Quando si parla di sicurezza, una delle metafore più impiegate è quella della catena, la cui solidità è limitata dalla robustezza dell’anello più debole. Quando si rompe quello: salta tutta la catena. L’avvento della nuova normativa privacy europea (GDPR), con i suoi stringenti requisiti e le sanzioni milionarie previste in caso di violazione, è il caso di ricontrollare la catena della sicurezza e considerare che la sua portata è ben più estesa di quanto ricade sotto il controllo diretto dei Sistemi Informativi. Coinvolge infatti tutte le funzioni aziendali, tutti i livelli e l’intera filiera di fornitori e clienti che usano o trattano informazioni aziendali.

La compliance GDPR e i dirigenti di prima fila

Lungi dall’essere una casellina da spuntare in una lista di cose da fare, o un’attività che preoccupa solo i CIO, il GDPR richiede che tutta l’azienda – dal board alla base – sia permeata da una nuova mentalità orientata al rispetto della privacy di clienti e partner e alla tutela della sicurezza. È necessario che ogni responsabile di funzione condivida con gli altri i processi e i trattamenti effettuati, e che all’interno di ogni funzione ci sia un flusso di informazioni e condivisione costante e bidirezionale, dalla base al vertice, continuamente aggiornato per far emergere le best practice.

Tutto ciò potrebbe però non bastare ad affermare di aver fatto tutto il possibile per identificare i rischi e prevenire le violazioni. DXC ha calcolato che sono più di 170 i fattori che devono essere identificati e verificati per assicurarsi che le procedure interne rispettino i principi e la lettera del GDPR.

Sistemi di dati stratificati nel tempo, magari gestiti un tempo da personale non più in azienda o business unit ora dismesse, possono creare sacche di informazione non gestite in modo conforme alla normativa. In questo caso, un processo di due diligence non può esimersi dall’utilizzare strumenti automatizzati per il discovery delle informazioni e l’assessment dei rischi. La Cyber Reference Architecture di DXC include servizi specifici per la compliance GDPR.

La comunicazione delle violazioni: un affare che riguarda tutti

Un altro aspetto su cui diverse funzioni dovranno necessariamente lavorare insieme è quello relativo alla trasparenza in caso di violazione della sicurezza. Dal momento viene a conoscenza di una violazione della sicurezza informatica che coinvolge i dati degli utenti, l’azienda ha 72 ore di tempo per darne comunicazione agli interessati. L’incidente non deve necessariamente riguardare un attacco hacker di alto profilo: può anche trattarsi della divulgazione o distruzione accidentale di un dato. La comunicazione di un data breach diventerà in futuro un evento molto più comune di oggigiorno, anche se forse meno clamoroso.

Detto ciò, viste le importanti conseguenze in ballo, non sarà certo cosa che potrà essere gestita con superficialità, e non potrà esaurirsi nella sua mera fase burocratica. Un evento di questo tipo ha ripercussioni che devono essere gestite da diverse funzioni aziendali, spesso con il coinvolgimento delle prime file. Per esempio, una comunicazione di data breach potrebbe coinvolgere:

Data Protection Officer: raccolta delle informazioni, comunicazioni formali;

CIO: analisi degli eventi, mitigazione e messa in sicurezza delle infrastrutture o procedure che hanno permesso la violazione;

Marketing/PR: gestione della comunicazione con il pubblico, attraverso i media e i social network, a tutela dell’immagine aziendale;

Risk management: valutazione globale dell’impatto;

Legal: disposizione di una linea di difesa legale o negoziazione dei risarcimenti;

CFO: valutazione dell’impatto sui conti, accantonamenti per eventuali sanzioni o risarcimenti, verifica di eventuali polizze assicurative sui rischi legati alla cyber security;

HR: indagine interna alla ricerca di responsabilità e comportamenti scorretti o addirittura delittuosi;

Questo è il gruppo minimo di persone che dovrebbe comporre l’unità di crisi, ma nei casi più gravi può coinvolgere anche le funzioni produttive (se i dati mancanti o trafugati hanno un impatto sulla produzione) e il CEO, qualora le ripercussioni possano essere così gravi da compromettere i risultati o l’assetto complessivo dell’azienda.