A 6 mesi dall’entrata in vigore del GDPR, sono ancora molte le aziende che non hanno effettuato interventi per adeguarsi alla normativa. Alla base di questo poco interesse, c’è sicuramente stata la grande confusione data dalla mancanza di informazioni corrette, unite ad aziende che si sono improvvisate esperte del settore, chiedendo cifre esorbitanti per consulenze e software che promettevano di risolvere le problematiche in pochi click.
Per chi ancora non lo sapesse, il General Data Protection Regulation è il nuovo regolamento europeo, entrato in vigore ad Aprile del 2016, che obbliga le aziende che trattano dati personali ad adottare nuove misure di protezione al fine di garantire sicurezza agli utenti finali. Non si parla solo di informatica ma di tutti i processi che hanno a che fare con il dato personale, quindi anche carta stampata, GPS, badge e simili. Grazie al fatto che le aziende colpite hanno 72 ore per notificare l’accaduto, negli ultimi 12 mesi, sono esplosi i casi di Data Breach:
- Uber (50 milioni clienti + 7 milioni driver)
- Wind (5 mila clienti)
- Coca-Cola (5 mila dipendenti)
- AirCanada (20 mila clienti)
- British Airways (380 mila clienti)
- Veeam Software (4.5 milioni di clienti)
- Facebook (29 milioni di clienti)
- Cathay Pacific Airlines (9.4 milioni di clienti)
- British Airways
- SIAE
Cosa Prevede il GDPR?
- Si applica nel trattamento dei dati di utenti privati
- Riguarda tutte le aziende e liberi professionisti
- Aumenta i diritti degli interessati (utenti) tra cui la possibilità di modificare i dati e di chiedere il diritto all’oblio
- Sparisce la distinzione tra amministratori e non
- Sparisce il concetto di «misure minime»
- Obbligo di formazione interna
- Obbligo di notifica in caso di Breach Detection entro 72 ore
- Viene introdotta la figura del Data Protection Officier
Cosa Bisogna Fare?
Essendo sparito il concetto di “misure minime”, tutte le aziende devono sempre fare il massimo per mettere in sicurezza il dato, compatibilmente con il loro business e con la tipologia di dati trattati. Le regole base da cui partire, sono le seguenti:
- Implementare una strategia di backup adeguata
- Implementare una piattaforma di audit
- Implementare una piattaforma di monitoraggio e notifica attacchi
- Tenere aggiornati server, client ed applicativi
- Proteggere l’infrastruttura con firewall e networking adeguati
- Proteggere server e client con sistemi antivirus
- Proteggere i client e device mobili con sistemi di cifratura ed MDM
- Consentire l’accesso alle informazioni solo ai diretti interessati
- Poter generare report sugli accessi in tempi rapidi
Problema o Opportunità?
Proprio questo teorico stravolgimento può essere la chiave per migliorare la sicurezza della propria infrastruttura IT, e non solo, implementando soluzioni evolute che permettono non solo di essere sicuri. La voglia, però, deve partire dall’alto e capire che un sistema di collaborazione non solo rende i dati più protetti, ma consente agli utenti di lavorare in team, aumentando la produttività. Poter impedire agli utenti di non accedere alla posta aziendale con il proprio telefono che non ha il PIN, non è una scocciatura ma un modo per mettere a riparo il proprio business.
Quanto mi Costa?
Non esiste una risposta assoluta, ma è certo che mettersi in regola ha un costo inferiore di quello che si pensa e soprattutto è un niente in confronto ad una perdita del dato, che potrebbe portarci ad una causa penale, ad una sanzione ed un danno di immagine non da poco.
Le Sanzioni
Ovviamente la gravita del fatto, la tipologia dei dati e la mancanza delle misure andrà ad impattare sulla grandezza della sanzione, comunque il rischio è di vedersi arrivare una multa fino a 20 milioni di euro o il 4% del fatturato globale annuo. Per quanto riguarda i liberi professionisti, la multa va in base al volume d’affari e dai beni posseduti.
Le Soluzioni Offerte da Inside Technologies
Inside Technologies è molto attenta al tema della sicurezza e per questo è in grado affiancare le aziende, offrendo diverse soluzioni che vanno dall’utilizzo di Microsoft Azure, Microsoft Intune ed Office 365, passando a Netwrix e Veeam per garantire protezione ed auditing. I nostri esperti faranno un’analisi presso la vostra struttura per capire quali dati trattate e quali sono le strategie da adottare per mettere in sicurezza la vostra infrastruttura informatica, dandovi anche un parere legale (fondamentale in chiave GDPR).
Il consiglio è di non sottovalutare quello che prevede la normativa, perchè non è escluso che in futuro la legge venga ampliata anche per il trattamento dei dati B2B. E se le sanzioni non vi spaventano, provate a pensare al danno di immagine che può portare la perdita di informazioni. I vostri clienti si fiderebbero ancora di voi? Vi affiderebbero ancora i loro dati?
Get Started Today!
Interessati a far evolvere la vostra infrastruttura IT? Contattaci oggi all’indirizzo mail marketing@insidetechnologies.eu
