Un anno di GDPR. Intervista a Marco Rottigni di Qualys

attacchi IT

Marco Rottigni, Chief Technology Security Officer EMEA di Qualys, ci spiega le implicazioni legate al GDPR e gli scenari d’impresa a un anno dall’entrata in vigore.

– L’entrata in vigore del GDPR ha ricordato alle imprese l’importanza della privacy e del corretto trattamento dei dati. A un anno dall’introduzione della normativa quale considerazioni potete fare?
Maggio 2019 è il primo anniversario dall’entrata in vigore del regolamento europeo per la protezione dei dati personali e i dati raccolti dagli analisti di mercato sullo stato di conformità delle aziende al GDPR, non sono particolarmente incoraggianti. Uno studio di Gartner rileva infatti che su dieci DPO Manager, meno della metà, sono fiduciosi sul proprio processo di adeguamento al GDPR raggiunto. Si tratta di un dato che non si alinea affatto a quello che doveva a essere il principale obiettivo della normativa, vale a dire creare certezza e coerenza sulle regole da applicare per la corretta gestione di dati personali in Europa. Di certo, l’aura di paura e incertezza che si temeva si è largamente attenuata, seguita da una consapevolezza di quanto questa regolamentazione fosse necessaria. Inoltre, si è verificata anche una presa di coscienza di quanto la revisione dei processi aziendali ha contribuito ad una maggiore maturità su temi di privacy e soprattutto di trattamento dati. Ci sono stati certamente casi in cui le punizioni hanno fatto, stanno facendo e faranno scalpore e questo aggiunge consistenza ad una regolamentazione i cui benefici hanno soltanto iniziato a comparire.

– Secondo il Vs. punto di osservazione, le imprese hanno beneficiato dall’introduzione del GDPR? Perché?
Certamente sì. Il GDPR ha portato molte aziende a revisionare profondamente i propri processi di trattamento e protezione del dato, aumentando in modo importante la maturità sul tema sicurezza informatica. C’è stata una notevole sensibilità anche in materia di resilienza come obiettivo e visibilità, senza dimenticare l’incremento di accuratezza di rilevamento come capacità, che ha portato a ripensare gli strumenti alla luce di nuovi processi da supportare e non come mere soluzioni a problemi puntuali.

– In riferimento al Vs. parco clienti: come si sono comportate le aziende in materia di privacy e compliance? Quali feedback avete ricevuto? Quali richieste di supporto?
Riteniamo sia in atto una completa riconsiderazione dei processi di base adottati nelle imprese, quali ad esempio la comprensione di cosa compone l’ambiente IT, come determinarne la superficie vulnerabile, come gestire le priorità di rimedio e come armonizzare il tutto con le esigenze di compliance. Il tema della compliance oggi diventa solo un’altra prospettiva con cui osservare dati sugli asset che vengono già processati per altre esigenze (IT, Security, Procurement) con l’obiettivo di create fonti centralizzate, unificate e consistenti di verità, con evidente miglioramento di efficienza operativa e efficacia dei processi. Le aziende hanno infatti sempre più bisogno di strumenti di security intelligence, per essere agevolate nell’individuazione più rapida ed intelligente delle minacce, che sono diventate estremamente sofisticate e che rendono le vulnerabilità un’area molto complessa da gestire. Come Qualys suggeriamo alle aziende di elevare il tema della sicurezza verso un approccio piu’ ‘proattivo’, dotandosi di soluzioni avanzate di analytics sulla sicurezza, che aiutano a scoprire minacce in tempi molto rapidi rispetto al passato, consentendo all’azienda di mantenere continuità.

– Come hanno reagito i partner in rapporto alle opportunità di interazione coi clienti e di business generate dal GDPR? Cosa avete fatto per stimolare la loro crescita in questo momento particolare?
Qualys, in qualità di pionere e fornitore leader di soluzioni di sicurezza e compliance basate sul cloud crede fermamente nella propria piattaforma, in grado di armonizzare le esigenze di IT, Security e Compliance e offre un’integrazione elevata tra una ventina di applicazioni funzionali che possono essere combinate all’occorrenza in base alle esigenze di ogni Cliente. Tra le applicazioni disponibili, un sottoinsieme è proprio dedicato alla compliance normativa e include modelli e funzionalità specifiche per la normativa GDPR.

– Quali soluzioni proponete per semplificare la gestione della privacy e la compliance in ottemperanza alla normativa?
Qualys Policy Compliance e Security Assessment Questionnaire sono due applicazioni della Qualys Cloud Platform che rispondono sia agli aspetti tecnici che a quelli procedurali nella verifica della conformità normativa con i framework e i mandati di riferimento. Entrambi includono modellizzazioni dei controlli e template pensati specificamente per GDPR, in modo da semplificare la rielaborazione dei dati sul panorama digitale collezionati dai sensori Qualys e la loro presentazione secondo le esigenze di un’utenza interessata alla Compliance.

– Cosa fate per assicurare la disponibilità di prodotti e soluzioni per i clienti che seguano l’impronta del “privacy-by-design” e “security-by-design”?
Qualys ritiene che nei processi di trasformazione digitale la sicurezza debba essere built-in e non bolted-on, cioè integrata nel processo “by design” e non implementata o costruita a posteriori. Questa logica si estende naturalmente anche a temi di privacy, in quanto strettamente afferenti al trattamento e al processo dei dati. A lato degli aspetti di offerta prodotti, Qualys è un fornitore di soluzioni SaaS che vengono erogate attraverso la nostra piattaforma Cloud tramite i nostri datacenter pubblici e i Private Cloud presso i datacenter dei nostri clienti. Abbiamo quindi sviluppato negli ultimi venti anni un’elevatissima sensibilità ed ottime capacità di mettere in pratica il paradigma “security-by-design” sia a livello di procedure, che di certificazione, che di prodotti. Utilizziamo infatti una logica “Qualys-on-Qualys”, che prevede un massivo utilizzo dei nostri prodotti anche al nostro interno in modo da verificare costantemente la corrispondenza con use case reali.