Con l’introduzione del GDPR e delle sue linee guida sono previsti notevoli cambiamenti per le imprese e gli enti amministrativi in materia di trattamento dei dati; in particolare, proprio per le aziende sono ancora da chiarire alcune incognite.
L’evoluzione tecnologica e normativa richiede un profondo ripensamento non solo dell’assetto tecnologico ed organizzativo delle aziende e pubbliche amministrazioni, ma anche una riflessione più ampia sull’attuale modello di business dell’Information Security e dell’ICT in generale
L’uso di internet, dello smart-working e via via una crescente digitalizzazione per ogni attività quotidiana e privata potrebbero determinare una ‘’zona grigia’’ rispetto alle originali caratteristiche aziendali e dei conseguenti rischi che precedentemente erano stati previsti.
Il modello organizzativo ed economico preesistente non regge al confronto delle evoluzioni in atto e va sostituito.
Pertanto, dalla lettura del GDPR e delle linee guida, per una maggiore ed efficace tutela, emerge la necessità di analizzare il ruolo reale delle componenti aziendali e adeguarle nell’ottica del nuovo quadro normativo, nonché guardare agli avvenimenti che avvengono esternamente all’impresa.
Per sapere da cosa difendersi bisogna guardare costantemente all’esterno, prima che all’interno.
Affinché, però, ci sia un’ottimale convivenza tra norme e attività d’impresa, non bisogna considerare solo le linee guida del GDPR e considerarlo come una realtà a sé stante, bensì, si prospetta come soluzione rilevante la Cyber Resilience strutturata nell’ottica della Compliance, della Cyber Security, della Gestione del Rischio Informatico così da prevenire e nel contempo rispondere rapidamente alle minacce. Si ha un’integrazione delle varie azioni che gestiscono la sicurezza.
L’impresa avrà, in tal modo, una capacità di far fronte in maniera positiva a eventi traumatrici, di riorganizzare positivamente la propria struttura organizzativa dinanzi alle difficoltà, di ricostruirsi restando sensibili alle opportunità positive che il mercato offre, senza alienare la propria identità.
Il primo step è introdurre e sviluppare un costante Risk Managementnell’organizzazione aziendale, testando, anche con simulazioni in tempi rapidi, il possibile impatto economico e reputazionale derivante da un eventuale incidente o blocco di un prodotto e servizi e, conseguentemente, ricercare e recuperare la condizione che si aveva prima dell’evento nefasto.
In seguito a tale analisi e dagli eventuali danni (anche simulati) subiti, si ricercano le soluzioni alternative a livello organizzativo-operativo, seguendo le linee guida del GDPR, così da prevedere ed evitare gli effetti dannosi che possono determinarsi a livello reputazionale, nonché la perdita dei dati: dai danni ricevuti viene marcata la mancata consapevolezza che è presente una minaccia informatica.
A queste operazioni di prevenzione si aggiunge la formazione dello stesso personale affinché risponda in modo adeguato e veloce ad ogni tipo di minaccia.
Infine, le stesse minacce, simulate o reali, dovranno essere sottoposte ad una costante analisi per il loro monitoraggio e rilevamento, così da creare un archivio delle minacce e dei conseguenti rischi succedutesi nel tempo ed avere un’immediata risposta.
Tutto ciò, però, potrebbe essere vanificato se a tali azioni non sono destinate le risorse economiche necessarie: una perdita di dati può costare più cara, rispetto ad impiegare capitali per la prevenzione.
In questa ottica, il Privacy Compliance Program, fondato sulla Cyber Resilience e condotto attraverso il GDPR, troverà un ruolo chiave tra la tutela degli interessi aziendali e il rispetto della normativa riguardante il trattamento dei dati personali attraverso il Privacy Impact Assessment, il Registro di Trattamento e la Policy di notifica del data breach: a sovrintendere tali azioni di tutela ci sarà il Data Protection Officer, punto d’incontro e di garanzia degli interessi aziendali, dei soggetti interessati dal trattamento e l’Autorita’ per la protezione dei dati personali.
Questi dati acquisiti e analizzati nel corso degli anni, costituiranno i ‘’mattoni’’ di un muro che sarà via via invalicabile ed inattaccabile da eventuali attacchi informatici, ma soprattutto varierà sempre il proprio confine in linea con lo sviluppo tecnologico insistente.