Titolari d'impresa, conoscete il patrimonio costituito dalle vostre informazioni?
Quando ci troviamo di fronte ad un titolare d’impresa che deve adeguarsi alla normativa Gdpr, nell’80% dei casi sentiamo ripetere la stessa frase: “…Ma chissà quali dati avrò io da proteggere! Noi non sappiamo le cose dei privati…”. In questi casi, riusciamo a far capire che è importante proteggere le informazioni portando l’interlocutore a livellare il valore del patrimonio aziendale (Know-How) - tipicamente di maggior interesse per l’imprenditore - con il valore del dato personale, protetto così bene dalla normativa.
Quando si è punti sul vivo, anche l’industriale più anacronistico attiva recettori particolarmente sensibili.
Così, poche semplici domande ("dove sono i vostri dati?"; "chi può accedervi?"; "chi ha il controllo sull’accesso o sulla distribuzione?"; "chi ne garantisce la continuità?"; "chi ne garantisce la sicurezza?") iniziano ad assumere importanza. Fino ad arrivare alla domanda su cui, generalmente, si ironizzava di più: "Cosa succederebbe se domani, di colpo, senza alcun preavviso, la sua azienda, le sue persone, non avessero più accesso ai propri sistemi o ai propri dati con cui lavorate tutti i giorni?".
Poi sono venuti i tempi che conosciamo, e quella domanda è diventata, purtroppo, attuale. Oggi si parla di "smart working", di strumenti de-localizzati, di sistemi VDI e di cloud.
Ma, al solito, chi non è addetto ai lavori continua ad ignorare le stesse domande di prima. Le domande non sono cambiate, i temi non sono cambiati. Aggiungere variabili ad una equazione difficile da risolvere non la semplifica: la complica. E gli addetti ai lavori devono sottolineare ai propri clienti che spostare fisicamente dati e patrimonio aziendale fuori dall’azienda non significa automaticamente metterli "al sicuro".
E quindi, si riparte: "dove sono i vostri dati, chi può accedervi, chi ha il controllo... ecc". E, sì: anche la domanda più ironizzante di prima. Perché leggendo i contratti di chi fornisce servizi in cloud, si scopre che nel 99% dei casi viene garantito il servizio. Il servizio. Non i dati. I dati non sono un problema di chi fornisce il servizio.
(Nella foto: Adriano Taccini, IT Manager, Privacy Consultant, e Delegato Federprivacy a Modena)
Se li avete appoggiati su un sistema cloud e non ne avete una copia, non è colpa di chi vi fornisce il servizio. Se il computer che sta usando il vostro dipendente, a casa propria in "smart working", contiene un virus (magari preso dal figlio su internet) che accede alle vostre informazioni, ne fa una copia, o peggio, lentamente le distrugge, non è colpa di chi fornisce il servizio... E nemmeno del vostro dipendente, se non lo avete adeguatamente formato.
Ecco allora che non ha importanza dove siano i dati. Non hanno importanza gli strumenti e non ha importanza se parliamo di dati personali o di Know-How aziendale.
È invece importante capire, se non si vogliono correre rischi, che ci si deve affidare a veri professionisti dell'informatica, che sappiano fare domande che ci possono anche dare fastidio, che abbiano un occhio di riguardo ai dati e non agli strumenti. E soprattutto è importante capire che la garanzia costa.
Oggi non si può più improvvisare. Un’impresa seria deve mettere a budget la sicurezza informatica e i processi di gestione dei dati. Già, ma con quali valori? Per le statistiche (Kaspersky IT Security Calculator) un’azienda manifatturiera europea con 10 dipendenti dovrebbe investire almeno 30.000 € all'anno in sicurezza informatica, perché il rischio di perdita delle informazioni è del 60% con un danno medio di 55.000 euro.
Qualsiasi valore investito oggi è meglio di qualsiasi latte versato domani. Quanto sia il valore giusto non ve lo posso dire: lo può sapere solamente ciascun imprenditore che sa, realmente, quale sia il valore delle proprie informazioni.