Preparazione alla GDPR: un anno sarà sufficiente senza gli strumenti adeguati?
La scadenza di maggio 2018, termine ultimo per le aziende per adeguarsi al nuovo Regolamento Generale sulla protezione dei dati (GDPR) dell'Unione Europea, si sta avvicinando. Tuttavia, molti addetti hanno ancora poca o nessuna dimestichezza con le nuove regole per rafforzare la protezione dei dati. Questa lacuna può costare molto dal 2018 (al più tardi). L'utilizzo e l'uso improprio dei dati personali sono disciplinati dalla normativa. Già dall'inizio del 2016, le società sono tenute ad adeguare la propria infrastruttura IT con la GDPR e hanno tempo fino al 2018; in caso contrario, le aziende si espongono a pesanti sanzioni pecuniarie. L'autorità competente può imporre multe fino a 20 milioni di euro o al 4% del fatturato annuo, se un'impresa non è conforme alla GDPR.
E 'giunto il momento per le aziende di mettersi in gioco.
Il problema a questo punto è come preparasi in tempo per la scadenza... un anno di tempo basterà? Le nostre aziende hanno la conoscenza e soprattutto gli strumenti necessari? Oppure faremo come spesso accade (purtroppo dico io ) e aspetteremo l'ultimo istante, rincorrendo la scadenza e alla fine implementando un accrocchio (dal dizionario soluzione raffazzonata, raccogliticcia, approssimativa) :-)
Come molte volte capita, ahimè soprattutto qui da noi nel belpaese, le normative sono spesso recepite come una vessazione, una noiosa, inutile e costosa imposizione... mai una volta che si guardi ai benefici ... Benefici dirà qualcuno di voi???? Certo, finalmente una normativa obbligherà le aziende a mettere in sicurezza i propri dati e permetterà agli utenti di essere più tranquilli ed agli operatori di sicurezza informatica di esercitare la loro vera funzione.
Diciamocelo francamente, fino ad oggi la maggioranza delle nostre aziende ha sempre recepito la sicurezza informatica come un inutile e costoso "accessorio", salvo poi piangere sul latte versato quando ci si trova a fare i conti con attacchi informatici... un banale ransomware è oggi in grado di mettere in ginocchio una società, quando basterebbero le minime misure di sicurezza già ampiamente previste dalla regolamentazione vigente, un po' di formazione ai nostri dipendenti (.. non aprire quella mail!!) e un semplice back-up!
La cosa che mi fa più arrabbiare da professionista del settore è la leggerezza con cui molti (grazie a Dio non tutti) responsabili trattano l'argomento e nella maggioranza dei casi non è nemmeno colpa loro, ma della proprietà che non li mette in condizione di esercitare correttamente la loro funzione..., e mi fa infuriare ancora di più il fatto che, come privato cittadino, i miei dati risiedano in infrastrutture a dir poco discutibili...
Cosa abbiamo imparato dalla lezione dei fratelli Occhionero? Abbiamo o dovremmo avere imparato che un ingegnere (nemmeno informatico) con una buona conoscenza informatica e anche un po' maldestro (utilizza un software comprato con il suo nome...bah), modificando un malware esistente e conosciuto da più anni è riuscito a violare i sistemi informativi di decine di studi di Commercialisti e Avvocati con una email, ad esfiltrare dati e a lanciare attacchi verso altri target... Ci si preoccupa degli account violati dei personaggi famosi... ma nei database degli studi dei commercialisti e degli avvocati ci sono i dati dei loro clienti... anche di gente normale come noi!!! Dove sono finiti i dati dei clienti che sono stati esfiltrati??? Ora la domanda sorge spontanea... ma quali misure di sicurezza avevano messo in atto questi studi e i loro responsabili della sicurezza?
Se fosse già stata in vigore la GDPR gli scenari possibili sarebbero due:
- nel migliore dei casi, applicando la legge, i sistemi sarebbero stati maggiormente protetti, le violazioni scoperte per tempo e i danni evitati o quantomeno limitati
- nel peggiore dei casi, ora questi studi oltre ad aver subito l'attacco sarebbero sottoposti alle pesanti sanzioni previste dalla nuova normativa e dovrebbero informare tutti i clienti del furto dei dati (immaginate che danno economico... chi darebbe in mano i propri conti ad uno studio hackerato???)
Ecco perchè la GDPR, va vista come un'opportunità da tutti! Se l'argomento è di vostro interesse, vi invito a partecipare al webinar iscrivendovi direttamente da questo link
Durante il webinar di Giovedì 19 gennaio alle ore 14:30 impareremo come:
- Comprendere e rispettare le norme generali in materia di protezione dei dati dell'UE
- Gli obiettivi del Regolamento Generale sulla protezione dei dati
- Chi è responsabile di garantire il rispetto del GDPR?
- I principali vantaggi offerti da Netwrix Auditor per soddisfare le esigenze della GDPR
Oltre ad assistere alla live demo del prodotto, tutti i presenti parteciperanno all'estrazione di un iPad Air .. che non guasta mai! .-) Registrati adesso
grazie per l'attenzione
maurizio