Approcci tattici, strategici o d’attesa: il GDPR è stato per le aziende italiane e per la PA un banco di prova delle capacità di affrontare cambiamenti complessi che riguardano organizzazione, processi oltre alle tecnologie per la sicurezza e la governance dei dati. Lo sanno bene i vendor che nei mesi passati hanno offerto loro competenze, servizi e soluzioni per mettere al sicuro le imprese italiane e che ZeroUno ha deciso di intervistare a tre trimestri di distanza dal fatidico 25 maggio 2018, la data ufficiale di piena attuazione del Regolamento europeo. Un’occasione per avere un feedback su ciò che si è fatto e su ciò che resta da fare, considerando che sicurezza e privacy sono temi importanti e in continua evoluzione sui quali non è possibile ridurre l’attenzione.
Dello stesso servizio fa parte anche il seguente articolo
- GDPR: una chiave strategica per sviluppo del business?
Molto buona la situazione nelle grandi aziende
Abbiamo chiesto ai nostri interlocutori, manager ed esperti coinvolti nei progetti di security e GDPR, qual è stato l’approccio delle aziende italiane e della PA. Ne è emersa una situazione di digital divide tra le grandi realtà e che possono e potranno garantire compliance normative e alti livelli sicurezza e privacy ai loro clienti e altre che non ne sono in grado, in attesa della consapevolezza di dover ricorrere a servizi gestiti e in cloud.
Per Tomasz Slowinski, GDPR Italy manager di IBM, impegnato sul tema della compliance sia all’interno della propria azienda sia con client esterni, lo stato d’avanzamento dei progetti è molto buono nell’ambito bancario, telco e delle grandi aziende quotate: “Non posso dirlo per la parte legale su cui non ho visibilità, ma per quella operativa che riguarda la revisione dei processi e i metodi che si basano su ISO 27000 [security, ndr] e ISO 29000 [privacy, ndr]. GDPR ha sollecitato l’interesse su progetti di lungo termine che riguardano la cybersecurity, la gestione dei dati e dei consensi oltre a investimenti nelle soluzioni di SIEM, crittografia e di anonimizzazione dei dati”.
Sul fronte della PA, ambito in cui IBM ha grande visibilità per aver vinto in consorzio con Leonardo e Fastweb gare dell’SPC Cloud per le forniture di progetti e servizi nell’ambito della security, la situazione è diversa: “C’è tantissimo lavoro da fare dopo gli assessment dello scorso anno per l’identificazione dei data breach”. E per quanto riguarda le PMI, secondo Slowinski avrebbero fatto solo il minimo indispensabile, migliorando la gestione dei consensi sui servizi Web e aggiungendo qualche informativa legale: “C’è ancora molto da fare per migliorare la security nelle PMI italiane: servizi gestiti e di cloud sarebbero d’aiuto”.
L’Italia in linea con le altre nazioni del Sud Europa
Le aziende italiane avrebbero dilatato i tempi d’adeguamento secondo Pierpaolo Alì, Director South Europe security di Micro Focus: “Dapprima aspettando l’emanazione delle linee guida del Garante, poi coinvolgendo consulenti legali interni ed esterni, quindi facendo gli assessment di base per iniziare. Come Micro Focus Security abbiamo riscontrato questo atteggiamento nei primi 18 dei 24 mesi disponibili per l’adeguamento al Regolamento, assieme a un risveglio moderato dell’attenzione sui temi tecnologici. Hanno fatto eccezione le aziende del settore telco, già soggette a normative più stringenti per la protezione dei dati e le notifiche nei casi di data breach”. Una situazione comune a quella di altre nazioni del Sud Europa, “con l’eccezione della Turchia, che ha normative interne molto stringenti, e dei Paesi anglosassoni. E per quanto riguarda le aziende statunitensi, abbiamo visto partire progetti di adeguamento GDPR in già nel 2016”.
Carlo Mauceli, National Digital Officier di Microsoft, cita sul tema GDPR i dati degli Osservatori Digital Innovation del Politecnico di Milano: “C’è un 20-25% di aziende che è conforme o molto vicino alla compliance, società che per settore d’attività sono abituate a rispettare regole stringenti; 60% di aziende che ha in corso processi di adeguamento e un 10% che non sa ancora bene che fare. Sulla PA non ho dati precisi, ma è un settore che fa molta fatica ad affrontare gli investimenti necessari, anche se le cose potrebbero cambiare con scelte radicali come l’adozione del cloud. I problemi sulla localizzazione dei dati sono nulla rispetto all’esposizione dei dati ad attacchi informatici in ambiti come la Sanità”. Secondo Mauceli, resta difficile far capire alle aziende la necessità di affrontare i temi della sicurezza e della protezione dei dati con metodi e processi nuovi rispetto a quelli del passato: “Il cloud consente di fare intelligence secondo criteri moderni usando tecniche di intelligenza artificiale, machine learning e telemetria, molto superiori rispetto al riconoscimento di firme e ai criteri di protezione e detection statica oggi in uso”.
Un impegno continuo non facilmente sostenibile per tutti
In tema di GDPR, Angelo Bosis, Solution Engineering Director Cloud Platform di Oracle, ci parla di un livello di consapevolezza elevato, contrapposto a scarsa preparazione e maturità di molte aziende nel campo della security: “Il rispetto dell’Art. 32 del Regolamento europeo [che impone di tener conto dello stato dell’arte tecnologico nei trattamenti, ndr] richiede ampie disponibilità economiche e un impegno continuo che non tutti possono affrontare”, commenta il manager. Come risultato, chi ha meno capacità resta indietro: “Situazione che vediamo nelle PMI e nella PA locale. Molte realtà sono ancora in attesa degli aggiornamenti dei pacchetti software e confidano di far fronte in modo manuale a eventuali emergenze e richieste da parte dei titolari dei diritti”.
Parla infine di adeguamenti a macchia di leopardo Andrea Castellano, Sales Director per la platform e il data management di SAP: “Ho visto grandi imprese, in particolare banche, società assicurative e telco lavorare nello scorso anno sia sul tema organizzativo sia tecnologico per rispettare la scadenza dello scorso maggio – spiega il manager –. Molte avevano già delle soluzioni e hanno fatto progetti mirati per chiudere i gap evidenziati dalle analisi”. Diverso il discorso nelle PMI: “L’approccio è stato tattico, si è iniziato a fare l’analisi del rischio e sono ancora in corso le implementazioni di natura tecnologica – continua Castellano -. Riteniamo ci sia molto da fare sia dal punto di vista organizzativo sia da quello tecnologico su base continuativa man mano che le regole verranno adeguate”.