GDPR: il primo passo per mettersi in regola? Sapere dove si è vulnerabili
Il GDPR sarà in vigore dal 25 maggio: Manuel Cacitti, CEO di Securbee, ricorda: "Molto spesso le aziende scoprono di gestire dei dati personali che nemmeno sapevano di avere"
Mancano solo pochi giorni ed entrerà in vigore il GDPR, il Regolamento europeo per la protezione dei dati personali. Dal 25 maggio chi non si adegua sarà passibile di sanzioni, teoricamente fino a 20 milioni di euro e fino al 4% del fatturato per le violazioni più gravi. Ma è un dato di fatto che molte aziende non siano pronte: “Manca ancora il giusto grado di consapevolezza, in particolare nelle realtà piccole e medie che operano in settori distanti dall’informatica e dalla tecnologia. Alcune addirittura sono convinte che il GDPR non le riguardi, ma è sbagliato: qualsiasi impresa tratta dati personali, a partire da quelli dei dipendenti, fino a quelli di fornitori e clienti”. A spiegarlo è Manuel Cacitti, consulente strategico fra i maggiori esperti italiani del settore, nonché fondatore e CEO di Securbee, società di Udine che si occupa di servizi di sicurezza informatica nata a fine 2017.
Negli ultimi mesi Securbee, che collabora con una cinquantina di clienti soprattutto nel Nord e Nord-Est, è stata sommersa di richieste da parte di aziende di ogni settore che stanno correndo ad adeguarsi alle nuove regole. Tanto che la società, che al momento conta cinque dipendenti, ha attivato la ricerca di altri tre esperti di IT e di diritto, proprio per far fronte alla crescente domanda di consulenza e servizi nell’ambito della sicurezza e della protezione dei dati.
“Ovviamente chi si è mosso all’ultimo momento non sarà pronto per il 25 maggio, ma non è questo il problema più grave” spiega Cacitti. “È però il momento di cogliere l’occasione per intervenire in un ambito che, se non affrontato con serietà, può compromettere business e competitività”. Tra furti di dati, spionaggio e ransomware (cioè quando un computer viene “preso in ostaggio” e viene chiesto un riscatto per ridarne il controllo al proprietario), si stima che in Italia il cybercrimine causi danni per 10 miliardi di euro l’anno (Rapporto Clusit 2018): “E non c’è solo il danno economico diretto” sottolinea Cacitti “ma anche quello reputazionale presso clienti, partner e fornitori che subiscono interruzioni del servizio o scoprono che i dati che li riguardano sono stati persi o trafugati”.
La prima cosa da fare per mettersi in regola, quindi, è capire dove si è carenti rispetto al regolamento. Per questo Securbee ha messo a punto un servizio di GDPR Check Assessment che ha l’obiettivo di determinare il grado di conformità di un’organizzazione rispetto a quanto previsto dalla normativa. “Si parte acquisendo informazioni e documenti che aiutano a capire come vengono gestiti i dati personali in azienda” spiega il CEO di Securbee. “Per esempio codici di condotta, informative, documenti programmatici sulla sicurezza, regolamenti interni sull’uso di computer, telefoni ecc.”. Si passa poi alle interviste con responsabili delle varie aree (finanza, amministrazione, IT, HR e direzionale) per verificare le procedure in essere (flusso buste paga, CRM, dati dei dipendenti). Da qui parte l’attività di data mapping che permette di scoprire quanti e quali dati personali ci sono effettivamente nell’organizzazione e come vengono trattati: “Molto spesso l’azienda scopre di gestire dei dati personali che nemmeno sapeva di avere!” commenta Cacitti.
Alla fine della valutazione, Securbee consegna un report di 40-70 pagine sul grado di conformità al GDPR che contiene proposte di miglioramenti, osservazioni e raccomandazioni. Che ha un grande vantaggio: è basato su competenze trasversali (legali, tecnologiche, organizzativo-procedurali). “Abbiamo scelto questo approccio” spiega Cacitti “perché per il cliente significa meno stress, meno complessità da gestire e risparmio, al contrario di quanto avviene di solito facendo fare valutazioni separate per i vari ambiti”. Le informazioni sono organizzate in modo chiaro, anche attraverso dei grafici comprensibili non solo al reparto tecnico dell’azienda, ma a tutto il management. “Perché la sicurezza informatica” conclude Cacitti “è una questione prima di tutto culturale, che richiede consapevolezza e condivisione a ogni livello dell’azienda”.
Contenuti correlati
-
Massima precisione nonostante le temperature estreme
Le soluzioni sviluppate da VEGA sono in grado di garantire le prestazioni e l’affidabilità dei sensori anche negli ambienti più ostili e in presenza di prodotti aggressivi. Il sensore radar VEGAPULS 6X di VEGA, nell’esecuzione studiata per...
-
Machinery-X, Data Space per le macchine utensili con Ucimu e IDSA
Ucimu, l’associazione dei costruttori italiani di macchine utensili, robot, automazione e di prodotti ausiliari, ha annunciato la conclusione della prima fase del progetto pilota di Data Space per le macchine utensili, chiamato Machinery-X, realizzato in collaborazione con...
-
La regolamentazione sull’AI: la visione di Appian
L’Europa si è posta all’avanguardia nella regolamentazione sull’AI grazie all’EU AI Act, la prima legge di questo tipo al mondo completa e approvata all’unanimità dagli Stati membri dell’UE il 21 maggio 2024. All’interno del quadro normativo dell’UE...
-
Cyber Security, a Security Summit 2024 lo stato dell’arte, le nuove tecnologie, le normative in 56 sessioni
Lo stato dell’arte della cyber security, tra attacchi, vittime e nuove minacce nel 2023: sulla base dei dati del Rapporto Clusit 2024 gli esperti dell’Associazione Italiana per la Sicurezza Informatica, con rappresentanti di istituzioni, centri di ricerca,...
-
Automobili connesse e tracciamento dei dati, la questione della privacy
Di Sabrina Curti, Marketing Manager di ESET Italia Il tracciamento è diventato di recente un grande spauracchio. La quantità di dati che un’applicazione o un sistema operativo può utilizzare per riconoscerci è enorme, a seconda del metodo...
-
Verso un mondo più sostenibile con la gestione “green” dei dati
La grande quantità di dati che attualmente viene generata ogni giorno all’interno delle aziende produce elevate emissioni di CO2 attraverso i processi di archiviazione, elaborazione e analisi e rappresenta quindi un enorme peso per l’ambiente. Questo problema...
-
Machinery Regulation (EU) 2023/1230 e nuove norme per la sicurezza funzionale
In ambito sicurezza ci sono alcune novità di recente introduzione. Mentre si avvicina l’entrata in vigore del nuovo Regolamento Macchine, anche le norme armonizzate ISO 13849 e IEC 62061, relative alla sicurezza funzionale nel mondo delle macchine,...
-
Faggioli: “Cyber security spina dorsale del Paese”
Partecipando al panel “Leadership resilienti tra cyber security e protezione dei dati”, Gabriele Faggioli, presidente di Clusit – Associazione Italiana per la Sicurezza Informatica – ha ribadito il concetto di “economia di scala degli investimenti” come necessità...
-
Rapporto Clusit, impennata di attacchi cyber in Italia: +40% nei primi sei mesi del 2023 rispetto al 2022
Sono stati 1.382 gli attacchi cyber nel mondo nel primo semestre del 2023, registrati ed analizzati dai ricercatori di Clusit, Associazione Italiana per la Sicurezza Informatica. Nel corso della presentazione della edizione di fine anno del Rapporto...
-
AI Act, nuova sfida per le aziende che utilizzano la videosorveglianza
A inizio estate, il Parlamento europeo ha approvato in prima istanza l’ AI Act. La normativa dovrebbe ricevere l’approvazione finale entro fine 2023 ed entrare in vigore nel 2024. La rapida evoluzione dell’intelligenza artificiale ha determinato una trasformazione...