Le aziende che operano sul territorio europeo hanno cercato di prepararsi per arrivare alla scadenza di maggio 2018, quando il GDPR, il regolamento generale europeo sulla protezione dei dati, è entrato effettivamente in vigore. Per capire quanto fossero realmente pronte le aziende, quali sfide hanno dovuto affrontare e che tipo di investimenti hanno iniziato a “mettere in campo”, abbiamo approfondito l’argomento insieme a Troy Kitch, Oracle Senior Principal Product Marketing Director, incontrato in occasione di una sua visita in Italia.
Diventa inoltre oggi fondamentale garantire cyber security per GDPR e IoT nei piani di sicurezza informatica aziendale. Il livello di preparazione alle sfide introdotte dal GDPR, ovviamente varia da azienda ad azienda, a seconda non solo della dimensione ma del «livello culturale maturato rispetto ai temi della cyber security e protezione dei dati», osserva Kitch. «In generale, le aziende non hanno “voglia” di pensare alla sicurezza, preferiscono concentrare sforzi e risorse sulla crescita del business, la vendita di prodotti e servizi… a far crescere la reddittività insomma. Tuttavia la sicurezza è uno di quegli aspetti cui non ci può sottrarre, soprattutto dopo la grande rivoluzione introdotta dal digitale».
Rivoluzione digitale che apre la strada alla crescita e internazionalizzazione dell’impresa e alla conquista di un più ampio market share, evidenzia il manager americano, ma che ha anche amplificato le minacce informatiche e gli attacchi hacker alle aziende, letteralmente “distruggendo” alcuni brand. Nel 2016 ci sono stati oltre 4 miliardi di record (dei database aziendali) “bucati” da minacce e attacchi che riguardavano prevalentemente dati personali e credenziali di accesso delle persone [Kitch cita l’ultimo report di Verizon “Data Breach Investigations Report, 2017” – ndr]».
Il lato positivo di questo scenario è che l’aumento di minacce e attacchi innalza l’esigenza di protezione e accelera i percorsi di compliance. «Se guardiamo nello specifico al GDPR non posso dire che le aziende siano pronte ad affrontare adeguatamente quanto imposto dalla normativa, soprattutto le aziende medio-piccole. Quelle di livello enterprise sono un po’ più abituate non solo a fronteggiare gli impatti normativi ma anche a pianificare strategie ed investimenti, forse perché hanno compreso meglio e prima che la compliance e, in generale i percorsi di sicurezza, riguardano processi e persone prima ancora della tecnologia».
Considerazioni che con il GDPR assumono ancora più rilevanza data l’esplicita introduzione della data protection quale “diritto fondamentale dell’uomo”: «Chiunque sia basato in Europa, o abbia a che fare con persone e aziende che vivono in paesi europei (quindi anche le aziende americane o di altri paesi che “fanno affari” con aziende europee o hanno come target imprese e persone che stanno in Europa), deve disporre di processi e tecnologie adeguate per la protezione dei loro dati», entra nel dettaglio Kitch. «Tecnicamente, questo significa che le aziende di tutto il mondo devono rafforzare i propri sistemi di sicurezza pensando il più possibile ai dati degli utenti e non ai sistemi aziendali».
Ciò che intende dire Kitch è che, solitamente, le imprese (soprattutto quelle di grandi dimensioni) hanno adottato più livelli di sicurezza per “circondare” i database, dal firewall ai sistemi anti-intrusione fino alle tecnologie di segmentazione della rete e di data loss prevention, con l’intento di bloccare accessi diretti alle basi dati aziendali. «Di fronte a minacce sempre più sofisticate e a un numero di persone sempre più ampio che accede ai database (amministratori, tester, sviluppatori, partner, ecc.), bisogna concentrare gli sforzi proprio sulla protezione di questi ultimi», spiega meglio Kitch, «ancor di più oggi che gli ambienti It aziendali vanno verso l’hybrid cloud».
Nell’ottica di una “preparazione completa” al GDPR, Oracle ha proposto soluzioni in quattro differenti aree tecnologiche: discovery (data management); enforcement (security); foundation (system e storage); enrichment (application, data integration, analytics). Kitch si focalizza soprattutto sull’enforcement, elencando i pilastri di adeguamento al GDPR delle aziende europee:
1) people security, con soluzioni che vanno dall’identity and access management al self-service single sign-on, passando per sistemi di governance and compliance e authentication and authorization;
2) software security, per la messa in sicurezza delle applicazioni e degli ambienti It attraverso tecnologie di API management, audit, patching e configuration, application performance, ecc.;
3) data security, dove crittografia e soluzioni di mascheramento dei dati diventano il pilastro tecnologico più importante accanto a soluzioni per il controllo dei privilegi degli utenti.