GDPR, il CTO al servizio della trasformazione aziendale

Che cos'è un Brand Voice ?

Il Gdpr produrrà tutti gli effetti a partire dal 25 maggio 2018. Le nostre aziende sono in ritardo ma si può fare ancora bene consapevoli che un partner affidabile e un CTO competente sono strategici. Il parere di Robert Vrcon, Technical Director di Teorema

Destreggiarsi tra gli imprevisti, le criticità, ma anche saper pianificare tutto per raggiungere un obiettivo, in modo che chi si è affidato a te possa godere dei frutti di un lavoro ben fatto… Sono i tratti che caratterizzano il profilo di Robert Vrcon, Technical Director di Teorema, ma sembrano anche quelli essenziali per poter affrontare una sfida come quella che il GDPR mette davanti a tutte le aziende.
Vrcon ha un’esperienza più che decennale come direttore tecnico. Ora spetta a lui il compito di interpretare il Gdpr dal punto di vista del CTO.

La sintesi di tutto, lo sappiamo, si trova nel Decalogo con tutti gli elementi per essere compreso, ma è naturale che il regolamento possa avere diverse angolazioni di lettura. A seconda che venga valutato da un Ceo, da un Cmo e da un Cto cui ora lasciamo la parola.

Cos’è il Gdpr per un CTO?

Prima di tutto è un grande impegno. Al di là del regolamento di per sé, per un CTO il Gdpr si declinerà necessariamente nell’adeguamento delle infrastrutture aziendali per rispondere correttamente alle disposizioni di legge. Bisogna ripensare all’idea stessa di infrastruttura. È infrastruttura anche il software, sono infrastruttura i processi. Non sono da solo in questo compito ma sicuramente il mio ruolo aziendale è tra quelli che dovranno intervenire più incisivamente per garantire il rispetto della normativa.  L’infrastruttura è l’impalcatura che può valorizzare i dati, proteggerli, ma allo stesso tempo anche esporli ai rischi. Questa potrebbe essere la giusta opportunità per le aziende di pensare finalmente ad una strategia cloud. La gestione di un’infrastruttura totalmente “on-premise” comporta uno sforzo di tempo e risorse che espone a maggiori costi e ad una maggior possibilità di commettere errori, puntando sul cloud si automatizzano una serie di interventi, come per esempio gli aggiornamenti.

I dati dei clienti su un’infrastruttura adeguata quindi…

Sì, prepararsi al Gdpr significa anche questo. Vuol dire da un lato avvicinare il dato a chi lo utilizza, farlo con un livello maggiore di trasparenza e dall’altro garantirne la sicurezza. Per permetter la cancellazione immediata delle informazioni su richiesta degli interessati – una delle richieste della nuova normativa – saranno necessari dei sistemi in grado di trovare i dati velocemente ed esporli in formati aperti e quindi compatibili con tutti gli strumenti sul mercato. Poi si rivelerà virtuoso compiere tutte le scelte possibili che permettono l’automatizzazione dei processi. Difficile scindere questo argomento da una scelta cloud, che permette un alto livello di automatizzazione, la disponibilità di repository delle informazioni centralizzati e sicuri, l’utilizzo di software e applicazioni disponibili indipendentemente dalla situazione dell’azienda, con relativo risparmio dei costi.

14469561_10153950401153225_8720532864422372362_n
Robert Vrcon, Technical Director di Teorema

Chi vigila e controlla, cosa vorrà sapere subito e con precisione?
Il tesoro di ogni azienda è il database. La sicurezza giustifica ogni adeguamento infrastrutturale finalizzato al raggiungimento di questo obiettivo. Proteggere il dato – e tutelare l’interesse dell’azienda – significa anche essere certi di disporre subito di tutte le informazioni che le autorità richiedono: deve essere possibile qualsiasi forma di estrazione dei dati in formato aperto, ma bisogna sapere produrre report e documentazione anche per gli utenti. Chi saprà indicare nei tempi dovuti cosa è successo a un dato e, supportato dalla tecnologia, può dimostrare di riuscire a mettere in moto tutta la macchina dei processi di comunicazione necessari, possiamo dire che è già a buon punto.

Arriviamo quindi a un piano sicurezza…Cosa c’è da fare

La sicurezza non è un concetto astratto, né uno strato che si può aggiungere a quello che si fa, e quindi a una certa appliance hardware o al software. Quando si parla di sicurezza e di Gdpr, necessariamente si deve pensare all’integrità dei processi e all’integrazione delle corrette procedure in hardware, software, servizi. Come CTO significa disporre di applicazioni e sistemi operativi aggiornati, supportati, e avere pronto un piano per la gestione del ciclo di vita delle applicazioni per quando quelle in uso non saranno più supportate, e ovviamente per tutte quelle che ancora si usano e già non lo sono più. Non si ha idea di quanti siano ancora i sistemi operativi Windows Xp utilizzati come base software anche di dispositivi medicali, mentre persino per Windows 7 si avvicina il momento della fine del supporto Extended previsto per il 2020. Automatizzare gli aggiornamenti a sua volta abilita un grande risparmio di costi. Più facile quando si parla di un computer, ma chi effettivamente ha il pieno controllo anche sulla propria flotta mobile?

E’ poi fondamentale attivare dove possibile i software sentinella, quei software che monitorano costantemente le attività in corso e quando si verificano determinate condizioni sono in grado di intraprendere una precisa azione scelta dall’amministratore. Serve un piano B se qualcosa va storto? No, piuttosto serve avere un piano pronto da mettere in atto quando si verifica un’intrusione. Ma non deve essere un piano B, deve essere la capacità di reagire e sapere cosa fare, dopo aver preso consapevolezza di cosa è successo. E farlo bene, è un ottimo piano A.

L’attenzione al dato paga quali strumenti si possono mettere in campo?

L’attenzione al dato paga, ma proprio per questo è meglio parlare di una vera e propria cultura del dato. Tanto più in relazione al nuovo Regolamento. Spetta al CTO scegliere la strategia migliore e la collaborazione con DPO e CSO sarà stretta e obbligata.
Fare in modo che le informazioni, essenziali, siano consultabili e trattabili solo da chi ne ha diritto costituisce una base, ma non è sufficiente. Per esempio è un’ottima strategia quella di anonimizzare i record e mantenerli tali in tutti i processi in cui è possibile farlo, dietro protezione crittografica. Bisogna poi mantenere il controllo pieno sull’accesso ai dati fisici e reali sia su DB strutturati, sia su quelli non strutturati. Anche Internet of Things contribuirà ad elevare il livello della sfida.

Si parla di Remediation, ma cosa significa?

Per un CTO pensare alla Remediation significa rendere organica tutta la materia di cui abbiamo parlato fino ad ora, per sapere cosa fare. E’ indispensabile quindi partire sedendosi tutti attorno a un tavolo e disegnare una mappa chiara di percorso e di progetto insieme a tutte le figure aziendali. La mappa deve poter fotografare come lavora la propria azienda e individuare i percorsi dei dati, per poi diventare la bussola fissa il GDPR. Si parla di Assessment, è il lavoro più difficile del mondo. Si parla di Privacy By Design e By Default. Fare tutto completamente da soli è davvero difficile. Spesso si riduce il Gdpr all’individuazione di uno o più responsabili, il Data Protection Officer e il Data Processor Officer. Errore grave. Certo, la prima è la vera nuova figura cardine, ma non ci sarà mai un DPO per quanto bravo che possa risolvere le problematiche Gdpr tanto da lasciare dichiarare al proprio CEO: “Con il Gdpr siamo a posto, abbiamo nominato il DPO”. Documentarsi, leggere il GDPR, confrontarsi con il Decalogo di Teorema, sono passaggi intelligenti, poi bisogna fare e per fare bene ci si deve lasciare aiutare.

Tra l’altro questo lavoro sui ‘processi’, l’automatizzazione, il controllo puntuale sul dato, la capacità di comunicare a tutti gli attori gli eventi accaduti e di produrre la relativa reportistica, l’orchestrazione di controllo sulle differenti componenti on premise e in cloud sono tutti task con cui non si può evitare il confronto.