Come sottolinea Vincenzo Costantino, Senior Director, Presales EMEA Large and Global Accounts di Commvault, la protezione dei dati passa dalle persone.
Sempre più, le aziende oggi possono dirsi data-driven. La loro attività si basa su quantità sempre più importanti di dati, che le organizzazioni sono chiamate a gestire e proteggere in modo adeguato.
I benefici che i dati offrono sono indiscutibili, ma il potenziale di violazione e perdita di dati non è mai stato così elevato, nonostante le misure di sicurezza in teoria implementate con il GDPR.
Vincenzo Costantino, Senior Director, Presales EMEA Large and Global Accounts di Commvault
Se esistono sistemi informatici di ogni tipo per gestire e proteggere i dati presenti in azienda, è bene ricordare che Non esistono patch per le persone. Ogni dipendente è responsabile dei dati, dai manager C-level a tutte le persone operative nei diversi team. Purtroppo, non c’è una soluzione istantanea per risolvere i problemi creati da una gestione non corretta dei dati da parte dei dipendenti.
Ogni singola azienda ha fiducia nelle proprie risorse, ma nonostante questo il potenziale di rischio è elevato e la formazione resta la componente più importante da considerare quando si tratta di conformità al GDPR. I dipendenti sono l’asset di maggior valore in azienda. Bisogna incoraggiare una cultura basata sulla trasparenza, in modo che le risorse siano a loro agio nel segnalare eventuali errori, consapevoli anche delle potenziali conseguenze.
Dopo la conoscenza dei dati e delle relative responsabilità, e la certezza di garantire il giusto livello di formazione ai dipendenti, è il momento di identificare i rischi che i dati potrebbero subire:
• Mancanza di visibilità: essere in grado di visualizzare dove sono i dati e chi vi ha accesso è fondamentale per garantire la loro salvaguardia. Senza un’adeguata visibilità, non si può essere certi di proteggerli in modo completo.
• E-mail e altri scambi di comunicazioni: è uno dei più grandi rischi di perdita di informazioni, perché i dati condivisi nelle email possono essere intercettati e perché i messaggi di phishing possono ingannare gli utenti e convincerli a condividere dati personali o aprire link pericolosi.
• Dispositivi di archiviazione e chiavette USB personali: se un’azienda ne consente l’utilizzo, è importante che siano crittografati a ogni livello. In questo modo, in caso di furto o perdita, sarà impossibile accedere ai dati archiviati. Valutare bene anche perché i dipendenti utilizzino questi dispositivi e se non esista un’alternativa per evitarlo.
• Utilizzare il cloud: se si spostano i dati personali nel cloud, sarà necessario conoscere gli standard di protezione applicati e il luogo in cui si trova l’azienda, perché potrebbe avere un impatto sulle normative da rispettare.
Essere consapevoli di questi pericoli e sapere come evitarli è necessario per non correre il rischio di violare la compliance. Il GDPR racchiude sfide legate a persone, processi e tecnologie e bisogna essere pronti ad affrontarle. Se le risorse non avessero un livello adeguato di conoscenza del GDPR e di come possano applicare le misure di protezione nelle proprie attività, potrebbero scatenare pericolosi data breach. Se processi e tecnologie non fossero conformi, potrebbe essere anche più complesso rispondere alle richieste di dati da parte dei clienti, causando ulteriori problemi di conformità.
Vincenzo Costantino
Persone, normative, tecnologia, protezione, formazione e dati viaggiano in parallelo, trascurare un elemento può compromettere gravemente tutti gli altri.