Mai come adesso, nessuna azienda può fare a meno di una valida infrastruttura informativa, per poter svolgere efficacemente la propria attività; così come nessuna organizzazione può prescindere dal trattare dati personali con strumenti elettronici.
Se nel passato i server aziendali erano spesso scollegati da Internet, adesso questo è semplicemente impensabile; sempre in misura maggiore le aziende scelgono di de-materializzare la loro infrastruttura IT, trasferendo nel cloud anche i servizi informativi core, in ottica di ridurre le complessità e le problematiche correlate, e contestualmente pensando di aumentare la sicurezza.
Raggiungere un livello di sicurezza adeguato al rischio riveste un aspetto essenziale; non solo per complessa normativa dataprotection, ma per uno scenario cyber estremamente mutevole; ogni anno la situazione peggiora, e gli ultimi effetti collaterali della guerra Russia – Ucraina comportano una serie di rischi significativi, anche verso soggetti non istituzionali che sinora si erano ritenuti fuori dai radar dei cyber-criminali.
Oggi, si calcola come l’italia sia divenuta bersaglio di quasi il 10% degli attacchi cyber mondiali; gli effetti si vedono, in quanto ogni giorno almeno una organizzazione italiana cade vittima di un ransomware.
In un contesto così complesso ed estremamente mutevole, le aziende necessitano di competenze specialistiche, non solo per raggiungere la compliance alla normativa, ma per proteggere la loro continuità operativa. Un data-breach può avere effetti imprevedibili, spesso oltre la mera sanzione ricevibile. Negli anni abbiamo purtroppo visto aziende devastate, che non hanno potuto riprendersi dal data breach.
Competenze specialistiche e risorse umane che spesso le organizzazioni debbono trovare al loro esterno; sappiamo bene che la ricerca delle competenze multidisciplinari oggi necessarie in questi ambiti è complessa, atteso che difficilmente un solo professionista può assommare tutta le competenze e le esperienze necessarie.
Ruoli come quello di Responsabile della Protezione dei Dati Personali necessitano di competenze in ambiti giuridico, legislativo, organizzativo, procedurale, non dimenticando che occorrono solide skills di information tecnology e security management.
Spesso troviamo DPO che hanno solide competenze giuridiche, ma che non hanno le necessarie basi di conoscenza sulle tecnologie informatiche e sulle misure tecniche; lo recepiamo dai questionari inviati “facenti funzioni di audit”, nei quali si confonde crittografia simmetrica e asimmetrica, disaster recovery con business continuity, Vulnerability Assessment con Penetration Test.
Dall’altro lato, troviamo Software House o laureati in informatica che hanno prevalentemente competenze IT ma mancano delle conoscenze giuridiche, legislative o organizzative, o incorrono in palesi conflitti di interesse; quasi sempre, una figura tecnica ritiene che la soluzione al problema sia essenzialmente di tipo tecnico, non realizzando che la maggioranza dei data breach non attiene a problematiche meramente strumentali, ma al fattore umano, spesso per mancanza di consapevolezza dei soggetti o scarsa preparazione.
Consapevolezza che – sappiamo bene dai nostri trent’anni di esperienza – è tra le principali misure di dataprotection, da raggiungere con un serio programma di formazione; per questo, sin dal 1995, ci occupiamo di tutti i corsi di formazione in materia, proprio per contribuire a generare la consapevolezza necessaria di tutti i soggetti in organigramma aziendale, e definire un glossario comune con il quale interloquire efficacemente.
Preparazione, quindi, ma anche valutazione dei rischi e condivisione degli obbiettivi; sappiamo bene che “la privacy non si impone dall’esterno”, cosi come l’adozione di misure di protezione – senza che se ne conoscano gli scopi e/o le necessità – è avversata da tutti coloro che le dovranno applicare. Lo scopo del team di consulenza privacy, ma – a nostro avviso – anche del Data Protection Officer, è quello di accompagnare la generazione equilibrata e matura di una reale cultura della dataprotection nelle nostre organizzazioni europee.
È certamente quello che si aspetta il nostro legislatore europeo, affinché si possa sviluppare la nostra futura economia europea, basata oramai prevalentemente sui dati e sui relativi servizi digitali, in un ambito di fiducia dei cittadini e garanzia di tutela dei loro dati personali.