GDPR

Le conseguenze di una violazione di dati aziendali o delle aziende stesse, possono essere catastrofiche per le aziende di tutte le dimensioni. I derivanti danni alla reputazione, ai clienti e ai profitti sono la punta dell'iceberg

Le aziende potrebbero pagare il prezzo delle pesanti sanzioni imposte dalle nuove e severe normative.

Poiché i firewall non sono più sufficienti per proteggere i dati, le aziende devono implementare più livelli di protezione su ogni endpoint di rete per costruire le proprie difese e focalizzarsi sui requisiti di conformità.

L'aumento degli attacchi informatici ha causato il nascere di nuove e severe normative sulla sicurezza dei dati, di grande rilevanza per le aziende di tutto il mondo. Le nuove direttive quali il Regolamento generale sulla protezione dei dati (GDPR) dell'Unione Europea non sono importanti solo per le aziende con sede in UE, ma si applicano a tutte le aziende che raccolgono dati da soggetti residenti in Europa.

La normativa GDPR informa le aziende della presenza di importanti sanzioni in caso di mancata conformità in seguito a un attacco. Queste sanzioni si aggiungono alla perdita economica causata dalla stessa violazione di dati.

Raccogliendo dati, le aziende devono rispettare le norme sulla conformità. Sono inclusi anche i soggetti che acquistano beni e servizi e il monitoraggio delle abitudini dei clienti al fine dell'utilizzo di tali dati. Ad esempio, l'eventuale monitoraggio online delle attività volto al miglioramento dell'individuazione del cliente ideale. Anche se la vostra attività si svolge oltre i confini UE, tutti i dispositivi che accedono ai dati dei clienti devono essere sicuri.

Rispondere ai requisiti sulla conservazione della documentazione, sulla conduzione di valutazioni dell'impatto e sull'elaborazione di rapporti relativi alle violazioni comporta un importante dispendio di tempo. L'aggiunta di un nuovo dispositivo a una rete aziendale determina il rispetto dei criteri aziendali e il monitoraggio da parte di uno strumento SIEM (Systems Information and Event Manager) che tenga traccia delle criticità, attivi le procedure di ripristino e supporti l'elaborazione dei rapporti sulla conformità.

Le aziende devono fornire notifica di una violazione all'associazione per la protezione dei dati senza ritardi ingiustificati, se possibile entro 72 ore. Qualora questo termine non fosse rispettato dovrà essere fornito un giustificato motivo. Questo nuovo requisito è stato introdotto al fine di proteggere i diritti degli individui a essere informati su come vengono impiegati i loro dati personali e a comprendere se le aziende che conservano tali dati dispongano di procedure, strumenti e prodotti idonei a monitorare e identificare i rischi, nonché bloccare eventuali attacchi allo scopo di proteggere i dati dei clienti.

La nuova normativa introduce un approccio a più livelli al sistema sanzionatorio che sarà regolato dalla gravità dell'infrazione. La sanzione massima da pagare potrebbe ammontare intorno al 4% del fatturato annuo dell'azienda, fino all'importo di 20 milioni di euro. Come menzionato per alcuni paesi, ad es. Paesi Bassi, sono state introdotte sanzioni ancora più pesanti, fino all'11% del fatturato annuo.