Fabio Pascali (Veritas Technologies): “Sulla GDPR le aziende stanno perdendo un’occasione importante”

Dopo oltre un anno dal maggio 2018, data di inizio dell’applicabilità del General Data Protection Regulation (GDPR), formalmente indicato come Regolamento 679 in vigore da maggio 2016, è tempo di valutare l’efficacia della sua introduzione. Se alcune aziende sono conformi al nuovo regolamento, molte ancora devono completare la roadmap dell’adeguamento e l’allerta sul tema data security resta massima.

Secondo IDC, entro il 2025 la sfera dati globale aumenterà fino a 163 zettabyte, 10 volte superiore alla quantità attuale e con l’aumento dei dati, aumenta la responsabilità. L’ultima edizione dello studio commissionato da IBM al Ponemon Institute dal titolo “Cost of data breach Report” evidenzia un costo medio dei data breach a livello mondiale pari a 3,92 milioni di dollari. Lo studio analizza i costi di violazione dei dati segnalati da 507 organizzazioni in 16 aree geografiche e 17 settori. Nonostante i provvedimenti del Garante sulle modalità di notifica delle violazioni e le informative esplicative sui diritti e doveri del trattamento dati, le segnalazioni sui Data Breach a livello italiano restano alte. Infatti, dall’ultima relazione annuale del Garante si legge che “Dal 1° marzo al 31 dicembre 2018 sono pervenute all’Autorità 650 notifiche di data breach di cui 630 dal 25 maggio al 31 dicembre 2018, che hanno riguardato, come titolari del trattamento, soggetti pubblici (27% dei casi) e soggetti privati (73% dei casi).

Le violazioni più frequenti

Le tipologie di violazione più frequenti hanno riguardato: attacchi informatici volti all’acquisizione di dati personali (quali, credenziali di accesso, indirizzi e-mail, numeri di telefono o dati relativi a strumenti di pagamento); diffusione di virus di tipo ransomware; smarrimento o furto di dispositivi digitali o documenti cartacei; comunicazione o diffusione accidentale di dati personali”. Sebbene questi dati possano indicare come le aziende abbiano preso sul serio l’obbligo di segnalazione di tutte le violazioni di dati personali, probabilmente dimostra anche come le organizzazioni non abbiano ancora adottato misure sufficientemente idonee alla prevenzione di una esfiltrazione dei dati.

Minacce sofisticate e loro usi impropri

Infine, la minaccia ai dati assume forme sempre più sofisticate. A tal proposito si ricorda l’NSO Group israeliano che, autorizzato dal suo governo ha creato lo spyware Pegasus, capace di qualsiasi attacco ed estrazione di dati sul sistema operativo IOS (oggi patchato dalla Apple per le vulnerabilità che permettevano a Pegasus di operare n.d.r.) e capace quindi di accedere ai dati del cellulare violato e di violare i rispettivi account cloud di Amazon, Apple, Facebook, Microsoft e Google del proprietario del cellulare. Mike Beck, Global Head of Threat Analysis di Darktrace fa notare come strumenti di questo tipo possano causare una violazione della privacy del cittadino, se fossero utilizzati per raccogliere informazioni di intelligence contro singoli o persino contro altri Stati nazionali, all’interno di una dinamica di guerra informatica (anche se invece più comunemente, sono utilizzati dalle agenzie governative per catturare i criminali informatici o per prevenire attacchi terroristici n.d.r.).

Interventi di protezione dei dati

Stefania Prando, Business Development Manager di Kingston Technology Italia fornisce una indicazione per la protezione dei dati: “Quando un’azienda tratta dati sensibili, si consiglia sempre di crittografare i dati. È un suggerimento questo che vale per aziende di tutte le dimensioni, che possono trovare nella crittografia un valido alleato per la conformità al Regolamento Generale sulla Protezione dei Dati, adottando soluzioni sicure ed economicamente efficaci…. La sicurezza informatica è oggi una priorità per tutte le aziende e, in questo contesto, USB e SSD crittografati devono rappresentare una parte cruciale di qualsiasi efficace strategia di protezione dei dati. Il principale vantaggio delle soluzioni crittografate è la loro convenienza, sia dal punto di vista economico che culturale. Non richiedono infatti cambiamenti all’interno dell’organizzazione ne’ particolare formazione per gli utenti ed è sufficiente sostituire tutte le unità USB aziendali con unità crittografate”.

Fabio Pascali, Country Manager Italia di Veritas Technologies ha risposto per noi ad alcune domande in tema di data management & protection:

StartUpItalia – Dopo un anno dal GDPR che cosa ancora manca nella data management strategy da parte delle aziende?

F.P. – Credo che le aziende stiano perdendo un’occasione importante. Noto infatti che molte aziende si sono focalizzate nel realizzare interventi puntuali per coprire alcune richieste derivanti dal GDPR, perdendo di vista l’occasione straordinaria di una gestione olistica del dato. Questo approccio non solo consentirebbe alle aziende di rispondere alla normativa stessa, ma avrebbe un effetto positivo sulla ottimizzazione sia dei costi infrastrutturali che di gestione. Soluzioni che permettono di classificare i dati e di identificare gli accessi, integrate con soluzioni che consentono l’archiviazione di dati obsoleti o eventualmente la loro cancellazione, ridurrebbero quindi lo spazio occupato a vantaggio di una riduzione nella spesa IT e di una riduzione dei rischi.

StartUpItalia – Qual è a suo avviso la strategia migliore fra i numerosi e dettami normativi imposti e quelli suggeriti dal DPO e le capacità effettiva di spesa delle aziende italiane? 

F.P. – Come detto precedentemente se gli investimenti in quest’area non venissero classificati solo come adempimenti necessari alla normativa, ma venissero indirizzati anche per ottenere un beneficio diretto sulla spesa IT, allora le risorse sarebbero superiori. Questo circolo virtuoso produrrebbe una migliore copertura del GDPR, finanziato da una riduzione delle spese di investimenti infrastrutturali e di gestione operativa.

StartUpItalia – La trasformazione digitale che coinvolge il Cloud che accorgimenti dovrebbe prevedere in termini di data protection?

F.P. – Il nodo fondamentale nell’adozione di una strategia Cloud risiede, a mio avviso, nel considerare il Cloud come parte integrante del Datacenter dell’azienda stessa. L’errore comune infatti è quello di pensare di delegare al Cloud Provider le responsabilità sulla protezione e tutela del dato. La Data Protection inclusi gli strumenti e i processi di Backup e Restore, la conoscenza del tipo di Dato, il controllo degli accessi, continuano ad essere responsabilità del CIO e del DPO indipendentemente se l’azienda abbia tutti i dati on premise, o completamente nel cloud o molto più comunemente in un cloud ibrido. Pertanto, il tema si sposta sulla scelta di strumenti supportati e integrati dalla più ampia rosa di Cloud Provider, in modo da rendere più semplice possibile e più dinamica possibile la scelta di spostare un workload nel cloud o di spostarlo successivamente su un altro cloud provider, mantenendo costanti gli standard di protezione del dato.

Veritas suggerisce cinque step da adottare per una solida strategia di data management:

• Mappare i propri dati distinguendo quelli sensibili, come sono memorizzati e vengono utilizzati, chi li possiede, chi vi accede e come devono essere trattati dal punto di vista della compliance.
• Nominare un responsabile dei dati (DPO) per assicurarsi che prenda le decisioni giuste quando si tratta di gestire i dati.
• Ottenere l’ok dal Board in modo che le decisioni relative alla tecnologia e ai dati oltre ad essere discussioni a livello di Board siano garantite da appropriati investimenti ed impegni.
• Educare i dipendenti creando un impatto duraturo, affinché la salute e la protezione dei dati diventi un’abitudine quotidiana per tutti.
• Misurare l’impatto in tempo reale della propria strategia di data management rivalutando frequentemente i vantaggi e l’efficienza in termini di costi della propria strategia e qualora necessario, cambiarla.