Da qui a poco più di due anni scadrà l'ultimatum dell'Europa alle aziende in tema di privacy e protezione dei dati personali: il 25 maggio 2018 è la data in cui entrerà in vigore il General Data Protection Regulation, meglio noto con il suo acronimo Gdpr. Molti vendor stanno battendo su questo tasto, sottolineando l'importanza di non arrivare impreparati all'appuntamento e dunque di iniziare fin da ora ad adeguarsi ad alcune delle prescrizioni volute dall'Ue.
Fra i principi del nuovo regolamento, in parte derivati dalla precedente direttiva 95/46/CE, spiccano il diritto all’oblio, l’obbligo di comunicare entro 72 ore avvenute violazioni informatiche o incidenti, l’imperativo della trasparenza (per cui le informazioni di utilità pubblica o individuale devono essere facilmente accessibili e comprensibili), la pseudonimizzazione (il principio per cui le informazioni di profilazione debbano essere conservate in una forma che impedisce l’identificazione dell’utente) e, ancora, e l’istituzione della figura del Responsabile della protezione dei dati.
Tanta carne al fuoco è certamente giustificata, se si pensa al drastico aumento volumetrico e di complessità degli attacchi informatici che ha interessato l’Europa negli ultimi due anni. Per potersi dire in regola, “compliant”, le aziende dovranno affrontare una serie eterogenea di questioni: dalla gestione dei data breach al risk assessment, fino all’accountability e quindi al controllo sui trattamenti effettuati, sulle responsabilità e sui compiti assegnati. Già oggi, tuttavia, i rischi possono essere mitigati tramite soluzioni innovative di sicurezza e grazie all’adozione di linee guida e standard per la gestione del rischio, quali il Framework Nazionale, e il Framework Nist.
Di molti di questi temi si parlerà il 23 marzo a Milano durante un workshop (“Advanced Cybersecurity & Compliance”, all'hotel Nhow di via Tortona) organizzato da The Innovation Group. Tra sessioni plenarie e laboratori pratici, si parlerà di quai siano gli impatti dell'obbligatorio adeguamento al Gdpr sulle aziende, di come impostare una corretta strategia di “cybersecurity governance”, di quali siano le più recenti soluzioni di sicurezza a disposizione (in particolare, quelle rivolte ad attività di compliance, alterting & detection, threat intelligence, crisis response, gestione degli incidenti informatici, consapevolezza e valutazione del rischio).