Sapere dove si è vulnerabili è il primo passo da fare.

Il 25 maggio è entrato in vigore il GDPR! Da questa data chi non si adegua sarà passibile di sanzioni, fino a 20 milioni di euro e fino al 4% del fatturato. Ma Manuel Cacitti, CEO di securbee, spiega che «Manca ancora il giusto grado di consapevolezza. Alcune addirittura sono convinte che il GDPR non le riguardi, ma qualsiasi impresa tratta dati personali, a partire da quelli dei dipendenti, fino a quelli di fornitori e clienti».

Tra furti di dati, spionaggio e ransomware, si stima che in Italia il cybercrimine causi danni per 10 miliardi di euro l’anno e non c’è solo il danno economico diretto, ma anche quello reputazionale presso clienti, partner e fornitori che subiscono interruzioni del servizio o scoprono che i dati che li riguardano sono stati persi o trafugati.

Cosa fare quindi?

La prima cosa da fare per mettersi in regola è capire dove si è carenti rispetto al regolamento. Per questo abbiamo messo a punto un servizio di GDPR Check Assessment che ha l’obiettivo di determinare il grado di conformità di un’organizzazione rispetto a quanto previsto dalla normativa. Si parte acquisendo informazioni e documenti che aiutano a capire come vengono gestiti i dati personali in azienda: per esempio codici di condotta, informative, documenti programmatici sulla sicurezza, regolamenti interni sull’uso di computer, telefoni, eccetera. Si passa poi alle interviste con responsabili delle varie aree (finanza, amministrazione, IT, HR e direzionale) per verificare le procedure in essere (flusso buste paga, CRM, dati dei dipendenti). Da qui parte l’attività di data mapping che permette di scoprire quanti e quali dati personali ci sono effettivamente nell’organizzazione e come vengono trattati: «Molto spesso l’azienda scopre di gestire dei dati personali che nemmeno sapeva di avere!» spiega Cacitti.

Il risultato

Alla fine della valutazione, consegniamo un report sul grado di conformità al GDPR che contiene proposte di miglioramenti, osservazioni e raccomandazioni. Le informazioni sono organizzate in modo chiaro, anche attraverso dei grafici comprensibili non solo al reparto tecnico dell’azienda, ma a tutto il management. «Perché la sicurezza informatica –conclude Cacitti– è una questione prima di tutto culturale, che richiede consapevolezza e condivisione a ogni livello dell’azienda».