Di Gdpr (General Data Protection Regulation) si parla davvero tanto in questi tempi. Perché è vero che l’entrata in vigore è prevista per il 25 maggio del prossimo anno, ma è altrettanto vero che è adesso che le aziende devono mettere in atto tutte le possibili misure per non arrivare impreparati al traguardo e non rischiare sanzioni anche pesanti.
Il punto dirimente della nuova normativa è che si va sostituire il concetto di privacy con quello più ampio di protezione dei dati, portando in capo alle aziende la responsabilità di gestire nel modo migliore e secondo le regole previste i dati personali in loro possesso.
Ma nonostante sia trascorso quasi un anno dall’approvazione del Gdpr, in Europa e soprattutto in Italia sembra che lo stato di avanzamento dei lavori lasci alquanto a desiderare.
Lo sottolinea, ad esempio, David Gibson, Vice President Strategy and Marketing Development della statunitense Varonis, specializzata proprio sul tema della protezione dei dati da attacchi informatici e minacce internet.
In occasione di una sua recente visita alla filiale italiana della società, oggi attiva con una struttura di sei persone, Gibson ha cercato di fare proprio il punto sulla situazione nel nostro Paese, forte anche di una serie di studi e analisi pubblicati in queste settimane, dai quali si evidenzia come le responsabilità delle imprese sul tema della protezione dei dati sia davvero poco compresa.
Per Varonis l’approccio deve essere strutturato
Gibson fa esplicito riferimento ai dati di uno studio della School of Management del Politecnico di Milano, “dal quale emerge che il tema non viene affrontato in modo strutturato e soprattutto siano ancora molto poche le aziende che hanno in corso progetti dedicati al Gdpr. Certo, rispetto al passato non si può non notare qualche miglioramento, ma l’approccio non è ancora quello corretto”.
Secondo Varonis, Gdpr obbliga le aziende a occuparsi direttamente di questioni a volte sottovalutate, a partire dalla modalità di conservazione dei dati nel cloud, soprattutto quando il proprio provider utilizza datacenter al di fuori dell’Unione Europea. “Non sono tematiche che possono essere affrontate con un approccio casuale. Eppure questo è quanto oggi avviene. Pochi sono consapevoli, ad esempio, della necessità di istituire un data protection officer all’interno della propria organizzazione”.
Una piattaforma unificata
Non è casuale il fatto che Gibson enfatizzi il concetto di approccio strutturato. È proprio su questo punto che Varonis gioca il suo atout nei confronti dei suoi clienti.
La società ha sviluppato una piattaforma unica, in grado di raccogliere tutti i dati non strutturati che circolano in azienda.
“Parliamo di email, di file audio e video, di documenti creati all’interno dell’azienda. Parliamo di tutte quelle informazioni che si possono trovare in Sharepoint o in Exchange. La nostra soluzione aiuta ad analizzare in tempo reale i dati non strutturati, così che l’azienda non perda mai la compliance con quanto previsto da Gdpr”.
Non solo.
Dal momento che spesso sono i comportamenti interni a mettere in predicato la corretta protezione dei dati, il sistema è in grado di identificare e portare alla luce tutte le situazioni anomale, evidenziando dove vi siano tentativi di accesso non solo senza autorizzazione, ma anche in modo indiscriminato e non necessario. “Uno dei problemi che più frequentemente registriamo nelle aziende, sta nell’accessibilità di troppi dati, documenti e informazioni ai dipendenti. Una superficie esposta troppo ampia diventa rischiosa per l’azienda. Ecco perché la nostra piattaforma, che opera in modo automatizzato, è in grado di distribuire i certificati di accesso per ciascun utente, così che ognuno possa arrivare solo alle informazioni di sua pertinenza”.
Sei prodotti più uno
Una piattaforma, abbiamo detto, sulla quale poggiano sei prodotti diversi: Classification Framework, Datalert, Datadvantage, Datanswer, Data Privilege, Data Transport Engine. Queste soluzioni rispondono alle necessità di auditing, di governance degli accessi, di search & discovery o ancora di migrazione dei dati. A queste sei soluzioni va aggiunta poi Datanywhere, perenterprise file sync & share, non presente sulla piattaforma.
Quanto al target di riferimento, si parla di aziende da venti dipendenti in su.