Mercoledì 13 Settembre 2017 – in collaborazione con VM Sistemi e Colin & Partners – abbiamo organizzato presso la sede di Ravenna di Confindustria Romagna la seconda puntata dell’evento GDPR & GDPR, un’importante occasione per presentare la nostra soluzione automatica in risposta agli adempimenti che il famoso GDPR richiederà obbligatoriamente a tutte le imprese fra esattamente 254 giorni.
La nostra President & CEO Silvia Montanari ha aperto l’evento, spiegando il contesto, sia normativo, sia di mercato, sia tecnologico, che ci ha spinti a sviluppare la prima soluzione in grado di supportare in maniera automatica le imprese nell’intercettazione, difesa e gestione documentale, a fronte di un possibile Cyber Attacco, attraverso Business Process Management, ovviamente in ottemperanza al famoso GDPR.
Alessandro Cecchetti – General Manager di Colin & Partners – interviene approfondendo gli aspetti normativi: il GDPR non stravolge la normativa sulla privacy ma la sua effettiva applicazione. Sono previste sanzioni che oscillano fra i 10 e i 20 milioni di euro, oppure fra il 2 e il 4% del fatturato mondiale aziendale. Anche soggetti non appartenenti agli Stati Membri – con interessi sul territorio UE o che trattino dati di cittadini UE – dovranno garantire le medesime garanzie di tutela previste dal Regolamento. I trattamenti effettuati, nonché i ruoli aziendali coinvolti nella gestione dei dati soggetti alla normativa privacy, dovranno essere mappati così come avviene per la 231. La tutela dei dati va garantita da software sviluppati by design e che quindi prevedano l’accesso autenticato di persone e applicazioni ai dati sensibili e personali.
Prevista la nuova figura del DPO, che risponde direttamente alla Governance e che deve avere competenze informatiche e giuridiche allo stesso tempo. Ha il compito di portare un valore aggiunto e operare da raccordo tra Board e Autorità Garante. Tale figura non è sempre obbligatoria, lo diventa in alcuni casi specifici quando i dati personali trattati sono numerosi (es. autorità e organismi pubblici; imprese che realizzano trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala).
Aziende che attuano attività di profilazione su Clienti e Prospect dovranno redigere un PIA (Privacy Impact Assessment) contenente, accanto alla descrizione sistematica dei trattamenti previsti e delle finalità, valutazioni specifiche rispetto a necessità, proporzionalità e rischi del trattamento nonché le misure di sicurezza e le garanzie per farvi fronte. Il data breach subito dovrà essere comunicato al Garante – entro 72 ore dalla scoperta della violazione – nonché agli interessati proprietari dei dati oggetto di attacco (esterno o interno) qualora siano persone fisiche. Se questo non dovesse essere possibile, l’azienda colpita dovrà pubblicare la notizia “autodenunciandosi” con un danno evidentemente ingente alla propria reputation.
In estrema sintesi, le imprese dovranno adeguarsi al GDPR in 3 passi, da attivare in sequenza:
- Analizzare tutti gli applicativi utilizzati e adeguare tutti i sistemi
- Mappare i contratti e introdurre le clausole previste
- Adeguare le procedure e produrre la documentazione richiesta
Alessandro Rani presenta la nuova Business Unit di VM Sistemi che tratta esclusivamente tematiche legate all’ICT Security, dando un forte segnale al mercato della presenza di un team di professionisti qualificati, con l’obiettivo di difendere il valore inestimabili di dati e reputazione aziendale. VM Sistemi sposa l’approccio progettuale, attraverso il quale seguire le particolari esigenze di ogni Cliente, su tutto il ciclo di vita della propria infrastruttura. Tratta quindi la tematica della protezione ai Data Breach sotto il profilo tecnologico. Un next generation SIEM è in grado di correlare flussi di traffico e non solo semplici snapshot della situazione attuale dell’infrastruttura. Con IBM QRadar è possibile effettuare continue scansioni real-time della situazione di tutti i dispositivi. QRadar gestisce la security intelligence da un’unica console centralizzata, attraverso un sistema operativo comune a tutti i moduli previsti.
Durante lo speech di Rani i partecipanti provano ad esprimere la loro percezione della sicurezza dell’infrastruttura della propria azienda, in cui si nota una buona consapevolezza dei pericoli e una sensibilità ai temi dell’ICT Security, anche se ancora quasi 1 impresa su 3 (di quelle sensibili) non ha ancora apportato tutte le misure preventive necessarie a far “dormire sogni tranquilli” ai rispettivi ICT Manager e CIO.
Luca Tumidei presenta le potenzialità di ARXivar per la gestione delle informazioni, integrabile con tutte le applicazioni aziendali in uso. Con ARXivar abbiamo reso possibile la gestione del GDPR attraverso un approccio basato sui processi e quindi, come suggerisce la normativa, con approccio by design: tutto resta tracciato e quindi misurabile e dimostrabile. Gestione quindi di documentazione ma anche di processi, come quello di notifica di eventuali data breach subiti, attivando ad esempio un processo aziendale in grado di avvisare il DPO ed in seguito l’autorità competente, anche fuori dal contesto spazio-temporale dell’azienda, permettendo di reagire prontamente.
Con ARXivar è anche possibile favorire il risk based thinking, monitorando sempre e da ovunque l’intera gestione, raccogliendo ed eventualmente diffondendo evidenze per gli stakeholders.
L’approccio dipende dal tipo di azienda, ma poggia sempre su obiettivi, rischi, processi e relativi controlli. Serve quindi un sistema dinamico che permetta il completo controllo di tutte le informazioni critiche e a maggior valore. In concreto il compito di Talea Consulting è quello di migliorare e rendere più fruibile l’informazione in azienda.
Infine Rani e Tumidei dimostrano come il connubio fra QRadar e ARXivar permetta la scansione continua dell’infrastruttura, sorvegliando potenziali offences e segnalando le attività non ordinarie e non previste occorse. Con una serie molto ricca di regole preimpostate e customizzabili è possibile triggerare scansioni ed eventi intercettabili da altre applicazioni come ad esempio ARXivar, con cui poi gestire i flussi informativi per rispondere ai requisiti della nuova normativa, lungo i processi aziendali delle varie Aree.
