Problemi relativi alla protezione delle informazioni all’interno di un’azienda basata sui dati

Da Luc Mornat - 26 Ottobre 2016 | 1373 0

La trasformazione digitale ha avuto inizio circa dieci anni fa, se non prima, a seconda della definizione a cui si preferisce fare riferimento. Tuttavia, l’argomento non è mai stato così rilevante quanto lo è oggi e molte grandi aziende non sanno ancora come riorganizzarsi per essere all’altezza di questa fondamentale sfida, imposta dall’evoluzione della società.

In questo contesto, esistono molti problemi associati ai dati. Tra questi c’è il rischio di fughe di dati, che è una delle principali preoccupazioni sotto il profilo legale ed economico.

Ecco alcune cifre interessanti in materia di sicurezza dei dati:

  • 900 milioni di dati sono stati compromessi a causa di falle nella sicurezza
  • Dall’88% al 90% degli incidenti sono involontari
  • Negli Stati Uniti, ogni quattro secondi si verifica un furto di identità (10 milioni di vittime)
  • Una email su 400 contiene informazioni riservate
  • Un file su 50 viene condiviso con le persone sbagliate
  • Un laptop su 10 viene rubato o smarrito
  • Una chiavetta USB su due contiene informazioni riservate.

Nonostante si parli spesso dei costi occulti derivanti dalle fughe di dati, un loro effetto collaterale potenzialmente molto dannoso e a lungo termine viene frequentemente ignorato: la perdita della fiducia dei clienti e degli utenti.

L’incapacità di evitare un incidente che coinvolga la sicurezza danneggia inevitabilmente la percezione del brand da parte dei consumatori. È in gioco la fedeltà al marchio stesso, che è per sua natura legata al modo in cui il brand viene percepito. Le conseguenze sui risultati d’impresa sembrano essere deliberatamente ignorate da alcune aziende, ma il problema viene preso in considerazione sempre più spesso e richiede alle imprese di intraprendere azioni preventive per assicurare la protezione dei dati. Secondo Forrester, due o tre dirigenti di altissimo livello saranno costretti a dimettersi nel corso di quest’anno a causa dei furti di dati.

Anche se tutte le aziende possono essere interessate da fughe di dati a vari livelli (LinkedIn ha subito un attacco nel 2012 e VK, l’equivalente russo di Facebook, nel corso di quest’anno), è possibile implementare una serie di misure per ridurre i rischi. Una di esse consiste nell’eliminare sistematicamente i tag obsoleti per mezzo di un TMS.

Quali dati sono interessati?

I dati sono divenuti un argomento molto popolare durante i convegni degli ultimi anni e, col passare del tempo, la differenziazione tra dati sensibili e personali si fa più sfumata. I dati personali sono costituiti dalle informazioni che riguardano una persona; sono associati a essa per mezzo di un codice cliente, indirizzo email o altri elementi di questo tipo.
Per quanto riguarda i dati sensibili, essi sono costituiti, tra l’altro, da informazioni relative all’appartenenza etnica, politica, alle opinioni filosofiche o al credo religioso, alla salute o all’orientamento sessuale di una persona. In Francia, la legge vieta la raccolta di dati sensibili, fatta eccezione a quanto necessario per l’attività del sito web, come nel caso dei siti di dating online. I dati sono divenuti una questione strategica per un gran numero di società in Francia e in tutto il mondo e uno dei principali problemi a essi collegato è la loro protezione.

Cos’è un’azienda basata sui dati?

Un’azienda basata sui dati è, letteralmente, un’azienda completamente orientata ai dati. Si tratta di avere una forte “cultura dei dati”, nella quale i dati, oltre a essere accessibili, sono il nucleo del pensiero strategico e guidano l’azione aziendale. In questo contesto, i dati sono una risorsa fondamentale per i processi decisionali e richiedono la piena e costante attenzione dell’azienda.

Un requisito minimo potrebbe essere stabilire dashboard quotidiani adeguati alle esigenze di ciascun team, con una forte focalizzazione sull’attività, aperti a tutte le altre parti interessate e contenenti le informazioni di cui essi possono avere bisogno.

Esistono alcuni settori le cui attività decisionali si basano più ampiamente e frequentemente sui dati rispetto ad altri: i siti di e-commerce, per esempio, basano le proprie strategie promozionali durante le stagioni di vendita sui dati. Ma i dati non devono essere considerati esclusivamente uno strumento per fare scelte migliori, ma essere usati anche per aggiungere valore, offrire servizi migliori e aumentare la soddisfazione dei clienti.

Per ottenere il massimo dai dati, le aziende devono smettere di raccogliere e conservare i dati nei silos: ciò può costringerle a intraprendere modifiche strutturali e organizzative, oltre a richiedere una grande collaborazione tra tutti i reparti, modificando il loro modo di lavorare.

Nell’attuale contesto, in cui i dati sono il nucleo di tutte le strategie principali, il rispetto delle norme è della massima importanza.

CNIL, privacy e protezione dei dati

L’organismo francese di tutela della privacy dei dati è la Commission Nationale de l’Informatique et des Libertés (CNIL) [Commissione nazionale per l’informatica e le libertà] che ha il compito di proteggere le informazioni personali dei cittadini e di informarli dei loro diritti. Inoltre esprime pareri alle aziende che desiderano essere conformi alle nuove normative, ammonisce e sanziona le aziende e le organizzazioni che non le rispettano e prevede i futuri utilizzi dei dati e delle informazioni personali.

La CNIL afferma che nel 2015 sono stati segnalati 2800 reclami relativi alla privacy. A partire dalla sua istituzione, la Commissione è stata consultata e ha partecipato a oltre 2500 decisioni e deliberazioni. La legge 78-17 del 6 gennaio 1978 è stata modificata e comprende adesso oltre 70 articoli.
All’inizio del 2016, l’Unione Europea ha adottato un regolamento sui dati personali allo scopo di proteggere meglio i cittadini europei. Esso contiene varie misure e sanzioni che dovranno essere applicate in ogni paese dell’Unione a partire dal 2018.
Nel caso che un’azienda violi i diritti relativi ai dati raccolti, sarà passibile di un’ammenda pari al 4% del suo fatturato globale annuale.

Quali principi devono essere rispettati?

1. Scopo

Un’organizzazione ha bisogno di avere uno scopo legale per raccogliere informazioni personali e private. L’uso che intende fare di tali informazioni deve essere chiaro e legittimo.

2. Proporzione

Possono essere raccolte solo le informazioni necessarie e rilevanti rispetto a uno scopo ben definito.

3. Rilevanza

I dati raccolti devono essere rilevanti per l’attività di chi li raccoglie: un sito web che vende calzini non ha bisogno di informazioni quali sesso, età, stato civile e orientamento sessuale, che invece sono necessarie a un sito di dating online.

4. Periodo di conservazione

I dati non devono essere conservati per un periodo di tempo superiore al necessario per il loro scopo immediato. Dopo tale periodo di tempo, i dati possono essere archiviati in un diverso dispositivo/database.

5. Sicurezza e riservatezza

Negli Stati Uniti, si verificano due furti di dati al giorno. La protezione e la riservatezza dei dati sono i problemi più delicati per le aziende, che sono obbligate a garantire la segretezza e a evitare intrusioni, deterioramento e fughe di dati. Le misure di sicurezza devono essere commisurate alla natura dei dati e ai rischi potenziali.

6. Trasparenza

Le parti che raccolgono i dati devono sempre avvertire gli utenti della loro intenzione di raccogliere dati e di comunicarli a terze parti.
Gli utenti possono decidere cosa comunicare e cosa no.

7. Diritto di informazione

Gli utenti devono essere informati in ogni occasione dell’uso che si intende fare delle informazioni che comunicano. Hanno il diritto di modificarle, controllarle e approvare o rifiutare la raccolta e la comunicazione dei dati.

Minimizzare i rischi relativi alla protezione dei dati

I responsabili della protezione dei dati devono mettere in atto tutte le misure di protezione necessarie per evitare che i dati possano essere “danneggiati”, usati impropriamente o che qualunque persona esterna all’azienda possa avervi accesso. Solo il personale o terze parti espressamente autorizzate (organismi statali, polizia, ecc.) in possesso delle necessarie autorizzazioni di accesso e uso dei dati possono accedervi. I responsabili della protezione dei dati devono inoltre determinare un periodo di tempo ragionevole per la conservazione delle informazioni private; nel caso omettano di farlo, sono soggetti a una pena carceraria fino a 5 anni e a una multa fino a 300.000 euro.

La minimizzazione dei rischi relativi alla protezione dei dati comincia con l’individuazione delle potenziali fonti di fughe di dati (DLP, o Data Loss Prevention), delle falle nella sicurezza e dalla valutazione della loro importanza. Ciò comporta la mappatura di tutti i dati da proteggere.

Inoltre, i dati la cui combinazione potrebbe potenzialmente essere sensibile devono essere cifrati e conservati separatamente. Le chiavi di cifratura devono essere modificate regolarmente e conservate su server esterni con connessioni protette.

Infine, le strategie di protezione dei dati devono essere aggiornate sufficientemente spesso, perché le informazioni sono costantemente a rischio. Ogni volta che si verifica un incidente, si deve aprire un’indagine per identificare la fonte del problema e rafforzare le misure di sicurezza stabilite.

Una percentuale di rischio esiste sempre e nessun sistema è assolutamente sicuro: il fattore umano costituisce una minaccia indiretta ed è difficilmente controllabile (i dipendenti molto spesso sono responsabile di attacchi e intrusioni senza esserne consapevoli). Tuttavia, al personale devono essere fornite indicazioni e precauzioni fondamentali da adottare nel proprio lavoro quotidiano per evitare la dispersione di dati.

Chi deve essere incaricato della sicurezza all’interno dell’azienda?

Il Parlamento Europeo ha adottato un regolamento in materia di protezione dei dati personali in data 27 aprile 2016. Esso obbliga le aziende le cui attività comportano il trattamento di dati e richiedono regolarmente il tracciamento di persone a designare un responsabile della protezione dei dati (interno o meno). Il responsabile della protezione dei dati deve informare l’azienda per cui lavora delle norme e degli obblighi relativi ai dati personali, deve comunicare il rispetto delle norme al personale formandolo adeguatamente, fornire pareri in materia di analisi dell’impatto, collaborare e restare in costante contatto con la CNIL.

Le aziende francesi hanno due anni di tempo per l’applicazione delle nuove norme.

Per non perdere nessuna delle ultime notizie di Commanders Act, iscriviti alla nostra newsletter!