Il 25 maggio scade il termine ultimo per l’attuazione della GDPR (General Protection Data Regulation), la ormai nota regolamentazione europea che deve essere recepita da tutte le aziende a tutela della privacy dei dati posseduti e della sicurezza informatica. Il 2017 è stato l’anno in cui la sicurezza informatica e i malware hanno conquistato le vette delle classifiche internazionali del terrore. WannaCry e NotPetya hanno colpito migliaia di dispositivi, mettendo in ginocchio moltissime piccole e medie aziende non ancora ben attrezzate a respingere determinati attacchi. I potenti virus che contaminano i dati del computer chiedono un riscatto, spesso in Bitcoin. Il 2017 sarà ricordato anche come terribile per il mondo della sicurezza informatica. Oltre ai computer e ai server delle aziende, gli hacker hanno iniziato a rilasciare centinaia di virus per smartphone per rubare i dati personali degli utenti.

 

La privacy by design e by default

Di certo, una comunicazione tempestiva dei problemi di sicurezza aiuta le aziende nella gestione corretta dei data e big data al fine di transazioni sicure. Gli utenti possono muoversi per tempo e smettere di utilizzare un servizio, cambiare password, fare controlli sui propri conti,  etc.

Il cambiamento però è più profondo: anche la progettazione dei software o dei servizi online non può più trascurare la protezione dei dati. Devono dunque essere intrinsecamente sicuri (privacy by design).

Molte aziende tendono a raccogliere dati che non servono, tipo le App per Smartphone che accedono alla  rubrica e ai messaggi anche se tali dati  non sono necessari al funzionamento. Con il GDPR, invece, ogni servizio dovrà essere conforme al regolamento e potrà richiedere solo dati essenziali con il risultato che si esporranno il meno possibile le informazioni sensibili delle persone. Meno dati si condividono all’esterno, meno si espone la propria vita ai criminali informatici.

I servizi vanno disegnati bene prima, devono prevedere il livello di rischio in caso di violazione della sicurezza e incorporare tutte le misure per prevenire i danni, tutto il ciclo di vita del servizio deve prevedere la privacy come elemento strutturale, tutti i progetti devono essere sicuri dalle prime fasi di ideazione fino al rilascio al pubblico. Insomma, tutte le parti del disegno dei servizi o progetti devono essere trasparenti e la privacy dell’utente dev’essere sempre rispettata.  L’impostazione predefinita di tutti i servizi (privacy by default) deve prevedere il trattamento dei soli dati degli utenti necessari alle loro finalità e devono essere trattate solo per il periodo di tempo strettamente necessario.

Progettare la sicurezza informatica

La spesa in sicurezza informatica nelle aziende finora non è stata sostenuta. Il Politecnico di Milano ha stimato che per ogni 66 euro investiti in questo settore, solo uno va nella progettazione della sicurezza. Le sanzioni previste dal GDPR però  metteranno in guardia le aziende per fare in modo che la spesa per mettere in sicurezza i propri sistemi dagli attacchi hacker aumenti in misura proporzionale alle proprie dimensioni. Ne varrà la pena non solo per offrire servizi migliori e sicuri ai propri clienti, ma anche per assicurare una lunga vita alla propria azienda, evitando i disastri che hanno caratterizzato il passato, soprattutto il 2017.