L’introduzione di misure di data loss prevention deve rappresentare una priorità per le aziende. Non è importante proteggere i dati perché lo impone il GDPR, ma perché rappresentano un importante patrimonio aziendale da preservare. La perdita dei dati a causa di guasti, calamità naturali, attacchi del cyber crime o errori umani ha conseguenze gravi e costose per le imprese che la subiscono. Si mette a rischio la business continuity, per esempio, e si può anche incappare in gravose sanzioni.
Vediamo quindi in cosa consiste la data loss prevention e in che modo la si può attuare in azienda.
Nelle aziende, la protezione dei dati è un aspetto fondamentale che non può essere trascurato. Lo prevede anche il GDPR, il regolamento europeo sulla data protection, che obbliga le aziende a disporre misure adeguate a questo scopo, adottando sia soluzioni tecniche che organizzative.
I dati vanno tenuti al sicuro per questi motivi:
Una soluzione per evitare che si concretizzino scenari nocivi per il business viene dalle strategie di data loss prevention. Letteralmente, la prevenzione della perdita dei dati. Data loss prevention indica dunque i metodi per evitare che i dati vengano violati: metodologie e strumenti di sicurezza che garantiscono di preservare i dati, oltre a evitare possibili intrusioni e usi illeciti.
Per capire come contrastare e prevenire una perdita dei dati, è importante comprendere quali sono i fattori che rendono necessario adottare appropriate misure di tutela.
Secondo una ricerca dell'Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano, la vulnerabilità maggiore riscontrata nelle aziende è data dal fattore umano. Emerge dal report infatti che, per l’82% delle aziende coinvolte nella ricerca, distrazione e mancanza di consapevolezza del personale porta ad adottare comportamenti scorretti, con conseguenze anche gravi come, appunto, un’intrusione per sottrarre dati. Seguono, secondo lo studio, sistemi IT obsoleti per il 41% delle aziende e per il 39% delle imprese la mancanza di costanza negli aggiornamenti.
Il report rileva tuttavia una crescita nella consapevolezza delle aziende relativamente alla cyber security, ambito di cui la data loss prevention è parte: nel 2018, il mercato dedicato alle soluzioni di privacy e security è cresciuto del 9%, per un valore totale di 1,19 miliardi di euro, arrivando a 1,317 miliardi nel 2019.
Nel corso del 2019 inoltre, i sistemi di gestione dell’information security, della data protection e del risk management si collocano in seconda posizione fra le aree di investimento in materia di innovazione digitale, in netta crescita rispetto all’anno precedente che li vedeva al quarto posto.
Sempre più aziende infatti scelgono di stanziare budget per queste soluzioni, oltre che per adeguarsi al GDPR e alle disposizioni che prevede. Solo un’azienda su cinque ha rivelato di stanziare fondi per la sicurezza solo in caso di bisogno, non prevedendo investimenti specifici per questo settore.
È ovvio che questi fronti critici possono riguardare tutte le imprese, sia le aziende clienti che i partner cui si affidano compiti di gestione dei processi o dei dati. È quindi importante, scegliendo un provider per esternalizzare tali aspetti, che questo sia certificato e sia in grado di dare le giuste garanzie in termini di security. Altrimenti, il rischio è di subire danni relativi alla data loss senza esserne direttamente gli artefici.
La protezione in un’ottica di data loss prevention deve tenere conto di diversi fattori: bisogna adottare un approccio che tenga conto di tutti i potenziali pericoli, avvalendosi di esperti che sappiano indicare dove possano annidarsi i fattori di vulnerabilità.
Una buona idea in primis è quella di affidarsi a un partner che abbia tutte le caratteristiche necessarie, certificazioni adeguate e un portfolio di prerogative tecniche e ICT di rilievo.
Cosa da non sottovalutare è che il partner stesso crei cultura e consapevolezza nel personale, investendo in corsi di formazione sulla data protection. In questo modo, si possono ridurre gli errori umani e le distrazioni che possono portare a rendere vulnerabili i dati aziendali.
Risulta evidente che la scelta migliore debba ricadere su un partner per la gestione in outsourcing, specializzato nella gestione dei dati e strutturato dal punto di vista IT con soluzioni all’avanguardia (policy di data protection, piano di business continuity e disaster recovey ecc.). Non da ultimo, è opportuno che l’outsourcer individuato abbia un piano di formazione del personale, necessario a sensibilizzare e tenere alta l’attenzione.
Dunque, è chiaro che la necessità di attuare piani di data loss prevention non debba essere dettata unicamente dal timore di essere inadempienti, vista la normativa sul tema rappresentata in primis dal GDPR.
Serve adottare un approccio diverso in azienda che porti a valorizzare il dato come risorsa fondamentale e quindi a stanziare adeguati budget per la cyber security. La sicurezza dei dati e delle infrastrutture informatiche aziendali infatti non può essere percepita come un surplus, al contrario è un elemento indispensabile per garantire affidabilità ai propri clienti.
Questa sensibilità sta maturando nelle imprese; è importante però favorire un alto livello di consapevolezza anche tra il personale.