L'opera di comunicazione sul Gdpr sta iniziando a dare buoni frutti. Il nuovo regolamento europeo sulla protezione dei dati personali ha creato dubbi e preoccupazioni nelle aziende chiamate ad adeguarsi e a poter dimostrare di essere in regola. Non tutte si sono mosse per tempo o con la medesima chiarezza di intenti ma gli effetti del Gdpr si sono visti, in positivo, sulle attività dei system integrator. La principale difficoltà per le aziende: mettere a punto azioni concrete, adatte alle proprie specifiche esigenze. Ne parliamo con Enrico Bassi, BU manager della divisione security di Project Informatica.

 

Facciamo un primo bilancio sul Gdpr: che impatto ha avuto, finora, sui vostri clienti?

 

Sulla base della nostra esperienza possiamo affermare che gli effetti del Gdpr si sono fatti sentire anche prima del 25 maggio 2018. La sensibilità e la reattività delle aziende sul tema non è stata, però, omogenea. Alcune, in particolare le più strutturate, si sono mosse con anticipo, agendo sotto l’aspetto del recepimento della normativa, dell’analisi e dell’adeguamento dei processi e della valutazione ed adozione di soluzioni tecnologiche adeguate. Altre sono state raggiunte dal messaggio mediatico, ma hanno impiegato del tempo a capirne la portata e a mettere in campo una strategia. Tutto sommato, però, hanno iniziato il percorso. Altre ancora hanno realizzato l’esistenza del GDPR solo sotto scadenza e ora sono nella condizione di dover rincorrere.

 

Avete osservato ricadute positive sul business?

 

Come Project abbiamo organizzato degli eventi mirati con l’intento di informare e affiancare i clienti nella fase di adeguamento. Eventi che indubbiamente hanno sortito l’effetto di sensibilizzare le aziende e accelerarne l’azione. Il nostro approccio da un lato ha visto la collaborazione con un’azienda di consulenza per aiutare il cliente ad affrontare gli aspetti legali, organizzativi e procedurali dettati dalla nuova normativa; dall’altro, ha portato la nostra competenza nel disegnare e implementare le soluzioni tecnologiche volte ad attuare le necessarie politiche di sicurezza, protezione dei dati e privacy. Di conseguenza il Gdpr ha accresciuto l’attenzione delle aziende nei confronti dei temi legati alla sicurezza in senso lato e alla compliance, aumentandone così la propensione alla spesa. È innegabile che il Gdpr abbia contribuito a incrementare le opportunità di business in questi ambiti, tendenza che proseguirà nel tempo, rendendo sempre più la security e la compliance un elemento centrale per le aziende.

 

Quali aziende si sono mosse meglio e prima sul fronte della sicurezza dei dati?

 

Come accennato, la nostra esperienza ci porta a dire che le aziende che hanno reagito con maggiore tempestività sono quelle più strutturate e con dimensioni più consistenti. Potrei affermare inoltre che le imprese con un business di respiro internazionale e con sedi dislocate fuori dall’Italia hanno mostrato una sensibilità più precoce. In realtà la nostra percezione è che il settore di mercato non abbia in genere costituito un fattore discriminante, anche se è innegabile che le aziende del settore finanziario e del terziario avanzato abbiano mostrato da subito maggiore sensibilità e coinvolgimento.

 

Quali sono i problemi più rilevanti incontrati dai clienti nell’approcciare la conformità al Gdpr?

 

La difficoltà maggiore è stata quella di tradurre la normativa in un’azione concreta di adeguamento. La necessità di avviare un processo di autovalutazione per poter ottemperare alla richiesta di un approccio “risk-based” ha portato le aziende a dover analizzare se stesse in maniera oggettiva, evidenziando spesso situazioni più complesse del previsto fino a rendere necessarie modifiche organizzative e di processo al fine di attuare una strategia di adeguamento. I temi sono molti: la necessità di creare un sistema di gestione; quella di comprendere, documentare ed eventualmente modificare dei processi; quella di rivedere alla luce della normativa i rapporti (e i contratti) con clienti e fornitori; la necessità di formare le persone. Tutto questo rende il percorso di adeguamento tutt’altro che semplice.

 

Inoltre, alla luce di un regolamento che non fornisce uno schema predefinito di riferimento bensì delle linee guida, l’attuazione è resa complessa non solo dalla difficoltà di identificare un percorso adatto alla specificità di ciascuna azienda, ma anche dalla mancanza di sensibilità legata al fattore umano, alla mentalità e alle competenze dei singoli individui. È difficile, ma non impossibile, fare in modo che il concetto di “privacy by design e by default” sia insito non solo nei processi e nei progetti, ma anche nel comportamento delle persone.Non da ultimo, dobbiamo tener conto dell’aspetto economico. Considerando le tempistiche di adozione, ci siamo resi conto che in diverse situazioni i clienti non avevano preventivamente allocato un budget adeguato per questa iniziativa e sono dovuti intervenire in prossimità della scadenza sconvolgendo talvolta la pianificazione delle iniziative in corso e trovandosi di fronte a problemi di budget anche importanti.

 

Enrico Bassi, BU Manager Divisione Security di Project Informatica

 

Quali sono le soluzioni tecnologiche più richieste per proteggere meglio i dati aziendali e quindi la privacy?

 

Fermo restando che i layer più tradizionali di sicurezza restano attuali, direi che l’attenzione si è focalizzata principalmente su tre aspetti: il dato, la visibilità e le attività di security assessment. Per quanto riguarda il dato, molta attenzione è rivolta verso soluzioni di Data Governance, quindi individuazione del dato personale o comunque di interesse nel contesto di dati strutturati e non, valutazione dell’esposizione dello stesso, strumenti di remediation, identificazione di attività anomale e così via. C'è grande attenzione anche per soluzioni di data loss prevention. Elemento centrale è l’esigenza di avere visibilità sugli eventi legati alla security, molto interesse quindi verso strumenti in grado di rilevare anomalie, spesso basati su tecnologie di machine learning, e verso le tecnologie di deception (a loro volta in grado di accrescere la capacità di identificare potenziali minacce). Nell’ottica della autovalutazione grande interesse e attenzione è rivolta verso le soluzioni e i servizi di vunerability assessment in abbinamento ad attività di ethical hacking.

 

Che sviluppo vede, per i prossimi mesi, nel segmento delle soluzioni e dei servizi relativi alla sicurezza?

 

L’idea che ci siamo fatti è che la necessità di adeguarsi al Gdpr abbia di fatto obbligato le aziende a intervenire anche in modo sostanziale sia su aspetti organizzativi, sia di processo. Le tecnologie introdotte a tal fine sono di fatto delle soluzioni che devono essere costantemente manutenute e aggiornate per rispondere alle mutevoli esigenze di business e all’evoluzione delle potenziali “minacce”. Dal punto di vista degli investimenti e della centralità della tematica, non si può trattare di un trend “meteora”, bensì ipotizziamo che gli investimenti in tale ambito necessariamente continueranno e si svilupperanno.

 

La futura condizione di “normalità” a nostro avviso si assesterà su un livello culturale e di consapevolezza più alto rispetto all'epoca precedente al Gdpr, favorendo quindi la crescita del settore sicurezza. La complessità della tecnologia, la necessità di competenze specifiche e la necessità di avere la sicurezza sotto costante controllo favoriranno anche la crescita dei servizi nel settore.

 

Maggiori informazioni sulle soluzioni di Project Informatica disponibili in questa pagina.