La compliance è da sempre una leva di sviluppo fondamentale perché indica un percorso obbligato. L’entrata in vigore della Gdpr con la sua attuazione (che averrà nel maggio del 2018) ha un impatto duplice: da un lato spingere gli investimenti nelle imprese per creare gli organismi e i processi aziendali atti a sostenerla, dall’altro nuovi investimenti strumentali in sicurezza informatica. Con la Gdpr le aziende sono chiamate a introdurre la figura del Data Protection Officier (Dpo), in alcuni casi con forza di legge. In particolare il Dpo è obbligatorio per organismi o autorità pubbliche, in imprese private in cui i dati personali sono “dati caldi”, cioè elaborati su larga scala e in modo sistematico e, infine, quando i dati personali trattati appartengono a specifiche categorie (per esempio dati connessi al casellario giudiziale). Per quanto riguarda le imprese, la categoria dei retailer può ricadere nella fattispecie dei soggetti che elaborano sistematicamente dati personali in modo massivo. Il Dpo interagisce con un mercato, quello dell’information security, che nel 2016 ha raggiunto in Italia un giro di affari di 972 milioni di euro con una crescita del 5% rispetto al 2015. Occorre sottolineare come il tasso di crescita registrato sia in realtà timidamente spinto (finora) dalla Gdpr, in quanto la conoscenza della sua incombenza è di una frazione limitata di imprese. Una ricerca del Politecnico di Milano che ha coinvolto 123 aziende, ha evidenziato come solo il 23% di esse abbia contezza della Gdpr, altre sanno di cosa si tratta ma non hanno un’idea precisa circa le ripercussioni che comporterà. Ma quali sono gli impatti della Gdpr nelle aziende? Un efficace schema è messo punto nell’Osservatorio sul CyberCrime che definisce una griglia con 4 ambiti di sviluppo. Il primo è la notorietà della Gdpr, l’awareness in azienda, punto di partenza per scatenare tutte le mosse successive. Quindi la definizione di un budget dedicato; a seguire i cambiamenti organizzativi in atto e infine le azioni implementate. Entrando nel merito, l’obbligatorietà di comunicare alle autorità competenti la violazione delle base dati possedute, ha come conseguenza diretta, il fatto che... occorre avere la consapevolezza. E non è una questione banale. Spesso le organizzazioni scoprono una violazione dei dati mesi o anni dopo. Un caso emblematico è quello di Yahoo che solo nel 2016 ha dichiarato violazioni su milioni di account avvenute nel 2013. Un annuncio che ha avuto ripercussioni pesanti sul titolo in borsa che però ha goduto della “flessibilità” di essere rivelato in temi diversi da quelli cogenti del fatto. La violazione assume quindi la connotazione di attacco non solo al valore dei dati sottratti ma anche all’equity dell’impresa. Per questi motivi i fronti caldi sono diventati diversi. In primis il mondo mobile: posto che ormai la quasi totalità delle imprese dota alcuni collaboratori di dispositivi mobili, si pone il problema di accesso ai dati aziendali che, anche se non in forma palese, è sempre presente a partire dalla email. La vulnerabilità di questi punti di accesso è stata spesso affrontata con investimenti in soluzioni Mdm (mobile device management). In tema di cloud security la situazione esprime le maggiori criticità lungo la linea di confine tra il mondo enterprise e quello privato. Il mercato del public cloud è in continua crescita per i suoi vantaggi innegabili. Le aziende acquistano i servizi in cloud senza sostenere alcun investimento progettuale o implementativo e possono accedere a nuovi servizi con un time to market irrisorio. Tuttavia le imprese esprimono preoccupazione rispetto ai servizi di public cloud, non solo per questioni tecnologiche, ma anche contrattuali da cui dipendono obblighi e doveri del provider. Le zone grigie sono le più pericolose, così comel’utilizzo del cloud per soggetti privati, ma usati anche per dati aziendale.
Information security, Gdpr e retail
Le grandi imprese del retail devono investire in sicurezza It. Una sfida anche culturale su cui si gioca la competitività (da Mark Up n. 257)