Giovedì 25 maggio 2017 – in collaborazione con VM Sistemi e Colin & Partners – abbiamo organizzato a Bologna l’evento GDPR & GDPR, un’importante occasione per presentare la nostra soluzione automatica in risposta agli adempimenti che il famoso GDPR richiederà obbligatoriamente a tutte le imprese fra esattamente 365 giorni.
La nostra President & CEO Silvia Montanari ha aperto l’evento, spiegando il contesto, sia normativo, sia di mercato, sia tecnologico, che ci ha spinti a sviluppare la prima soluzione in grado di supportare in maniera automatica le imprese nell’intercettazione, difesa e gestione documentale, a fronte di un possibile Cyber Attacco, attraverso Business Process Management, ovviamente in ottemperanza al famoso GDPR.
Gloria Ricci – Senior Consultant Colin & Partners – interviene approfondendo gli aspetti normativi: il GDPR non stravolge la normativa sulla privacy ma la sua effettiva applicazione. Sono previste sanzioni che oscillano fra i 10 e i 20 milioni di euro, oppure fra il 2 e il 4% del fatturato mondiale aziendale. Anche i soggetti internazionali si dovranno preoccupare di applicare il Regolamento che di fatto nasce come manovra politica, per tutelare maggiormente i cittadini europei dai colossi internazionali del web, ma di fatto si ripercuote su tutte le imprese. I processi aziendali che gestiscono dati soggetti alla privacy dovranno essere mappati così come per la 231. La tutela dei dati va garantita da software sviluppati by design e che quindi prevedano l’accesso autenticato di persone e applicazioni ai dati sensibili e personali.
Prevista la nuova figura del DPO, che risponde direttamente alla Governance, ha delle competenze informatiche e ha il compito di portare un valore aggiunto, oltre che gestire i contatti con il Garante. Tale ruolo è obbligatorio quando i dati personali trattati sono numerosi (es. GDO, aziende farmaceutiche, ecc).
Aziende che gestiscono profilazione di Clienti e Prospect dovranno sostenere il PIA (Privacy Impact Assessment), al fine di mappare il rischio di fuoriuscita di dati. Il data breach subito dovrà essere comunicato sia al Garante che a tutte le persone a cui sono riferiti i dati oggetto dell’attacco e se questo non dovesse essere possibile, l’azienda colpita dovrà pubblicare la notizia “autodenunciandosi” con un danno quindi “inestimabile” alla propria reputation.
Ai partecipanti è stato chiesto, attraverso un live poll, come le loro aziende si comporterebbero di fronte ad un attacco.
Dalle risposte rileviamo che 1 impresa su 3 ancora non è organizzata al riguardo, a differenza dei Cyber criminali, che proliferano purtroppo sulla rete.
Alessandro Rani tratta la tematica della protezione ai Data Breach sotto il profilo tecnologico. Un next generation SIEM è in grado di correlare flussi di traffico e non solo semplici snapshot della situazione attuale dell’infrastruttura. Con IBM QRadar è possibile effettuare continue scansioni real-time della situazione di tutti i dispositivi e questo, ad esempio, avrebbe segnalato quali nodi della rete sarebbero stati vulnerabili all’ultimo virulento Ransomware WannaCry. QRadar gestisce la security intelligence da un’unica console centralizzata, attraverso un sistema operativo comune a tutti i moduli previsti.
Luca Tumidei presenta le potenzialità di ARXivar per la gestione delle informazioni, integrabile con tutte le applicazioni aziendali in uso. Con ARXivar abbiamo reso possibile la gestione del GDPR attraverso un approccio basato sui processi e quindi, come suggerisce la normativa, con approccio by design: tutto resta tracciato e quindi misurabile e dimostrabile. Gestione quindi di documentazione ma anche di processi, come quello di notifica di eventuali data breach subiti, attivando ad esempio un processo aziendale in grado di avvisare il DPO ed in seguito l’autorità competente, anche fuori dal contesto spazio-temporale dell’azienda, permettendo di reagire prontamente.
Con ARXivar è anche possibile favorire il risk based thinking, monitorando sempre e da ovunque l’intera gestione, raccogliendo ed eventualmente diffondendo evidenze per gli stakeholders.
Infine Rani e Tumidei dimostrano come il connubio fra QRadar e ARXivar permetta la scansione continua dell’infrastruttura, sorvegliando potenziali offences e segnalando le attività non ordinarie e non previste occorse. Con una serie molto ricca di regole preimpostate e customizzabili è possibile triggerare scansioni ed eventi intercettabili da altre applicazioni come ad esempio ARXivar, con cui poi gestire i flussi informativi per rispondere ai requisiti della nuova normativa, lungo i processi aziendali delle varie Aree.
[button link=”https://www.facebook.com/vmsistemi/videos/1864846937066106/” target=”_blank” ” type=”big” color=”orange” ]Il video della DEMO trasmesso live su facebook[/button]
