Cinque gli argomenti chiave per il 2012: violazione dei dati, servizi di localizzazione, cloud, protezione delle informazioni e regolamentazione. L’analisi di Gartner Group.
Entro la fine del 2012, metà delle organizzazioni rivedrà le proprie politiche di privacy. A sostenerlo è la società di analisi americana Gartner che, osservato il proliferare sul mercato di violazione dei dati, cloud computing, servizi basati sulla localizzazione e cambiamenti a livello regolatorio, sottolinea come l’agenda dei responsabili della privacy sarà oltremodo impegnata per i mesi a venire.
In attesa del Gartner Security & Risk Management Summit 2011, che si terrà il 19-20 settembre, a Londra, gli analisti della società non mancano di rilevare l’incedere di nuove minacce riguardanti i dati personali, mentre i budget per la protezione della privacy restano sotto pressione. Anche perché, per tutto l’anno in corso e il prossimo, la previsione è che i programmi per la tutela dei dati rimarranno sottofinanziati.
Con ciò, sono cinque gli argomenti chiave identificati dalla società di analisi e sui quali i responsabili della privacy dovrebbero porre la propria attenzione nei trimestri a venire. Nello specifico, si tratta dei già citati: violazione dei dati, locantion-based services, cloud computing, protezione dei dati privati e regolamentazione. Per ognuno di essi, Gartner fa le sue raccomandazioni.
La prima è che i responsabili della sicurezza lavorino in maniera appropriata con strumenti che consentano di non impiegare oltre il 10% del tempo a contrastare la violazione dei dati. In tal senso, il consiglio è di compartimentare le informazioni personali, restringere gli accessi, cifrare i dati trasmetti attraverso network pubblici o che si trovano su device mobili. In tale contesto, l’adozione non può che essere quella di strumenti per la gestione e la prevenzione della perdita dei dati.
In merito ai servizi di localizzazione, Gps, wireless access point o indirizzi Ip che siano, l’exploit registrato in termini di diffusione delle informazioni personali non ha precedenti. Come se non bastasse, non tutte le organizzazione processano i dati di geolocalizzazione, ma quest’area sta evolvendo in maniera repentina e occorre gestirla in maniera appropriata. Anche perché, a seconda della natura del proprio business, i responsabili della privacy focalizzeranno, secondo Gartner, tra il 5 e il 25% del proprio tempo sui servizi di localizzazione.
Considerato che, nella sua forma ideale, il cloud computing non sottostà ad alcuna legge nazionale, il contrasto con le singole normative sulla privacy e sul trattamento dei dati adottate di paese in paese appare evidente. Anche per questo motivo, Gartner consiglia alle organizzazioni di localizzare l’identità legale dei provider che offrono servizi sulla nuvola e non la posizione fisica dei loro centri operativi. In tal senso, i responsabili delle aziende di livello entrerprise dovrebbero supportare le iniziative per il raggiungimento della massima protezione della privacy per clienti e dipendenti investendo, così, tra il 20 e il 30% del proprio tempo.
Ciò detto, il valore della privacy determina la necessaria protezione, ma è difficile quantificarla senza un preciso contesto e occorrerebbe trovare il giusto equilibrio tra una “non sufficiente” e una “esagerata” protezione dei dati personali il cui processo è in corso. Occorrerebbe lasciare da parte le richieste legali, che spesso inseguono innovazioni tecniche e culturali per parecchi anni, per lasciar posto a un set up dei processi di identificazione che dia spazio ad aggiustamenti ad hoc così che, una volta creata, l’esecuzione del processo non debba portar via più del 10% di tempo ai responsabili della privacy.
Infine, i cambiamenti nelle normative in costante avvicendamento non dovrebbero inficiare sulle strategie adottate da quest’ultimi perché la maggior parte delle regolamentazioni adottate avranno effetto solo a medio-lungo termine. In assenza di leggi specifiche, le organizzazioni sono chiamate a interpretare l’esistente in materia di privacy su tecnologie emergenti come strumenti intelligenti, sistemi di riconoscimento facciale, localizzatori di presenza, body scanner e quant’altro. Ma senza che il tempo necessario ad adeguarsi ai cambiamenti debba superare quota 5-10%.
Fatto il conto, alla fine delle sue raccomandazioni, per Gartner, ai responsabili della privacy resta dal 15 al 50% di tempo da spendere per eseguire i propri programmi, gestire relazioni, governare la privacy delle proprie organizzazioni, rivedere le applicazioni, come pure le policy adottate consultandosi con i legali che di questo si occupano in azienda anche per abbozzare i termini di privacy da inserire nei contratti.