GDPR: il primo passo per mettersi in regola? Sapere dove si è vulnerabili

Il GDPR sarà in vigore dal 25 maggio: Manuel Cacitti, CEO di Securbee, ricorda: "Molto spesso le aziende scoprono di gestire dei dati personali che nemmeno sapevano di avere"

Pubblicato il 21 maggio 2018

Mancano solo pochi giorni ed entrerà in vigore il GDPR, il Regolamento europeo per la protezione dei dati personali. Dal 25 maggio chi non si adegua sarà passibile di sanzioni, teoricamente fino a 20 milioni di euro e fino al 4% del fatturato per le violazioni più gravi. Ma è un dato di fatto che molte aziende non siano pronte: “Manca ancora il giusto grado di consapevolezza, in particolare nelle realtà piccole e medie che operano in settori distanti dall’informatica e dalla tecnologia. Alcune addirittura sono convinte che il GDPR non le riguardi, ma è sbagliato: qualsiasi impresa tratta dati personali, a partire da quelli dei dipendenti, fino a quelli di fornitori e clienti”. A spiegarlo è Manuel Cacitti, consulente strategico fra i maggiori esperti italiani del settore, nonché fondatore e CEO di Securbee, società di Udine che si occupa di servizi di sicurezza informatica nata a fine 2017.

Negli ultimi mesi Securbee, che collabora con una cinquantina di clienti soprattutto nel Nord e Nord-Est, è stata sommersa di richieste da parte di aziende di ogni settore che stanno correndo ad adeguarsi alle nuove regole. Tanto che la società, che al momento conta cinque dipendenti, ha attivato la ricerca di altri tre esperti di IT e di diritto, proprio per far fronte alla crescente domanda di consulenza e servizi nell’ambito della sicurezza e della protezione dei dati.
“Ovviamente chi si è mosso all’ultimo momento non sarà pronto per il 25 maggio, ma non è questo il problema più grave” spiega Cacitti. “È però il momento di cogliere l’occasione per intervenire in un ambito che, se non affrontato con serietà, può compromettere business e competitività”. Tra furti di dati, spionaggio e ransomware (cioè quando un computer viene “preso in ostaggio” e viene chiesto un riscatto per ridarne il controllo al proprietario), si stima che in Italia il cybercrimine causi danni per 10 miliardi di euro l’anno (Rapporto Clusit 2018): “E non c’è solo il danno economico diretto” sottolinea Cacitti “ma anche quello reputazionale presso clienti, partner e fornitori che subiscono interruzioni del servizio o scoprono che i dati che li riguardano sono stati persi o trafugati”.

La prima cosa da fare per mettersi in regola, quindi, è capire dove si è carenti rispetto al regolamento. Per questo Securbee ha messo a punto un servizio di GDPR Check Assessment che ha l’obiettivo di determinare il grado di conformità di un’organizzazione rispetto a quanto previsto dalla normativa. “Si parte acquisendo informazioni e documenti che aiutano a capire come vengono gestiti i dati personali in azienda” spiega il CEO di Securbee. “Per esempio codici di condotta, informative, documenti programmatici sulla sicurezza, regolamenti interni sull’uso di computer, telefoni ecc.”. Si passa poi alle interviste con responsabili delle varie aree (finanza, amministrazione, IT, HR e direzionale) per verificare le procedure in essere (flusso buste paga, CRM, dati dei dipendenti). Da qui parte l’attività di data mapping che permette di scoprire quanti e quali dati personali ci sono effettivamente nell’organizzazione e come vengono trattati: “Molto spesso l’azienda scopre di gestire dei dati personali che nemmeno sapeva di avere!” commenta Cacitti.

Alla fine della valutazione, Securbee consegna un report di 40-70 pagine sul grado di conformità al GDPR che contiene proposte di miglioramenti, osservazioni e raccomandazioni. Che ha un grande vantaggio: è basato su competenze trasversali (legali, tecnologiche, organizzativo-procedurali). “Abbiamo scelto questo approccio” spiega Cacitti “perché per il cliente significa meno stress, meno complessità da gestire e risparmio, al contrario di quanto avviene di solito facendo fare valutazioni separate per i vari ambiti”. Le informazioni sono organizzate in modo chiaro, anche attraverso dei grafici comprensibili non solo al reparto tecnico dell’azienda, ma a tutto il management. “Perché la sicurezza informatica” conclude Cacitti “è una questione prima di tutto culturale, che richiede consapevolezza e condivisione a ogni livello dell’azienda”.



Contenuti correlati

  • Quattro leve strategiche per la resilienza aziendale

    Il concetto di resilienza aziendale è frutto di una calibrata sintesi di: business continuity, risk management, cyber security & compliance. Diventa strategico attuare misure proattive per garantire efficienza organizzativa, completando il processo di digitalizzazione e automazione in...

  • Anipla: Cyber Security per l’industria 2021

    La VIII Edizione della Giornata di Studio ANIPLA sulla Cyber Security, evento online gratuito previsto per il 17 novembre 2021, si pone come obbiettivo quello di aggiornare gli addetti al settore con nuovi spunti per pianificare e strutturare il...

  • Spyware e script dannosi minacciano i sistemi ICS

    Secondo Kaspersky ICS Cert (Industrial Control Systems Cyber Emergency Response Team), nel primo semestre del 2021 quasi un computer aziendale su tre è stato soggetto ad attività dannose. Durante il primo semestre del 2021, i criminali informatici hanno...

  • Semperis propone uno strumento gratuito di valutazione della sicurezza: Purple Knight

    L’Active Directory (AD) è il sistema di identità centrale per il 90% delle organizzazioni, per questo motivo è pesantemente minacciato dai criminali informatici ed è fondamentale preservarne la sicurezza. Prendiamo come esempio i due recenti cyberattacchi di...

  • Edge e cloud: parliamo di sicurezza e protezione dei dati

    Veniamo ora alla sicurezza in ambito edge e cloud computing. Sappiamo che il problema della protezione e della sicurezza dei dati è delicato e in genere molte aziende sono restie a trasferire esternamente i propri dati di produzione....

  • Phoenix Contact festeggia i 25 anni in Italia

    Sono trascorsi 25 anni dal lontano 1996 quando ha preso forma la prima sede italiana di Phoenix Contact, a Cinisello Balsamo, con una superficie di qualche centinaio di metri quadrati composta da pochi uffici, dove ha avuto...

  • Quale cyber security con il Piano Nazionale di Ripresa e Resilienza?

    Grande attenzione per la digitalizzazione del Paese con investimenti per circa 35 miliardi e l’obiettivo dichiarato di imprimere una decisa accelerazione in tema di innovazione sia a livello industriale, sia a livello della Pubblica Amministrazione. Il Piano...

  • La guida autonoma, le linee guida dell’EDPB e i principi sul trattamento dei dati personali

    Il 9 marzo 2021 sono state adottate, dopo la consultazione pubblica, le linee guida dell’EDPB in tema di veicoli connessi, molto interessanti per quanto concerne i principi che vengono enunciati. In un sistema in cui le auto...

  • ServiTecno distribuisce OTfuse Lite per la sicurezza industriale

    Bayshore Networks, azienda statunitense che opera nella protezione attiva per le reti OT/ICS le cui soluzioni sono distribuite e supportate in Italia da ServiTecno, ha ampliato la propria offerta di prodotti modulari per la Cyber Security dei sistemi di...

  • Online il programma di secsolutionforum

    Manca meno di un mese all’apertura dell’edizione 2021 di secsolutionforum che si svolgerà in formato digitale dal 28 al 30 aprile. L’evento sarà fruibile online e ricco di contenuti. Gli argomenti verranno trattati in modo approfondito, correlati...

Scopri le novità scelte per te x