È passato un anno dall’adozione del GDPR e FireEye ha deciso di capire a che punto è la comprensione e quali I cambiamenti con l’applicazione della normativa.
David Grout, Emea Cto, FireEye
Nonostante il GDPR sia ormai generalmente ben compreso, ci sono ancora delle sfide da affrontare. Ad esempio c’è quella del fattore umano, che non è una sfida nuova per il settore della cyber security ma che si è riproposta con forza a seguito dell’avvento del GDPR.
ll Regolamento europeo sulla protezione dei dati ha permesso alle organizzazioni di aumentare la propria maturità in materia di sicurezza, ha comportato un incremento delle notifiche delle violazioni e ha permesso di aprire discorsi su argomenti che, in precedenza, erano spesso scarsamente trattati o, addirittura, “tabù”.
Dal 25 maggio 2018 le organizzazioni aziendali sono diventate molto più trasparenti per quanto riguarda la comunicazione sulle violazioni dei dati, fornendo maggiore disponibilità a discutere su questi argomenti e sulle relative notifiche. Le aziende sono ora sfidate a modificare i modi, con I quali gestiscono i dati, perché obbligate a passare da una semplice raccolta a un loro trattamento in modo ben documentato. Le organizzazioni, per essere in linea con la normativa, sono obbligate a nominare un responsabile della protezione dei dati (DPO), che ha necessità di un team dedicato per gestire la complessità dei requisiti del GDPR.
David Grout, Emea Cto, FireEye
Quello che penso sia necessario è avere chiarimenti in merito all’articolo 33 del Regolamento, che richiede 72 ore per notificare qualsiasi violazione. Quello che a mio avviso si deve definire è cosa si intende per notifica e quali sono le informazioni che deve contenere. Ad esempio, ricevere un alert su una potenziale violazione non è la stessa cosa di un incidente, ed entrambi hanno requisiti di notifica differenti. La necessità è che questo aspetto sia compreso più a fondo.