Privacy & Cybersecurity

Soluzioni preconfezionate non bastano

Le aziende tecnologiche devono costantemente affrontare attacchi informatici, volti a sottrarre i propri indirizzi IP o i dati personali che detengono. Pertanto, devono individuare gli asset più importanti, considerare le linee di attacco più probabili e stabilire una strategia difensiva adeguata.

Una strategia di gestione del rischio digitale completa deve comprendere molto più della semplice difesa da un attacco informatico. L’introduzione di leggi per la protezione dei dati sempre più severe, oltre che una crescente consapevolezza pubblica riguardo ai temi privacy, richiedono alle aziende, in particolare a quelle che basano il proprio business sulla tecnologia, di riesaminare regolarmente il proprio sistema di controllo e protezione dei dati.

Andare oltre i requisiti minimi

Negli ultimi tre anni, le imprese tecnologiche hanno fatto grandi sforzi per allinearsi alle nuove norme privacy e di protezione dei dati, specialmente al GDPR. Le aziende tecnologiche più importanti si sono ora adeguate, ma devono sempre rimanere vigili. Le norme sulla protezione dei dati sono sempre più rigide e le sanzioni in caso di non adempimento stanno aumentando. Inoltre, i clienti stanno diventando sempre più consapevoli dei temi privacy e sono preparati a richiedere sanzioni in caso di violazione dei propri dati.

Le aziende tecnologiche devono rispondere andando oltre gli adempimenti minimi richiesti dalla legge per assicurarsi di adempiere pienamente ai loro obblighi privacy, poiché è ciò che i propri clienti richiedono.

Mantenere un equilibrio tra privacy e analisi

Occorre però raggiungere un delicato equilibrio. I clienti apprezzano le aziende tecnologiche che fanno tutto il possibile per salvaguardare la privacy, non limitando allo stesso tempo la possibilità di proporre offerte personalizzate di prodotti o servizi sulla base delle proprie specifiche esigenze.

Infatti, una legge sulla privacy oppressiva impedisce di utilizzare i dati per ottenere risultati positivi, per esempio nel caso di dati relativi alla sanità, al controllo delle malattie o alla riduzione degli incidenti stradali. Pertanto, è necessario che i governi e gli enti regolatori non mettano in atto normative privacy eccessivamente restrittive, perché è fondamentale mantenere un equilibrio tra la protezione dei dati e l’utilizzo dei dati per il bene pubblico.

Aumentare la protezione degli asset digitali

Quando si tratta di proteggere l’impresa per renderla immune da attacchi informatici o violazioni di dati, non è possibile adottare un’unica soluzione per tutti. Per gestire il rischio digitale, le aziende tecnologiche devono prima di tutto classificare, categorizzare e mappare i propri asset digitali per individuare i rischi specifici e il valore ad essi associato affinche venga rafforzata la protezione dei dati ritenuti più critici per l’impresa e i suoi clienti.

Renato Sesana, partner di Grant Thornton Financial Advisory Services, afferma che il costo a livello globale dei cybercrime si prevede che raddoppi nel giro di 5 anni, passando da 3 trilioni di dollari del 2015 a 6 trilioni di dollari nel 2021; in tale contesto le aziende tecnologiche, cioè quelle aziende cha basano il proprio business sulla tecnologia, saranno tra le più impattate.

Queste devono sviluppare un approccio olistico ed integrato alla gestione del rischio digitale, in particolare a protezione delle informazioni strategicamente più rilevanti e di quelle relative ai propri clienti, in particolare per le imprese di tipo B2C.

Aver adeguato la propria organizzazione e i propri sistemi ai nuovi requisiti normativi (ad es. GDPR) non deve far abbassare la guardia anche perché sono proprio i clienti stessi a diventare sempre più sensibili verso le tematiche di protezione dei propri dati personali, quindi i primi a punire le imprese nel caso di violazione dei dati stessi.

Cinque utili suggerimenti

E’ per questo che riteniamo utile fornire cinque raccomandazioni che, a livello generale, possono contribuire a creare e mantenere un cosiddetto “digital trust”, rapporto di fiducia digitale.

  • Classificare i dati a seconda della loro importanza strategica. Quelli che, se fossero compromessi, intralcerebbero l’attività di business o l’esperienza dei clienti o causerebbero incalcolabili danni reputazionali devono essere fortemente protetti.
  • Rivedere regolarmente la classificazione dei propri dati insieme ai leader aziendali. La classificazione deve essere allineata con gli obiettivi di business, che possono cambiare nel tempo.
  • Non fermarsi ai requisiti di legge minimi in tema di controlli sulla protezione dei dati, ma bensì guardare avanti a quello che la normativa potrà richiedere in futuro.
  • Collaborare pienamente in caso di richieste valide di dati e informazioni ed essere consapevoli di quanti e quali dati devono/possono essere forniti.
  • Dimostrare il proprio impegno alla protezione dei dati, facendo revisionare regolarmente le proprie procedure di gestione del rischio informatico da una terza parte indipendente. Questo contribuirà a creare fiducia.