Un test di autovalutazione online gratuito, un manuale informativo, consulenza mirata alle imprese di qualsiasi dimensione per mettersi in regola per tempo alla normativa GDPR, il regolamento sulla protezione dei dati che in base alle direttive europee tutti gli stati membri, e di conseguenza tutte le aziende, devono adottare entro il prossimo 25 maggio 2018: sono gli strumenti che Microsoft mette a disposizione delle imprese in vista della scadenza, anche in considerazione di una survey in base alla quale solo il 3% delle imprese sopra i 10 dipendenti è pronta all’adozione del regolamento.
=> GDPR in azienda: come fare per mettersi in regola
Partiamo dai dati sul grado di preparazione delle aziende, elaborati da IDC per Microsoft: il 43% delle imprese ha appena iniziato l’analisi e il 54% ha già un piano per la conformità al GDPR. Ci sono settori maggiormente preparati, ad esempio quello finanziario e la pubblica amministrazione, con tassi di compliance rispettivamente al 10% e 8% e roadmap per l’adeguamento giù definite nel 76% e 85% dei casi. Ma altri settori strategici, come la manifattura e i servizi, presentano una più alta percentuale delle aziende che hanno da poco iniziato ad affrontare il problema, rispettivamente il 53% e il 60%. Stessa situazione nelle grandi imprese sopra i 250 dipendenti.
=> Orientamenti UE sul nuovo GDPR
Le maggiori criticità riscontrate dalle aziende sono i requisiti tecnici, come l’obbligo di notifica dei data breach entro 72 ore (70%), la necessità di implementare soluzioni di crittografia e anonimizzazione dei dati (60%), la definizione di casi d’uso specifici nella gestione del consenso (48%).
I processi organizzativi ritenuti più sfidanti sono la classificazione di tutti i dati (67%), la sensibilizzazione dei dipendenti ai cambiamenti nelle policy di sicurezza (62%), l’eliminazione dei dati irrilevanti (62%).
Gli investimenti maggiormente necessari per adeguarsi alla normativa GDPR: creazione di nuovi processi di documentazione (70%), attività di comunicazione interna e formazione (69%), soluzioni di Identity and Access Management (66%), mappatura dei dati (65%), aggiornamento dei processi di back-up (64%).
Valutazione online
Vediamo quindi come Microsoft supporta le imprese in questa fase di adeguamento.
Innanzitutto, con un test online di autovalutazione: bisogna rispondere a una serie di domande (dove sono i dati, come vengono gestiti, sicurezza delle tecnologi utilizzate), e alla fine appaiono i consigli Microsoft, che segnala i propri prodotti e servizi che vanno incontro alle diverse esigenze.
C’è poi un whitepaper sul “Percorso di adeguamento al GDPR“, che prevede quattro passaggi fondamentali:
- identificare i dati personali che l’impresa possiede e il luogo in cui risiedono (esempio: su server fisso, nel cloud);
- gestire gli accessi e il modo in cui i dati vengono usati;
- stabilire controlli di sicurezza per prevenire, rilevare e risolvere vulnerabilità e violazioni;
- conservare la documentazione necessaria e gestire le richieste di dati e notifiche delle violazioni.
E’ previsto un ciclo di webinar online sulle nuove tecnologie disponibili, sul Microsoft Trust center italiano sono disponibili tutte le informazioni sulla nuova normativa, e infine c’è la consulenza mirata alle imprese, attraverso la rete dei partner Microsoft.
Per quanto riguarda i prodotti, il Cloud di Microsoft integra alcune nuove funzionalità per aiutare le aziende ad essere in linea con i requisiti del GDPR, come Azure Information Protection per la tracciatura dei documenti o Office 365 Advanced Data Governance per gestire la classificazione dei dati aziendali. Microsoft 365 include strumenti per la creatività e la collaborazione quali Office 365, Windows 10 ed Enterprise Mobility + Security, aiutando le aziende a proteggere i dati personali dalla perdita, dall’accesso e dalla divulgazione non autorizzati, rispettando i nuovi standard di trasparenza e privacy.
Secondo l’ultimo Rapporto Clusit, oltre il 50% delle organizzazioni mondiali ha subito almeno un attacco grave e qualsiasi organizzazione, indipendentemente da dimensione o attività, rischia di subire un attacco informatico di entità significativa nei prossimi mesi – segnala Carlo Mauceli, National Technology Officer di Microsoft Italia.
L’Italia è al quarto posto per le minacce a livello globale e la criminalità informatica pesa sull’economia nazionale: il Csis stima pari a circa 900 milioni di dollari i danni dovuti ad attacchi hacker alle imprese italiane. In questo scenario le sfide sono molte e la nuova normativa europea per la tutela dei dati personali deve essere vista come un’opportunità per ripensare il proprio approccio alla Cybersecurity e dare avvio a un percorso di Trasformazione Digitale che non trascuri l’elemento imprescindibile della Privacy e della Sicurezza a supporto di una crescita di lungo termine.
Il GDPR offre l’opportunità per un cambiamento strutturale, non solo dei processi di business, ma anche della cultura aziendale – aggiunge Giancarlo Vercellino, Research & Consulting Manager di IDC Italia.
L’approssimarsi dell’entrata in vigore della nuova normativa implica un ripensamento delle strategie di sicurezza e privacy delle aziende italiane. Non esiste una soluzione univoca, ma a partire da un’analisi delle peculiarità delle singole realtà è possibile definire strategie e soluzioni ad hoc. Il Cloud Computing può rappresentare una valida risposta, soprattutto per le organizzazioni più piccole e meno strutturate, che possono così affidarsi ad IT provider qualificati e delegare loro la compliance ai nuovi requisiti tecnici e organizzativi previsti dalla normativa.