatta esclusione per quelle perimetrali e di protezione della postazione, che diamo per scontate, le soluzioni più richieste sono quelle che permettano una pronta rilevazione di situazioni di “breccia”, cioè gli spostamenti laterali, e che aiutino le aziende a essere pronti per eventuali attacchi e a poter dare notifica nei tempi stabiliti. Lo strumento principe comunque continua a essere, a nostro parere, quello della prevenzione della perdita del dato (Data Loss Prevention) pensata per il contesto specifico del progetto del cliente.
L’aspetto di crittografia declinato nei vari ambiti e stack tecnologici e funzionali è una soluzione consigliata dal Gdpr, ma non sempre applicabile per fattibilità. Quello della sicurezza e privacy “by design” e “by default”, infatti, è un principio fondante e meritorio, ma come tale è molto impattante per le realtà che non siano in fase di design ma bensì in piena produzione e magari in condizioni critiche, da preservare nel massimo delle prestazioni e della resilienza. Per questo, le soluzioni dovranno essere necessariamente tarate ad hoc. Credo che molti abbiano compreso, a loro spese, che la soluzione “one fits all” in questa tematica non possa esistere ed è questo il contesto in cui partner come noi possono fare la differenza.
Che sviluppi prevedete nei prossimi mesi per le soluzioni e servizi di cybersicurezza?
Gli sviluppi e potenzialità possono essere molteplici se - come fatto, io ritengo meritoriamente, in nostri eventi e iniziative - non ci si fermerà all’aspetto cogente del Gdpr ma si completa la protezione dei dati aziendali, che possono essere quelli di know-how, di tutela dei cosiddetti “gioielli della corona” all’interno dell’azienda. In tal senso, stiamo affiancando le aziende anche a supporto della nuova Direttiva europea 943/2016 sulla protezione del know-how riservato, con strumenti di Data Loss Prevention studiati ad hoc.
Maggiori informazioni sulla campagna di HP “The Wolf” e su Wintech a questo link.