Mancano pochi mesi all’entrata in vigore della General Data Protection Regulation (GDPR), e per le aziende europee non è per nulla facile immaginare cosa cambierà, o meglio, quali saranno i cambiamenti necessari da intraprendere. Con il nuovo Regolamento generale sulla protezione dei dati, infatti, la gestione dei dati personali dei cittadini dell’Unione Europea verrà rivoluzionata completamente. Se ora una violazione informatica dei sistemi di un’azienda può creare diversi problemi, a partire dal 2018 questo stesso attacco potrebbe avere una portata estremamente più vasta. Per orientare al meglio le imprese in vista dell’entrate in vigore del GDPR, il Chief Commercial Officer dei Lloyd’s di Londra Vincent Vandendael ha pubblicato online alcuni importanti consigli.
Investire in misure di protezione informativa
Non si deve domandare se si sarà o meno vittime di un attacco informatico: la domanda da porsi è invece quando lo si sarà. Non a caso un’indagine dei Lloyd’s dimostra come il 92% degli intervistati ha già subito una violazione dei dati nell’ultimo quinquennio. Partendo quindi dal presupposto che ogni tipo di società può essere certa fin d’ora di finire nel mirino di un attacco, Vandendael consiglia prima di tutto di investire in sicurezza informatica, in quanto questa dimostrazione di buona volontà e di impegno non potrà che essere vista positivamente dalle autorità di regolamentazione.
Munirsi di un’apposita assicurazione di tipo cyber
Il primo investimento da fare per le aziende è quello di stipulare un’assicurazione per gli attacchi informatici. I benefici immediati sono infatti due: da una parte, in caso di problemi, si avrebbe una copertura finanziaria a protezione dei propri bilanci aziendali; dall’altra, si potrebbe contare su un appoggio di consulenti esperti in ambito di sicurezza informatica, in grado di prevenire al meglio ogni attacco e di supportare la gestione in periodo di crisi
Le violazioni vanno notificate per tempo
Da Uber in poi, non si contano le aziende piccole e grandi che negli anni passati non hanno notificato tempestivamente le violazioni di dati. Con il nuovo GDPR, tale notifica dovrà essere obbligatoriamente fatta entro 72 ore dall’attacco: in caso contrario, si andrà incontro a nuove pesanti sanzioni. Per capire cosa si rischia, il gruppo NCC ha calcolato che le sanzioni emesse nel 2016 dall’Information Commissioner’s Office, nel caso il GDPR fosse già stato attivo, sarebbero aumentate da 880.500 sterline a circa 69 milioni di sterline. Vietato temporeggiare, dunque.
Formazione interna
Non deve essere tutto a carico del team IT: tutti devono capire quali sono i rischi di un’eventuale violazione, come evitarla e cosa fare in caso di attacco. Una violazione dei dati, infatti, potrebbe coinvolgere a vario titolo tutti i team dell’azienda, e tutti devono quindi essere preparati per affrontare al meglio la crisi.
Aggiornamento regolare e continuo
Mai abbassare il livello di attenzione: le minacce informatiche sono sempre nuove e in continua evoluzione, e per questo è necessario approntare verifiche regolari a livello aziendali per aggiornare le procedure e le soluzioni di protezione.
