Le grandi aziende dovranno prepararsi a modificare le loro policy e tenere dati sensibili all’esterno, sia pure sotto il loro diretto controllo. Lo prevede Gartner azzardando la previsione secondo la quale, entro i prossimi sei anni, ben il 90% delle imprese farà gestire all’esterno i dati personali.
Da sempre le aziende sono bersaglio di attacchi informatici a cui hanno reagito rafforzando i sistemi e creando difese specifiche. Gli attacchi hanno quindi preso come bersaglio i sistemi più vulnerabili usati da impiegati, consulenti esterni, clienti e altri soggetti al punto che, secondo Gartner, non c’è alternativa a preparare una “exit strategy” per tutto ciò che riguarda la gestione dei dati personali.
I responsabili della pianificazione strategica dovranno quindi valutare come lasciare ad altri lo stoccaggio e l’elaborazione dei dati personali nel rispetto delle regole contenendo i rischi e i costi associati. Il PCI Data Security Standard (DSS) già oggi impone controlli stringenti a chi raccoglie e memorizza i dati delle carte di credito. In risposta, molte aziende hanno già deciso di eliminare i dati delle carte di credito dai propri sistemi e afidarsi totalmente a fornitori esterni.
Secondo gli analisti di Gartner, la stessa cosa succederà ad altre informazioni personali man mano che i requisiti di protezione diventeranno più rigidi e costosi da implementare. Avrà insomma senso per le imprese rivolgersi a realtà esterne specializzate. Per preparare questo passaggio vengono suggeriti cinque punti fondamentali che elenchiamo qui di seguito.
- Creazione di una netta demarcazione tra dati personali e non. Serve creare policy per distinguere i dati personali – come informazioni di contatto, salute, dati finanziari, localizzazione geografica o le tracce lasciate nella navigazione Web – da quelli che riguardano business plan, dati aziendali o proprietà intellettuale. Quanto ci si possa spingere in profondità nel definire dati personali dipende dal rischio che l’azienda si sente in grado di affrontare e dai costi che comporta ridisegnare i processi di business.
- Focalizzare l’attenzione sui dati personali. La migliore protezione dei dati è del tutto inutile se non prevede un continuo aggiornamento. L’azienda deve localizzare e documentare i dati personali quindi capire come proteggerli con policy o sistemi tecnici, come la crittografia. Le aziende che non hanno una propria infrastruttura IT, usano il cloud o dispositivi mobili devono affrontare sfide aggiuntive.
- Favorire la segmentazione applicativa. I dati personali non devono essere mescolati con altri dati. Qualsiasi tecnologia che elabora informazioni personali assieme ad altre non personali pone dei rischi. Questo va analizzato prima di prendere decisioni sulla tutela dei dati. Le cose possono essere più facili se le informazioni che riguardano, per esempio, le prestazioni dei dipendenti sono memorizzate nei sistemi di HR, quelle dei clienti nel CRM e i dati finanziari nell’ERP aziendale.
- Aderire agli standard o crearne in proprio. La conformità con dozzine di leggi e aspettative culturali in regioni geografiche diverse può essere molto costoso. Gli standard sulla privacy aiutano la creazione delle infrastrutture di controllo, il monitoraggio e lo scambio di informazioni. A prescindere dagli standard e dai meccanismi usati, la sfida è applicare le regole in tutte le entità coinvolte.
- Localizzazione dei dati nel rispetto delle leggi. Benché oggi IT, cloud e mobile computing consentano di spostare i dati in una frazione di secondo da un continente all’altro, la privacy segue confini geografici e la localizzazione fisica dei dati resta un aspetto su cui il legislatore pone l’attenzione. Molte aziende e service provider stanno oggi muovendosi verso il concetto di “localizzazione logica” che distingue tra il luogo dove i dati sono acceduti, nel rispetto delle regole di privacy locali, da quello in cui sono stoccati e gestiti in forma crittografata. I dati insomma posono essere logicamente in un posto mentre sono fisicamente in un altro.
