Fin dalla sua adozione avvenuta un anno fa (
25 maggio 2018), il
Regolamento europeo sulla protezione dei dati (GDPR) ha cambiato significativamente il panorama della sicurezza in Europa.
Il GDPR (
vedi lo speciale di channelcity) ha permesso alle organizzazioni di aumentare la propria
maturità in materia di sicurezza, ha comportato un incremento delle notifiche delle violazioni e ha permesso di aprire discorsi su argomenti che, in precedenza, erano spesso scarsamente trattati o, addirittura, 'tabù'.
Le organizzazioni aziendali sono diventate, a seguito del GDPR, molto più trasparenti per quanto riguarda la comunicazione sulle violazioni dei dati, fornendo maggiore disponibilità a discutere su questi argomenti e sulle relative notifiche. Le aziende sono ora sfidate a modificare le modalità con cui gestiscono i dati, in quanto sono state obbligate a passare da una semplice raccolta, ad un loro trattamento in modo ben documentato.
“Nonostante il GDPR sia ormai generalmente ben compreso, ci sono ancora delle sfide da affrontare” evidenzia
David Grout, EMEA CTO, FireEye. “Ad esempio c’è quella del fattore umano, che non è una sfida nuova per il settore della cyber security ma che si è riproposta con forza a seguito dell’avvento del GDPR”.
Le organizzazioni, per essere in linea con la normativa, sono obbligate a nominare un
responsabile della protezione dei dati (DPO), che ha necessità di un team dedicato per gestire la complessità dei requisiti del GDPR.
“Quello che penso sia necessario è avere chiarimenti in merito all’articolo 33 del Regolamento, che richiede 72 ore per notificare qualsiasi violazione”,
aggiunge Grout. “Quello che a mio avviso si deve definire è cosa si intende per notifica e quali sono le informazioni che deve contenere. Ad esempio, ricevere un alert su una potenziale violazione non è la stessa cosa di un incidente, ed entrambi hanno requisiti di notifica differenti. La necessità è che questo aspetto sia compreso più a fondo”.