GDPR un anno dopo, la valutazione di FireEye

A un anno dall'entrata in vigore del GDPR, alcune interessanti osservazioni di David Grout, EMEA CTO di FireEye, in merito all’articolo 33 del Regolamento ovvero sul tema della notifica e delle relative informazioni che essa deve contenere.

Autore: Redazione ChannelCity

Fin dalla sua adozione avvenuta un anno fa (25 maggio 2018), il Regolamento europeo sulla protezione dei dati (GDPR) ha cambiato significativamente il panorama della sicurezza in Europa.
Il GDPR (vedi lo speciale di channelcity) ha permesso alle organizzazioni di aumentare la propria maturità in materia di sicurezza, ha comportato un incremento delle notifiche delle violazioni e ha permesso di aprire discorsi su argomenti che, in precedenza, erano spesso scarsamente trattati o, addirittura, 'tabù'.
Le organizzazioni aziendali sono diventate, a seguito del GDPR, molto più trasparenti per quanto riguarda la comunicazione sulle violazioni dei dati, fornendo maggiore disponibilità a discutere su questi argomenti e sulle relative notifiche. Le aziende sono ora sfidate a modificare le modalità con cui gestiscono i dati, in quanto sono state obbligate a passare da una semplice raccolta, ad un loro trattamento in modo ben documentato.
“Nonostante il GDPR sia ormai generalmente ben compreso, ci sono ancora delle sfide da affrontare” evidenzia David Grout, EMEA CTO, FireEye. “Ad esempio c’è quella del fattore umano, che non è una sfida nuova per il settore della cyber security ma che si è riproposta con forza a seguito dell’avvento del GDPR”.

Le organizzazioni, per essere in linea con la normativa, sono obbligate a nominare un responsabile della protezione dei dati (DPO), che ha necessità di un team dedicato per gestire la complessità dei requisiti del GDPR.
“Quello che penso sia necessario è avere chiarimenti in merito all’articolo 33 del Regolamento, che richiede 72 ore per notificare qualsiasi violazione”, aggiunge Grout. “Quello che a mio avviso si deve definire è cosa si intende per notifica e quali sono le informazioni che deve contenere. Ad esempio, ricevere un alert su una potenziale violazione non è la stessa cosa di un incidente, ed entrambi hanno requisiti di notifica differenti. La necessità è che questo aspetto sia compreso più a fondo”.

Visualizza la versione completa sul sito

Informativa
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, acconsenti all’uso dei cookie.