Il Regolamento europeo in materia di privacy (Gdpr) diventerà pienamente applicabile da maggio del prossimo anno. Il problema non è però tanto la deadline per mettersi in regola, quanto la consapevolezza di essere soggetti alla nuova normativa. Dal report Risk:Value 2017, commissionato da Ntt Security a Vanson Bourne, emerge uno scenario non proprio confortante su questo fronte: un decision-maker su cinque non ha la minima idea di quali siano le leggi che impattano sulla propria impresa, soprattutto a livello di cybersecurity. Ma non è tutto: solo il 40% dei dirigenti non IT intervistati in 11 Paesi ritiene che la propria organizzazione sarà soggetta al Gdpr.
Si tratta di due dati che segnalano uno spaesamento del mondo business rispetto ai mutamenti normativi recenti, che rischia di esporre le aziende a rischi importanti. Il Gdpr, ad esempio, prevede sanzioni fino a 20 milioni di euro o pari al 4% del fatturato annuo globale per chi non è in regola. Secondo il rapporto Risk:Value il livello di maturità del trattamento dei dati è oggi tutt’altro che elevato. Poco meno della metà dei manager (47%) sostiene di aver archiviato le informazioni in modo sicuro, ma di questi solo il 45% si definisce “completamente consapevole” del modo in cui i nuovi requisiti normativi avranno effetto sull’archiviazione dei dati nella loro organizzazione, con una predominanza dei settori finanza, tecnologie e servizi informatici. Se non bastasse questo scenario, si potrebbe aggiungere che un terzo del campione analizzato da Ntt Security non sa nemmeno dove siano conservati i dati.
Aradori (Ntt Data Italia): “La protezione dei dati non è un inutile costo”
“Il 25 maggio 2018 è una data importante perché l’applicazione del Gdpr interessa tutte le aziende operanti nell’Unione Europea o anche al di fuori purché trattino dati relativi ai cittadini comunitari – ricorda Dolman Aradori, vice president e responsabile Security di Ntt Data Italia -. Purtroppo spesso la conformità è considerata un costoso adempimento che genera un valore minimo o del tutto assente. Tuttavia, il Gdpr rappresenta per le aziende l’occasione per considerare la protezione dei dati come parte integrante della propria strategia di business”.
Dal report Risk:Value emerge poi che il 57% dei decision-maker ritiene che prima o poi una violazione dei dati sarà inevitabile. L’impatto di una violazione sarà duplice: da un lato effetti negativi sulla capacità di business a lungo termine, dall’altro perdite finanziarie nel breve termine. Gli esperti di Ntt Data stima in media per la ripresa da un attacco un costo di 1,35 miliardi, in deciso aumento rispetto ai 907mila del 2015. Non a caso il rapporto segnala l’esigenza di promuovere una cultura della sicurezza e sotto questo punto di vista i segnali sono incoraggianti. Il 56% dei decision-maker aziendali dichiara che la propria organizzazione ha definito un criterio formale per la sicurezza delle informazioni (+52% in un anno), mentre solo l’1% non ha alcun criterio o prevede di implementarne uno.
C’è un ultimo aspetto che merita attenzione: meno della metà (48%) delle organizzazioni ha un piano di risposta agli incidenti, anche se il 31% ne sta implementando uno. Tuttavia, solo il 47% dei decision-maker intervistati sa con precisione che cosa prevede il piano di risposta agli incidenti. Insomma, la strada è ancora lunga. Ma il tempo stringe.