Data protection e data governance come occasione di crescita del valore aziendale

Data protection e data governance: investimenti essenziali per la società 4.0

Recenti studi nel settore ICT rilevano che la crescita di ogni società passa dalla valorizzazione di uno degli asset aziendali più importanti: il Dato.

Il “Data Privacy Benchmark Study” di Cisco e la ricerca dell’IBM “Institute Business Value” riportano che, nel breve-medio periodo, chi ha investito in progetti di Data Protection e Data Governance, ha incrementato la propria crescita di 2,7 volte rispetto al passato. Da non sottovalutare anche i benefici ottenuti in termini di “brand value”, reputazione e vantaggio competitivo nei settori di competenza. Il trend intrapreso dai player di mercato analizzati (non solo di medio-grandi realtà, ma anche di startup e PMI) è dettato non solo dalle nuove normative introdotte a livello internazionale ed europeo (es. Reg. UE 679/2016, aka “GDPR”), ma anche, e soprattutto, dall’esame degli aspetti comportamentali dell’utente finale, ossia il cliente.

Trust e Trasparency, le chiavi per attrarre e fidelizzare il cliente

Essere trasparenti e mostrare chiaramente all’utente il ciclo di vita dei dati che ci trasmette paga, in particolar modo se congiuntamente a ciò viene informato chiaramente sugli strumenti utilizzati per mettere al sicuro informazioni che rivelano parte della sua vita e della sua persona.

Nello scenario attuale, il cliente ha necessità di sentirsi protetto dai costanti bombardamenti e violazioni informatiche che mettono a repentaglio la nostra privacy. Questo timore è sempre più palpabile: in poco più di un anno e mezzo dalla data di efficacia del GDPR il bilancio del Garante italiano conta circa 14.500 reclami e segnalazioni, 29.600 contatti con l’URP e ben 2.073 notifiche di data breach. Tali cifre sono rapportate solo alle reali denunce presentate all’autorità, con un ampio margine di sommerso. Numeri impressionanti quelli relativi alla quantificazione delle sanzioni emanate sinora: quasi 40 milioni di Euro solo in Italia.

A ciò si aggiunge la costante evoluzione tecnologica, spesso non mediata da un’opportuna esperienza e formazione del team aziendale, fattore che accresce notevolmente la diffusione e la semplicità di condurre ogni tipologia di attacco.

Le falle aziendali più sfruttate nel cybercrime

La mancata consapevolezza dei trattamenti di dati aziendali e l’assenza di un costante monitoraggio sono alla base dei vantaggi maggiormente sfruttati dagli attaccanti informatici.

L’ultimo rapporto Clusit 2019 mostra come tecniche di attacco banali quali vulnerabilità note, DDos e Phishing, rappresentino ancora la gran parte dei veicoli di maggior impatto per le organizzazioni, pubbliche o private (il 62% della totalità).

Da un lato tali tecniche sono facilitate dalla scarsità di strumenti tecnologici utili ad individuare minacce informatiche, quali strumenti di Intrusion Detection o Intrusion Prevention, dall’assenza di responsabilizzazione dei soggetti deputati all’aggiornamento della struttura informatica aziendale e dalla presunzione di aver implementato architetture sicure e a prova di breach: se si pensa che in media il codice sorgente di un software è composto da milioni di righe di codice e che mediamente per ogni 100 righe di codice ci sono 20 bug, come potremmo ritenerci sicuri?

Dall’altro lato, la falla maggiormente sfruttata: l’assenza o la scarsa formazione del team di lavoro. Patch rilasciate su vulnerabilità note non eseguite tempestivamente per mancanza di attenzione ed assenza di policy aziendali adeguate, device digitali utilizzati senza alcuna “educazione informatica”, password e credenziali di autenticazione semplici, alle volte addirittura trascritte in chiaro o condivise tra colleghi.

Queste le basi per il fertile terreno degli attaccanti, che oltre ad avere dimistichezza con gli strumenti informatici, stanno continuamente sviluppando tecniche di ingegneria sociale volte a monitorare gli aspetti comportamentali delle vittime designate: a tutto ciò sia aggiunga il bassissimo costo sostenuto dai criminali per porre in essere le loro attività illecite.  

Creare awareness aziendale con la data protection e la data governance

Sebbene da quanto sopra descritto possa apparire inevitabile subire un breach, è importante creare all’interno dell’organizzazione societaria una cultura volta alla consapevolezza: l’awareness aziendale è uno degli step più importanti per fronteggiare situazioni simili, individuare falle nel sistema e prevenire o rispondere all’eventuale attacco.
Partendo dall’assunto che il rischio zero non esiste e pensare di poterlo realizzare è solo una chimera, è sempre possibile mappare le vulnerabilità aziendali, monitorare costantemente i flussi trattati e mitigare il c.d. rischio residuo. Esclusivamente, infatti, mediante tecniche di data protection e data governance è possibile realizzare un sistema di gestione privacy reattivo e rispondente alle esigenze aziendali.
Mitigare il rischio residuo genera consapevolezza sui flussi di dati trattati, la quale verrà poi tradotta in termini di trasparenza al cliente finale, che si sentirà più sicuro di cedere parte di se stesso: un ciclo continuo che si traduce in attrattiva e fidelizzazione. In altri termini: crescita economica e valorizzazione del brand societario.

E noi dello Studio LA&P sappiamo bene come valorizzarlo: we create value for your business.