“Par-Tec è dalla sua nascita un’azienda fondata sulla tecnologia, ma oggi più che mai sta investendo sulla formazione, perché in questo momento è la condizione imprescindibile per la garanzia della sicurezza del patrimonio informativo di un’azienda o di una pubblica amministrazione. Quando si adottano delle misure di sicurezza, dalle classiche policy sulle password fino a strumenti di difesa più sofisticati, se tutto il personale non è consapevole dei rischi e delle best practice da adottare, ogni sforzo rischia di perdere efficacia”.
Lo dice in un’intervista a CorCom Michelangelo Uberti (nella foto), marketing manager di Par-Tec, system integrator che propone prodotti, soluzioni e servizi dedicati alla business intelligence, all’infrastruttura IT, al mercato finanziario e alla formazione.
Uberti, il Gdpr ha iniziato a essere applicato in Europa da pochi giorni, e la situazione è abbastanza caotica. Come si fa a fare chiarezza per chi, come le Piccole e medie imprese, può sentirsi assediato da una situazione di cui magari non ha piena consapevolezza?
Il primo consiglio che darei è di fare attenzione alle soluzioni “taglia unica”: il Gdpr infatti è un processo, non un prodotto, e richiede un approccio ragionato e personalizzato. Aziende apparentemente identiche possono essere profondamente diverse per tipo e quantità di dati trattati o modalità di erogazione dei servizi. Non esiste in questo campo una “risposta rapida”, bisogna farsene una ragione, come non esiste una soluzione panacea. Io consiglierei di non farsi tentare da chi propone dei software o altro tipo di soluzioni sostenendo che basta quel determinato strumento per essere perfettamente adeguati al Gdpr, per di più spendendo pochi euro. Non si deve trattare il nuovo Regolamento Ue come una tassa da pagare, perché questo confonde il mercato e crea aspettative che non possono essere mantenute. Se poi dovessero sorgere dei problemi, il rischio è che si scopra di non essere in regola, e a quel punto sarebbe troppo tardi, perché a rispondere in questi casi non sarà il Data Protection Officer (Dpo), ma il Titolare del trattamento dei dati.
Ma come si fa a scegliere il consulente giusto?
La prima regola è verificare che non faccia questo lavoro da poco tempo: in molti sono semplicemente qualificati ma non certificati. Secondo, non fidarsi mai di chi propone soluzioni onnicomprensive prima di aver fatto un assessment. La compliance al Gdpr deve sempre essere fatta su misura. Allo stesso modo, non vale in principio “nel dubbio facciamo tutto”: anche questo approccio è indice di inesperienza, e non depone a favore del professionista che lo propone.
Tornando alla formazione del personale: è un’esigenza sentita dalle aziende?
Come dicevamo, la maggior parte degli incidenti di sicurezza sono causati dal fattore umano, che si tratti di fatti accidentali o dolosi. Pensiamo ad esempio a chi mette dati sensibili dell’azienda per cui lavora su storage in cloud non protetti o non cifrati, e vi accede attraverso dispositivi non protetti, a volte nemmeno da un banalissimo Pin. A nostro avviso la sicurezza poggia su tre pilastri: il primo è la compliance normativa-organizzativa: si decide di adottare un regolamento e/o una best practice internazionale, e ci si organizza per adeguarsi. Il secondo punto d’appoggio è la formazione del personale, che deve essere ben consapevole delle regole e sapere quali sono i comportamenti sbagliati. Vale per l’ultimo arrivato in amministrazione, per il personale tecnico, per quello operativo e per tutto il management fino al Ceo. Il terzo pilastro è rappresentato dalle contromisure tecnologiche. Su quest’ultimo aspetto il Gdpr non fa la lista della spesa, ma nell’articolo 32 cita due aspetti: la cifratura dei dati e la pseudonimizzazione, cioè il disaccoppiamento tra l’informazione e il titolare di quell’informazione. La cifratura è importante perché un dato cifrato rimane tale a prescindere da dove si trovi, garantendo il principio che soltanto chi è autorizzato ad accedere a quel dato può farlo. L’occasione offerta dalla nuova normativa è quella di introdurre contromisure tecnologiche per ridurre l’effetto di un errore umano. E in caso di data breach l’aver cifrato i dati può esonerare il Titolare del trattamento dalla notifica agli utenti finali, ridurre ol’impatto all’immagine aziendale e, previa valutazione delle autorità competenti, anche a evitare le ben note sanzioni economiche.
Come nasce l’impegno di Par-Tec nella formazione?
Con il tempo ci siamo resi conto che è fondamentale che in ogni organizzazione, pubblica o privata, si crei e si diffonda una cultura della sicurezza, indirizzando un’offerta formativa adeguata ad ognuno. E il Data Protection Officer, come recita lo stesso Gdpr all’articolo 39, deve essere un facilitatore di questo processo. Già nel 2016, poco prima che venisse approvato il Gdpr, avviammo la progettazione di corsi a distanza in aggiunta a quelli in aula, prevedendo che con l’entrata in vigore delle nuove norme sarebbe stato necessario fare formazione a tappeto su un elevato numero di utenti. Così è nata l‘idea di creare un’offerta Educational veicolata attraverso una piattaforma di e-learning, con corsi di durata variabile sulle misure minime di sicurezza informatica, sul Gdpr, sui principali standard di sicurezza, sul risk management, con l’obiettivo di far acquisire agli utenti un adeguato know-how e ridurre drasticamente la superficie d’attacco.
I problemi nascono anche da chi, nelle aziende, considera il Gdpr come un male necessario, a cui adeguarsi in fretta e spendendo il meno possibile. Qual è l’approccio più corretto alla data protection?
A tendere la compliance e l’approccio proattivo alla sicurezza diventeranno una chiave di differenziazione: alla ricerca di servizi online, al di là del risparmio, chi acquisterebbe un prodotto se sapesse che l’azienda da cui lo acquista non protegge adeguatamente i dati dei propri clienti? Con il Gdpr questo aspetto acquisirà progressivamente un’importanza crescente. Inoltre nel business to business emergerà una nuova serie di requisiti che le aziende chiederanno ai propri fornitori o subfornitori, e questo avvantaggerà chi potrà dimostrare di essere in regola avendo adottato processi adeguati e avendo formato il proprio personale.
Che risposte sta ricevendo la vostra offerta dal mercato?
Facciamo evangelizzazione in questo campo ormai da anni, e la prima volta che ne parlammo in un evento pubblico la platea ci guardava come se fossimo alieni. Oggi però l’interesse sta crescendo, come dimostrano anche gli accessi al nostro sito (educational.par-tec.it), dove un numero crescente di potenziali clienti chiede informazioni o fa il primo passo per pianificare il proprio percorso di compliance al Gdpr. Siamo impegnati in diverse consulenze e in percorsi di formazione a distanza e in aula sia nel pubblico sia nel privato. La PA è in particolare molto attiva, mentre tra le aziende private c’è la divisione netta tra chi si sta organizzando e chi non si muove affatto. Inoltre stiamo aprendo un dialogo anche con le associazioni di categoria, che possano veicolare in maniera chiara agli associati materiali di qualità sensibilizzandoli verso il tema della data protection.
