GDPR, cosa ho imparato

Per chi si occupa di sicurezza e cybersecurity l'entrata in vigore del GDPR è stata una grande opportunità per introdurre migliorìe nei processi aziendali, aumentare la percezione interna ed esterna della sicurezza per l’organizzazione e per crescere professionalmente. Ma farlo in un'azienda tecnologica è una situazione ancora più fortunata perché questo progetto ha richiesto di intervenire sui processi e sull'organizzazione, invece di focalizzarsi solo sugli aspetti tecnologici.

Le multe e penalizzazioni previste dalla norma sono un ottimo incentivo per “alzare l’attenzione” dell’organizzazione, ma non si è rivelato il fattore più importante per ottenerne il coinvolgimento . Peraltro "fare il minimo necessario" per ottenere la compliance è, per come è stata scritto il Regolamento, molto difficile, e mai come in questo caso, poco lungimirante. Molte critiche si sono levate per i costi che il GDPR comporta, ma analogamente al processo di certificazione di qualità con i quali molti di noi si sono fatti le ossa nel passato, i costi sono più che compensati dall'aumento di efficienza, e dalla chiarezza e dalla notevole mole di informazioni che questo progetto ha portato e sta ancora portando.

Alcuni "fattori critici di successo" del progetto previsti dalla letteratura sono emersi anche dalla esperienza sul campo, in particolare quelli che personalmente ho trovato più significativi sono:

• il coinvolgimento e l'allineamento di tutti i responsabili di funzione. Non è stato possibile "compartimentalizzare" l'iniziativa, delegando o esternalizzando le risorse ma è stato necessario il coinvolgimento attivo anche di dipartimenti apparentemente marginali: tutti i processi usano grandi quantità di dati e occorre ottenere la completezza: è necessario "scavare" in tutti meandri dell’organizzazione per ottenere una lista dei trattamenti corretta ed esaustiva;
• la necessità di una regia centrale: le attività sono molte, è necessario identificarle, assegnarle, monitorarle, assisterle. Un buon lavoro di Project Management Office è fondamentale per non perdere il controllo dei numerosi sotto-progetti, o per evitare inutili sovrapposizioni: è naturale che le cose si complicano, è l’istinto di ogni organizzazione e il destino di ogni progetto, ergo è stato necessario semplificare suddividendo le attività in tanti piccoli sottoprogetti, da coordinare e monitorare, con risorse adeguate;

I tradizionali metodi di PMO (questionari, checklist e interviste) si sono rivelati strumenti potenti per definire non solo le metodologie più appropriate alla maturità del processo in questione, ma soprattutto rivedere i requisiti: è sorprendente quanto si scopre strada facendo di non sapere: questa nuova consapevolezza permette di prendere le decisioni giuste, piuttosto che farsi rincorrere dalle emergenze; Rivedere i requisiti senza aumentare la complessità, questo è diventato l’esercizio più impegnativo;

Un ruolo fondamentale è svolto dal dipartimento legale: le competenze giuridiche sono necessarie e decisioni debbono essere continuamente prese sulla base di informazioni legali corrette e non presunte, e disponibili velocemente;

L'aspetto più soddisfacente del GDPR, almeno per chi si occupa di sicurezza, è il fatto che ha "promosso" requisiti, e diffuso benefici utili a molti altri processi aziendali. La maggior parte delle attività richieste dal GDPR o erano già state soddisfatte, o erano richieste già emerse, ma non adeguatamente promosse. Per esempio l’utilità di disporre di una Enterprise Architecture o perlomeno di un Configuration Management Data Base. Veramente poco deve essere fatto "esclusivamente per il GDPR", ma se questo è il caso, il problema sta altrove. Le misure a protezione dei dati dei clienti convergono con quelle a protezione del business, loro e nostro. Con o senza il GDPR.