Quando si parla di protezione delle informazioni e dei dati personali cultura e formazione oggi giocano un ruolo di primo piano. Temi che peraltro rappresentano una priorità assoluta nell’agenda di qualsiasi azienda dall’introduzione del GDPR in poi.
Numeri alla mano, infatti, la quasi totalità delle aziende (83%), ha intenzione di mantenere gli investimenti destinati a tale scopo nel breve termine. Anzi, più di 1 società su 5 intende investire di più nei prossimi 12 mesi.
Lo rivela l’indagine sulla gestione della privacy, condotta da DNV. La ricerca ha coinvolto 493 aziende appartenenti a diversi settori in Europa, Nord America, Centro e Sud America e Asia.
Per le aziende la compliance oggi è una priorità
In quanto a privacy management, le aziende sono molto concentrate sulla compliance: 1 azienda su 2 ha una policy ad hoc, con obiettivi specifici. Il 43% ha creato una specifica funzione o assegnato l’incarico. Il 40% dichiara di effettuare regolari verifiche per assicurarsi di essere in regola con le normative.
Dal punto di vista operativo, tuttavia, c’è ancora da fare. Solo 1 azienda su 4, ad esempio, affronta la questione secondo il principio della “privacy by design”, ovvero prevedendo che la protezione dei dati sia integrata nell'intero ciclo di vita della tecnologia, dalla primissima fase di progettazione.
Quanto a gestione delle emergenze, inoltre, sono ancora molte le aziende che ritengono di essere non del tutto pronte da un punto di vista tecnico. Il 16,4% non ha un sistema valido per gestire gli incidenti e le violazioni dei dati e il 33,7% lo ha implementato solo in parte.
La principale fonte di rischi? Le persone
Le aziende sono preoccupate principalmente dagli errori umani (45%), dalla mancanza di consapevolezza o cultura organizzativa (28%) e di competenze legali (25%). Una situazione speculare al 2019, quando la prima edizione dell’indagine è stata realizzata. Rispetto a due anni fa, però, è cambiata la reazione da parte delle aziende. Allora, si concentravano per lo più sul potenziamento dell’infrastruttura IT, mentre oggi l’attenzione si sta spostando verso le persone.
Quasi 1 partecipante al sondaggio su 2 ha ritenuto prioritario investire per la formazione del personale, mentre il potenziamento della sicurezza IT è al secondo posto in classifica (43,6%). Segue a ruota sul podio delle priorità, la messa a punto/miglioramento di un sistema di gestione e dei processi utile a migliorare la cultura organizzativa (22%).
"Le aziende che si concentrano sullo sviluppo di competenze e consapevolezza, puntano anche a implementare un sistema di gestione. Affrontare le problematiche relative agli errori umani facendo leva solo sulla formazione risolverebbe, infatti, il problema solo temporaneamente. Un sistema di gestione conforme è un investimento più a lungo termine, capace di creare una cultura organizzativa che investe l’intera azienda: non si perderà con gli avvicendamenti di personale e sarà facilmente assorbita dai nuovi talenti che si uniscono all’azienda" spiega Massimo Alvaro, Managing Director Italy & Adriatics per Business Assurance in DNV.
Il ruolo dello standard ISO 27701
Oltre ai benefici in termini di vantaggio competitivo riferiti dalle aziende (dalla capacità di soddisfare i requisiti di legge, al miglioramento delle prestazioni, fino alla piena soddisfazione dei clienti), dotarsi di un sistema di gestione basato sulle buone pratiche formalizzate nello standard ISO 27701 consente anche di capitalizzare sulla formazione. Lo standard, infatti, prevede aggiornamenti periodici e un focus continuativo sullo sviluppo di consapevolezza, per assicurare lo stesso livello di coerenza in tutta l’organizzazione e aumentare l’engagement dei dipendenti.
Massimo Alvaro conclude: “Un sistema di gestione conforme ai requisiti ISO 27701 aiuta le imprese non solo a soddisfare i requisiti normativi, ma anche a mitigare l’errore umano. Le aziende che hanno scelto di seguire questa direzione, infatti, sono meglio attrezzate sia per gestire i rischi legali, sia per garantire una solida cultura della sicurezza trasversale a tutte le funzioni aziendali. Anche perché, in una società multiconnessa, le minacce alla privacy spaziano dalla sicurezza delle informazioni all’utilizzo dei dati, fino alla loro conservazione e cessione.”