GDPR, Analisi della Security e Privacy By Design
Ora più che mai, le imprese sono sotto pressione per riflettere sulle modalità di raccolta, gestione, archiviazione e trasmissione dei dati. A partire dal 25 maggio 2018, un’organizzazione che non rispettasse il regolamento generale sulla protezione dei dati potrebbe incorrere in sanzioni pecuniarie fino a 10 milioni di euro. L’obiettivo del GDPR è rafforzare la protezione dei dati per le persone all’interno dell’Unione europea (UE) e si ripercuote praticamente su qualsiasi entità che abbia anche un contatto minimo con l’UE, consapevolmente o meno. Fortunatamente, le aziende più competitive nel settore della sicurezza sono alle prese con e affrontano da tempo le questioni relative alla limitazione dell’accesso alle informazioni sensibili dei clienti e all’IP aziendale.
GDPR – Privacy per design
La GDPR chiede che i sistemi e i prodotti applichino la privacy in modo più integrato che mai. Vediamo l’esempio di un’azienda che gestisce i servizi per i clienti via e-mail e tramite centralino. In base alle nuove linee guida, all’azienda potrebbe essere richiesto di rimuovere tutti i record su richiesta del cliente. Qualsiasi organizzazione che raccolga i dati dei clienti potrebbe essere esposta a una responsabilità futura se non riesce a trovare e rimuovere tutti i dati.
Gli sviluppatori di sistemi dovranno progettare tenendo conto di queste norme di sicurezza. Lou Ruppert, VP Security Operations di Silent Circle, afferma: “È un modo per portare le questioni relative alla privacy a un livello più olistico. È integrato nei processi aziendali fin dall’inizio. Questo permette alle aziende di mostrare rispetto per le preoccupazioni dei loro clienti in materia di sicurezza”.
Regolamento generale sulla protezione dei dati sarà applicato a partire dal 25 maggio 2018, ma è stata approvata dal Parlamento Europeo il 14 aprile 2016 dopo diversi anni di ricerca e preparazione. Le aziende che attribuiscono la massima importanza alla riservatezza dei dati dei loro clienti stanno già fornendo sistemi e servizi che soddisfano o superano il GDPR.
Rispetto per i dati del cliente
Molte organizzazioni, tra cui aziende con una mentalità tecnologica, sono state vittime di violazioni dei dati ampiamente pubblicizzate. La frequenza di questi incidenti, pur parlando della minaccia sempre crescente della criminalità informatica, rivela anche una certa mancanza di rispetto per i dati dei clienti. È imperativo che le imprese riflettano sulle potenziali conseguenze di una potenziale violazione della sicurezza e valutino attentamente dove vengono conservati i dati e come vengono gestiti.
Lou Ruppert afferma: “Le aziende spesso non soppesano attentamente le loro decisioni rispetto ai dati. La vita delle persone può essere in gioco tanto quanto i profitti dell’azienda: lavoriamo in alcuni settori altamente sensibili. Già nel 2012, molto prima che arrivassero gli aggiornamenti della GDPR, stavamo affrontando le questioni relative alla privacy dei dati. Immagino sempre le conseguenze del mondo reale quando si esamina la progettazione di un sistema per scoprire le vulnerabilità e valutarne le ripercussioni. Cogliendo appieno le potenziali ramificazioni di ogni fallimento, si dà al proprio lavoro la gravità e l’importanza che merita”.
GDPR – Vantaggio competitivo
Una solida protezione dei dati sta diventando sempre più un fattore di differenziazione per la competitività delle imprese e queste ultime dovrebbero considerare la GDPR come un’opportunità piuttosto che come un ostacolo. Le organizzazioni che cercano di essere compliance avranno bisogno di partner e fornitori terzi che siano anche conformi al fine di evitare sanzioni. In questo modo, la tutela della vita privata e dei dati personali diventa di fatto un vantaggio competitivo.
