L’introduzione di misure di data loss prevention deve rappresentare una priorità per le aziende. Non è importante proteggere i dati perché lo impone il GDPR, ma perché rappresentano un importante patrimonio aziendale da preservare. La perdita dei dati a causa di guasti, calamità naturali, attacchi del cyber crime o errori umani ha conseguenze gravi e costose per le imprese che la subiscono. Si mette a rischio la business continuity, per esempio, e si può anche incappare in gravose sanzioni.
Vediamo quindi in cosa consiste la data loss prevention e in che modo la si può attuare in azienda.
Che cos’è e perché fare data loss prevention
Nelle aziende, la protezione dei dati è un aspetto fondamentale che non può essere trascurato. Lo prevede anche il GDPR, il regolamento europeo sulla data protection, che obbliga le aziende a disporre misure adeguate a questo scopo, adottando sia soluzioni tecniche che organizzative.
I dati vanno tenuti al sicuro per questi motivi:
- lo prescrive la normativa europea, che indica anche come gli inadempienti rischino sanzioni Le cifre variano a seconda dei casi, delle caratteristiche e dell’entità dei danni conseguiti, arrivando per le imprese fino a un massimo del 4% del fatturato mondiale dell’esercizio di bilancio dell’anno precedente;
- la perdita dei dati mette a repentaglio la business continuity: l’operatività aziendale rischia di doversi arrestare in caso di data loss, una situazione che ha conseguenze nocive per la redditività dell’azienda e, come un effetto domino, su tutta la supply chain;
- può avere ripercussioni su fornitori e clienti: si pensi per esempio se un incidente di security dovesse avvenire nell’ambito della gestione dati per conto di terzi o se i dati danneggiati o sottratti riguardassero informazioni riservate di altri soggetti;
- ha conseguenze pessime sulla reputazione aziendale.
Una soluzione per evitare che si concretizzino scenari nocivi per il business viene dalle strategie di data loss prevention. Letteralmente, la prevenzione della perdita dei dati. Data loss prevention indica dunque i metodi per evitare che i dati vengano violati: metodologie e strumenti di sicurezza che garantiscono di preservare i dati, oltre a evitare possibili intrusioni e usi illeciti.
Data protection, dove si annidano i rischi
Per capire come contrastare e prevenire una perdita dei dati, è importante comprendere quali sono i fattori che rendono necessario adottare appropriate misure di tutela.
Cosa dicono i dati
Secondo una ricerca dell'Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano, la vulnerabilità maggiore riscontrata nelle aziende è data dal fattore umano. Emerge dal report infatti che, per l’82% delle aziende coinvolte nella ricerca, distrazione e mancanza di consapevolezza del personale porta ad adottare comportamenti scorretti, con conseguenze anche gravi come, appunto, un’intrusione per sottrarre dati. Seguono, secondo lo studio, sistemi IT obsoleti per il 41% delle aziende e per il 39% delle imprese la mancanza di costanza negli aggiornamenti.
Come crescono gli investimenti
Il report rileva tuttavia una crescita nella consapevolezza delle aziende relativamente alla cyber security, ambito di cui la data loss prevention è parte: nel 2018, il mercato dedicato alle soluzioni di privacy e security è cresciuto del 9%, per un valore totale di 1,19 miliardi di euro, arrivando a 1,317 miliardi nel 2019.
Nel corso del 2019 inoltre, i sistemi di gestione dell’information security, della data protection e del risk management si collocano in seconda posizione fra le aree di investimento in materia di innovazione digitale, in netta crescita rispetto all’anno precedente che li vedeva al quarto posto.
Sempre più aziende infatti scelgono di stanziare budget per queste soluzioni, oltre che per adeguarsi al GDPR e alle disposizioni che prevede. Solo un’azienda su cinque ha rivelato di stanziare fondi per la sicurezza solo in caso di bisogno, non prevedendo investimenti specifici per questo settore.
Attenzione all’esternalizzazione: il ruolo del partner
È ovvio che questi fronti critici possono riguardare tutte le imprese, sia le aziende clienti che i partner cui si affidano compiti di gestione dei processi o dei dati. È quindi importante, scegliendo un provider per esternalizzare tali aspetti, che questo sia certificato e sia in grado di dare le giuste garanzie in termini di security. Altrimenti, il rischio è di subire danni relativi alla data loss senza esserne direttamente gli artefici.
Data loss prevention, come fare
La protezione in un’ottica di data loss prevention deve tenere conto di diversi fattori: bisogna adottare un approccio che tenga conto di tutti i potenziali pericoli, avvalendosi di esperti che sappiano indicare dove possano annidarsi i fattori di vulnerabilità.
Una buona idea in primis è quella di affidarsi a un partner che abbia tutte le caratteristiche necessarie, certificazioni adeguate e un portfolio di prerogative tecniche e ICT di rilievo.
Cosa da non sottovalutare è che il partner stesso crei cultura e consapevolezza nel personale, investendo in corsi di formazione sulla data protection. In questo modo, si possono ridurre gli errori umani e le distrazioni che possono portare a rendere vulnerabili i dati aziendali.
Risulta evidente che la scelta migliore debba ricadere su un partner per la gestione in outsourcing, specializzato nella gestione dei dati e strutturato dal punto di vista IT con soluzioni all’avanguardia (policy di data protection, piano di business continuity e disaster recovey ecc.). Non da ultimo, è opportuno che l’outsourcer individuato abbia un piano di formazione del personale, necessario a sensibilizzare e tenere alta l’attenzione.
Un cambio di paradigma: il dato (e la sua protezione) come risorsa fondamentale
Dunque, è chiaro che la necessità di attuare piani di data loss prevention non debba essere dettata unicamente dal timore di essere inadempienti, vista la normativa sul tema rappresentata in primis dal GDPR.
Serve adottare un approccio diverso in azienda che porti a valorizzare il dato come risorsa fondamentale e quindi a stanziare adeguati budget per la cyber security. La sicurezza dei dati e delle infrastrutture informatiche aziendali infatti non può essere percepita come un surplus, al contrario è un elemento indispensabile per garantire affidabilità ai propri clienti.
Questa sensibilità sta maturando nelle imprese; è importante però favorire un alto livello di consapevolezza anche tra il personale.
