Esiste una spinta normativa concreta verso l'esternalizzazione dei servizi di sicurezza, dettata proprio dall'entrata in vigore del GDPR. Sono in molti a pensare che il principale cambiamento introdotto dal General Protection Data Regulation sia legato al concetto di "accountability" (responsabilizzazione), che obbliga le aziende a rivedere completamente i modelli di gestione e protezione dei dati in essere. Il Regolamento lascia al Titolare del trattamento una certa discrezionalità su come garantirsi l'adeguamento normativo. Al tempo stesso, però, lo obbliga a dimostrare la fondatezza e la validità dell'approccio adottato. A questi obblighi corrispondono nuovi oneri di formalizzazione e produzione di documenti, che si riflettono in un aggravio del lavoro a carico di chi, all'interno dell'organizzazione, si occupa di sicurezza. È innegabile che il ricorso ai servizi erogati dai cloud provider permette anche alle aziende più piccole di avere accesso a tecnologie e sistemi di protezione anche molto avanzati a costi assolutamente accessibili. Facilita, inoltre, la stesura e l'aggiornamento dei documenti obbligatori per garantire la accountability, tracciando tutte le attività che hanno un impatto diretto o indiretto sul trattamento dei dati personali.

L'importanza dell'articolo 33 del GDPR

Quasi tutte le organizzazioni hanno già investito in passato nelle attività e nelle tecnologie di prevenzione dei data breach. Il GDPR, però, rimette in discussione completamente le best practice adottate nel corso degli anni. L'obbligo di notifica alle autorità entro il termine perentorio delle 72 ore impone a tutte le realtà che operano il trattamento dei dati personali di sottoporre a revisione tecnologie, processi e persone.

L'articolo 33 del GDPR richiede, infatti, di:
 

  • Descrivere la natura del data breach, le categorie e il numero approssimativo di data subject, le categorie e il numero approssimativo di dati personali coinvolti.
  • Comunicare immediatamente il nome e i dettagli di contatto del Data Protection Officer o degli altri soggetti in grado di fornire maggiori informazioni sull'accaduto.
  • Descrivere le probabili conseguenze del data breach (o quelle che presumibilmente verranno prese) dal Data Controller per rimediare al data breach che riguardi i dati personali, oltre a indicare le attività di remediation prese per mitigarne i possibili effetti negativi.
  • Descrivere le misure prese


Tutto questo presuppone la capacità dell'organizzazione di adempiere a una serie di obblighi formali, di tenere e aggiornare con sistematicità una documentazione anche piuttosto complessa. Cosa non facile per chi non si occupa in modo professionale di queste cose.

Nella ricerca "2017 cost of data breach" realizzata da Ponemon Institute è stimato come, in media, un'organizzazione lo scorso anno abbia impiegato 206 giorni (in crescita rispetto ai 201 del 2016) per scoprire un data breach. La buona notizia è, però, che il numero medio di giorni necessari per contenere (e rimediare) i data breach sia sceso da 70 a 55 giorni? ma si parla comunque di quasi due mesi, nulla a che vedere con le 72 ore previste dal GDPR.
 

Come è possibile, quindi, rispettare i termini perentori imposti dal Regolamento?

Una possibilità concreta è quella di rivolgersi a un cloud provider che offra i servizi essenziali per implementare in modo rapido (e indolore) gli interventi minimi utili per garantirsi la compliance normativa al Regolamento Generale sulla Data Protection e, perché no, aiuti anche l'azienda a prevenire, gestire e risolvere l'eventuale compromissione o perdita dei dati personali. Dalla consulenza all'aggiornamento tecnologico, per arrivare fino all'intelligence sulle nuove minacce, l'aiuto dei Managed Security Service Provider (MSSP) si rivela fondamentale per permettere alle organizzazioni di garantirsi la compliance al GDPR.

 

Assessment e gap analysis

Questi servizi hanno lo scopo di fornire un'analisi completa e dettagliata del livello di rischio cui va soggetta l'organizzazione (as is), identificando le lacune esistenti (gap) rispetto a quanto richiesto dalla normativa (to be) e suggerendo gli interventi necessari per la messa a norma. La gap analysis è, infatti, un requisito fondamentale in ottica di GDPR compliance. Fondamentale è la sua esaustività. L'output di questa attività sarà una descrizione puntuale degli interventi utili per colmare la distanza tra il livello di compliance attuale e quella desiderata. Interventi orientati all'aggiornamento delle tecnologie di protezione in essere, certo, ma anche indicazioni sulla riorganizzazione dei processi interni necessaria per assicurare la conformità al GDPR.

 

Protezione tecnologica

Questi servizi forniscono una difesa della rete aziendale dagli attacchi informatici anche particolarmente complessi e avanzati. Tutte le attività di gestione dell'infrastruttura di sicurezza potranno essere affidate a un Managed Security Service Provider. Così facendo l'azienda avrà la possibilità di accedere a tecnologie e servizi di protezione all'avanguardia e sempre aggiornati, garantendo la miglior tutela possibile al proprio patrimonio di dati e assicurandosi la compliance al GDPR.

Riorganizzazione dei processi

Come abbiamo visto, il GDPR pone un'attenzione particolare al principio dell'accountability, per cui il Titolare del trattamento deve definire i processi utili a garantire la protezione dei dati personali e deve dimostrare di aver attuato tutte le procedure necessarie a garantire la conformità al Regolamento. La tracciabilità di tutti i processi che hanno ricadute sul trattamento di dati personali aumenta in modo considerevole il carico di lavoro per l'impresa, che però potrà rivolgersi ai servizi offerti da un provider esterno per automatizzare e riorganizzare i processi utili per:
 

  • Compiere l'analisi dei rischi (valutando il rischio associato a ciascuna tipologia di dato, trattamento e tecnologia usata per processare il dato)

  • Mappare i trattamenti personali

  • Gestire i documenti utili a garantire la compliance al GDPR (informative, richieste di consenso, nomina e revoca dei soggetti responsabili, dati di contatto, registri di tutte le attività di trattamento, analisi dei rischi?)

  • Stabilire ruoli, incarichi e criteri di revoca per i processi di nomina delle figure chiave previste dal GDPR, come il Responsabile del trattamento e il Data Protection Officer

  • Adottare protocolli validi per scongiurare il pericolo di un data breach

  • Gestire nei termini previsti (con l'obbligo di comunicarlo alle autorità di controllo entro le 72 ore dalla rilevazione) il data breach
     

Mantenimento nel tempo della compliance normativa

Una volta realizzato l'adeguamento ai dettami del GDPR, sarà possibile rivolgersi a un partner che assicuri servizi professionali e consulenza, ma anche attività operative (come test periodici e produzione della documentazione) utili per mantenere nel tempo la compliance normativa al Regolamento europeo sulla data protection. Diversi sono i servizi accessibili anche per le aziende di dimensioni più piccole:

· Audit sui processi: il GDPR richiede un audit di tutti gli accessi ai dati protetti (personali). Occorre tracciare ogni accesso a sistemi e applicazioni che processano il dato. Occorre, poi, tenere traccia di qualsiasi modifica intercorsa sull'identità autorizzata degli utenti e sui canali di accesso utilizzati.

· Formazione continua sulla materia della data protection e sulla conformità al GDPR, per manager e personale tutto.

· Test periodici: la compliance al GDPR non è una costante, varia in relazione alle attività e al business dell'azienda, ma è legata anche alla progressiva evoluzione delle tecnologie digitali da un lato, e delle attività dei cybercriminali dall'altro. Fondamentale, quindi, prevedere revisioni periodiche dell'impianto di compliance al GDPR, attraverso test compiuti con sistematicità.

· Aggiornamento delle tecnologie: l'obsolescenza tecnologica è strettamente legata all'aumento delle minacce cyber. La possibilità di rivolgersi a un provider di servizi specializzato assicura all'azienda l'accesso a tecnologie sempre aggiornate e all'avanguardia, disponibili a costi accessibili.