L’impegno imposto dal GDPR è stato colto da molte imprese come un’occasione per razionalizzare la gestione e i processi che riguardano i dati con lo scopo di ottenere vantaggi di lungo termine. Da una parte, nelle aziende alle prese con gli adempimenti GDPR, è maturata la consapevolezza che le regole che riguardano privacy e tutela dei dati siano in continua evoluzione per cui risulta più conveniente adottare approcci strategici; dall’altra ci si è resi conto che migliorare il governo sui dati sia fondamentale per la fiducia dei consumatori e per sviluppare nuovo business. In molte aziende, il dover assolvere agli adempimenti GDPR ha reso disponibile budget da impiegare per aggiornare processi vitali, affrontare in modo più serio il rischio, inserire “by design” la tutela dei dati nel disegno dei nuovi servizi, rivedendo responsabilità e organizzazione. In questo scenario i vendor hanno fatto la propria parte offrendo servizi e soluzioni; ecco cosa ci hanno raccontato.
Dello stesso servizio fa parte anche il seguente articolo
- GDPR: la situazione delle imprese italiane. L’opinione di alcuni vendor
La capacità di usare i progetti GDPR in chiave strategica
La visibilità del GDPR ha dato l’opportunità a CIO e application owner di discutere con CEO e CDA di investimenti e cambiamenti importanti nel sourcing IT, spiega Tomasz Slowinski, GDPR Italy manager di IBM: “Nel campo bancario abbiamo ricevuto richieste per cambiare la gestione dei sistemi – spiega il manager –, per stringere partnership che sollevano la banca dai compiti operativi IT, per la creazione di ambienti di cloud ibrido o impiegare servizi Iaas, Paas e Saas”.
Il GDPR non solo ha richiamato l’attenzione degli stakeholder sui temi della sicurezza, ma ha anche reso disponibili degli extra-budget, secondo Pierpaolo Alì, Director South Europe security di Micro Focus: “In qualche caso le risorse aggiuntive sono state investite in progetti che innalzano il livello della sicurezza aziendale al di là dei contesti normativi. La protezione dei dati e le garanzie che l’accesso è fatto solo da parte delle persone che ne hanno diritto, sono diventate un fondamento d’ogni discussione che riguarda la sicurezza del business”.
Le aziende hanno fatto un grande sforzo per mappare dati che erano sparpagliati su basi distribuite, spiega Carlo Mauceli, National Digital Officier di Microsoft. “Assolte le necessità urgenti del GDPR, c’è oggi la possibilità di usare i dati per scopi di business con nuovi strumenti analitici e di BI”. Chi ha utilizzato gli adempimenti GDPR come leva per svecchiare la gestione dei dati può oggi garantirsi più competitività: “Da un lato avendo migliori protezioni, dall’altro sfruttando i dati per fare campagne di marketing, analisi predittive, ecc. Nel mondo dell’industria e dei trasporti, le risorse di data analytics e di intelligenza artificiale supportate dall’elaborazione in cloud offrono l’opportunità di ridurre costi e creare nuovi business”.
Anche Angelo Bosis, Solution Engineering Director Cloud Platform di Oracle ritiene che la paura “ai piani alti” abbia avuto effetti positivi: “Ha mobilitato disponibilità economiche senza precedenti nel campo della security. Le aziende si sono preoccupate di rivedere i processi e la protezione dei dati con assessment di ampio respiro. E questo è capitato anche nelle realtà più mature”. Secondo Bosis, il GDPR ha riaperto i cantieri nell’ambito dell’identity management: “Si è approfittato per rivedere le scelte del passato e adottare tecnologie più moderne e standardizzate. In Italia si è comunque lavorato di più sull’ottimizzazione dei processi che non su progetti strategici di ampio respiro”.
GDPR ha spinto le aziende ad avere più consapevolezza dei loro dati e dell’utilizzo, “con possibili ricadute nel business – spiega Andrea Castellano, Sales Director per la platform e il data management di SAP -. Altri vantaggi sono derivati dagli investimenti su organizzazione, processi e tecnologia”. Per Castellano l’impegno sulla discovery e classificazione dei dati ha fatto emergere informazioni duplicate, consolidabili per ridurre i costi di storage e backup. La rivisitazione dei processi con il coinvolgimento di ufficio legale, procurement, HR e altri è stata occasione per abbattere barriere, aggiornare software, usare il cloud, fare formazione. “Per le PMI ha contato anche la possibilità d’accesso ad agevolazioni fiscali”, conclude Castellano.
L’evoluzione dei supporti di mercato per una “compliance continua”
“I valore dei nostri servizi GDPR è nella visione strategica che contengono – spiega Slowinski di IBM – in affiancamento delle soluzioni per fare data discovery su dati strutturati e non e per migliorare la governance”. IBM ha recentemente attivato un servizio “as a service” (Guardium Analyzer, rilasciato nell’agosto scorso) che esegue scansioni di database e produce report sulla presenza di dati personali. “Il sistema utilizza il machine learning e il motore di Watson – precisa Slowinski -. Il mio team ha sviluppato e tiene aggiornati i pattern più adatti per interpretare le basi dati italiane. Abbiamo chiesto e ottenuto di poter analizzare anche database legacy iSeries e AS/400”. Tra le soluzioni innovative sui fronti della sicurezza e della compliance, Slowinsky cita Qradar, motore cognitivo che aiuta gli analisti della sicurezza nella correlazione di eventi che si verificano su apparati diversi.
“L’esperienza insegna che il lavoro per le compliance normative va periodicamente ricalibrato per evitare perdite di efficacia in seguito ai cambiamenti imposti dalla dinamicità del business aziendale – spiega Alì di Micro Focus -. I nostri Servizi Professionali hanno standardizzato i processi e sono in grado di fornire la consulenza utile in caso di criticità”. Sul fronte delle tecnologie, Micro Focus ha in catalogo molte componenti utili alle compliance: “Come Voltage, la nostra suite di prodotti per la protezione del dato che supporta funzioni di anonimizzazione e pseudonimizzazione (tecnica simile alla prima ma che permette, con ulteriori informazioni, di risalire al soggetto), – continua Alì -. C’è ArcSight (SIEM) per evidenziare i tentativi di sottrazione dei dati, Fortify per la realizzazione di applicazioni intrinsecamente sicure, NetIQ per la validazione delle credenziali nell’accesso ai dati e SCM per creare una mappa di dove risiedono i dati personali in azienda e preparare le policy da applicare con Voltage”.
“L’ecosistema dei partner aiuta a integrare con soluzioni verticali la nostra tecnologia – spiega Mauceli di Microsoft -. Il GDPR investe temi di sicurezza, discovery, catalogazione dei dati e soprattutto di protezione delle identità. Siamo impegnati con soluzioni security-by-design e privacy-by-design in cloud per la protezione del perimetro logico, dell’identità. Per discovery e catalogazione ci basiamo su meccanismi innovativi di categorizzazione e ricerca semantica”. Sul fronte dei processi, Microsoft collabora con partner come KPMG, Cap Gemini, Accenture, “che hanno forte esperienza nei processi come noi nella tecnologia. Non c’è protezione senza la consapevolezza di dover cambiare il modo con cui ci si protegge, il dato è l’ultimo anello di una catena che parte dalla rete fisica e arriva all’identità”, conclude Mauceri.
Oracle dispone di una vasta gamma di soluzioni per la governance dei dati, la sicurezza, oltre alle applicazioni per gestire i diritti degli interessati previsti da GDPR: “Con le soluzioni d’identity management si può stabilire chi fa cosa e quindi con il monitoraggio capire cosa è accaduto, avendo tutte le informazioni necessarie per la denuncia al Garante – spiega Angelo Bosis di Oracle -. Il nostro portafoglio cresce nelle funzionalità e si avvale dell’intelligenza artificiale e dell’automazione per migliorare la reattività agli attacchi. L’AI può applicare patch in automatico, riducendo i tempi di esposizione e l’errore umano”. Secondo Bosis, un forte rischio di perdita dei dati risiede nei repository delle applicazioni e dati non strutturati, “in database che non hanno il livello di maturità e sicurezza del nostro. Per le piccole imprese il nostro invito è guardare al cloud per migliorare la sicurezza e ridurre le responsabilità che restano in carico all’azienda”.
“Ci siamo impegnati a livello sia applicativo sia tecnologico per mettere in portafoglio le soluzioni che indirizzano gli aspetti del GDPR – spiega Andrea Castellano di SAP -, abbiamo rafforzato le capacità di governance su identity management e accesso ai dati”. SAP ha lavorato sui temi dell’encryption e del data masking per proteggere i dati nell’operatività, “per esempio, di realtà che hanno software factory esterne, che possono continuare a usare i dati ma non leggerne il contenuto”. SAP ha curato l’integrazione del proprio Enterprise Threat Detection con le soluzioni di mercato nell’ambito della security, come Qradar e ArcSite. “Per il secondo trimestre del 2019 stiamo approntando soluzioni di data governance, discovery e classificazione dei dati in cloud Saas – precisa Castellano -. Sono pensate per le PMI, facili da attivare e consuntivare. Nel corso del 2019 le arricchiremo con le capacità di machine learning e AI per poter analizzare eventi e reagire in modo rapido”.